Selon un rapport de BreachLock, une entreprise spécialisée dans les tests d'intrusion en tant que service, même si l'injection SQL et les erreurs de scripts intersites (XSS) figurent depuis des années en tête des listes de vulnérabilités, elles sont toujours un fléau pour les équipes de sécurité. Basé sur 8000 tests de sécurité réalisés en 2021, le rapport de BreachLock fournit des résultats en fonction du risque. Concernant les risques critiques, le rapport estime qu’ils représentent une menace très élevée pour les données d'entreprise. Pour ce qui est des risques élevés, ils pourraient avoir un effet catastrophique sur les opérations, les actifs ou les individus d'une entreprise.
Enfin, les risques moyens pourraient avoir un impact négatif sur les opérations, les actifs ou les individus. Plus d'un tiers des risques critiques trouvés dans les applications web (35 %) peuvent être attribués à l'injection ou à l'exposition des données, ce qui, d’après le rapport, est préoccupant en raison du nombre d'applications hébergées sur Internet qui augmente avec la numérisation croissante des entreprises. « Même si, depuis des années, l'injection SQL est une vulnérabilité très répandue, je suis surpris de voir qu'elle est toujours aussi fréquente qu'en 2014, 2015. Plus de 27 % des vulnérabilités que nous avons identifiées résultent d'injection SQL », a déclaré Prateek Bhajanka, vice-président des produits de BreachLock.
Des applications mieux sécurisées en DevSecOps
D'après l'étude, il est encore plus alarmant de constater que plus de 50 % des vulnérabilités présentant un risque élevé dans les applications Web sont dues à des erreurs de scripting intersites. Le rapport explique que les développeurs préfèrent souvent l'approche dite « liste de refus » (« deny list »), à l'approche dite « liste d'autorisation » (« allow list ») pour la validation des données, ce qui conduit à de nouvelles données exploitant les vulnérabilités cross-site scripting XSS. Néanmoins, les risques critiques et élevés pour les applications web ne représentent que 5 % de tous les résultats de la catégorie. « Ces données montrent une fois encore que la sécurité des applications Web, en particulier avec l'adoption du DevSecOps, se traduit par une amélioration de la sécurité des applications », affirme le rapport.
En analysant l'infrastructure des entreprises, BreachLock a trouvé un plus grand pourcentage de vulnérabilités critiques et élevées dans leur infrastructure interne (plus de 15 %) par rapport à leur infrastructure externe (plus de 9 %). Selon le rapport, ce résultat montre que les entreprises sont plus rigoureuses dans la gestion des vulnérabilités externes que dans celles des vulnérabilités internes. Le rapport souligne que les cybermenaces ne proviennent pas uniquement des actifs externes. Les systèmes internes peuvent être violés à l'aide de courriels d'hameçonnage et d'informations d'identification volées pour élever les privilèges et se déplacer latéralement dans un réseau.
Les petites entreprises, plus vulnérables
Les risques critiques et élevés sont peu nombreux dans les applications mobiles, à peine plus de 7 % pour les applications Android et près de 5 % pour les programmes iOS. Parmi les erreurs critiques et élevées les plus courantes dans les applications mobiles identifiées dans le rapport figurent les informations d'identification codées en dur dans les applications. « En exploitant ces informations d'identification, les attaquants peuvent accéder à des informations sensibles », explique le rapport. Plus de 75 % des erreurs trouvées dans les API se situaient dans la catégorie de risque « faible ». Cependant, le rapport insiste sur le fait qu'un risque faible n'est pas synonyme de risque nul. « Les acteurs de la menace ne tiennent pas compte de la gravité des résultats avant d'exploiter une vulnérabilité », prévient le rapport. Parmi les risques critiques les plus élevés constatés dans les API figurent l'absence de contrôles au niveau des fonctions (47,55 %) et les vulnérabilités de Log4Shell (17,48 %).
Selon le rapport, 87 % de tous les risques élevés et critiques constatés concernent des entreprises de moins de 200 employés. Il trouve plusieurs raisons à cela, notamment le fait que dans les entreprises de petite taille, la cybersécurité est souvent une réflexion après coup, mais aussi le manque de bande passante, de savoir-faire en matière de sécurité et de personnel, le manque de leadership et de budget en matière de sécurité, et le fait que le rythme commercial élevé l'emporte sur le besoin de faire des affaires en toute sécurité. Le rapport a également analysé les délais moyens d'atténuation des risques critiques et élevés par secteur vertical d'activité. Les délais les plus longs ont été observés dans les secteurs de l'industrie manufacturière (101 jours) et des soins de santé (95,56 jours) et les plus courts dans les secteurs de l'automobile (30 jours) et des services professionnels (33 jours). M. Bhajanka espère que les entreprises prendront en compte les conclusions de ce rapport pour améliorer leur posture en matière de cybersécurité. « Elles verront si elles font mieux ou moins bien que leurs pairs mondiaux dans le secteur », a-t-il fait remarquer. « Celles qui font moins bien devraient s’en alarmer », a-t-il ajouté.