Les vacances sont terminées depuis quelques semaines. Les analystes sécurité ont donc repris le collier comme la plupart d’entre nous et les rapports sur l’activité du premier semestre commencent à être publiés.
Je vous propose d’aborder rapidement celui de Microsoft qui a officiellement été communiqué lors de la conférence RSA d’octobre. Le rapport complet peut être téléchargé ici.
Quelques chiffres.
Les chiffres qui vont maintenant être évoqués ont été établis au travers des remontées fournies par l’outil Malicious Software Removal Tool (MSRT) sur le premier semestre 2011. Environ 600 millions de machines le font tourner tous les mois, il s’agit donc d’un échantillon plus que représentatif pour pouvoir établir des tendances.
45%. C’est la proportion des cas de compromission demandant une action effective de l’utilisateur (installation, lien web, ouverture de pièce jointe, …). Les campagnes de sensibilisation sont donc plus que jamais d’actualité pour réduire les risques.
43%. L’exploitation des autoruns (USB ou réseau) représentent 43% des incidents relevés. Un travail de fond pour continuer à maîtriser les postes de travail au travers du renforcement des OS est donc plus que jamais d’utilité public. La suppression des lancements automatiques est naturellement l’une des fonctions à mettre en place, les environnements les plus strictes supprimant tout simplement les accès à des périphériques externes de type USB.
6% des incidents auraient pu être évités si les machines avaient été mises à jour.
1%. Les exploits de type « zero day » dont on parle pourtant beaucoup représente moins de 1% des incidents sécurité relevés par Microsoft.
Les failles applicatives
Les environnements Java/Flash/HTML/JScript représentent toujours la grande majorité des failles, immédiatement suivi par les OS. La mise à jour des navigateurs et l’activation des quelques fonctions de sécurité disponibles sont des actions simples qui peuvent participer à réduire le risque représenté par ces technologies que nous utilisons tous les jours. Chacun peut être un membre actif de la lutte !
Les failles applicatives restent donc très largement en tête. Les formations de « Secure coding » et les outils de d’analyse de code sont donc un domaine qui devrait continuer à s’imposer peu à peu et qui, espérons le, permettrons à terme de diminuer les vulnérabilités dans les applications.
Une ouverture sur l‘avenir
Le déport de certaine fonctions et responsabilités dans le « cloud », concept à la mode actuellement, pourrait permettre une amélioration du niveau de sécurité de certaines entreprises. En effet, en externalisant et centralisant ce type de responsabilité sur un acteur expérimenté et soumis contractuellement à une obligation de résultat, il est possible que les processus sécurité de base soient mieux suivis.
Est-ce pour autant une déresponsabilisation de l’entreprise ? Non. Cette dernière devra malgré tout suivre ses prestataires de service et auditer régulièrement le niveau de service rendu pour s’assurer que tout est en ordre et répond à ses besoins.
Des conclusions ?
Bien que les nouvelles tendances annoncent l’inutilité et la mort prochaine des outils traditionnels de la sécurité, il semblerait malgré tout que les updates, antivirus/antimalware et autres hardening aient encore une utilité et réduisent les risques de façon significative.
Pour ouvrir le débat et ne pas rester sur l’analyse d’un éditeur, je ferai référence à mon précédent post où le directeur de l’ANSSI a fermement porté un message assez proche.
Par ailleurs, pour ceux qui souhaiteraient approfondir le sujet antivirus, le dernier numéro du magasine « Global Securit Mag » titre en couverture « que reste-t-il de nos antivirus ? » - un moyen simple de croiser les informations et de nourrir les réflexions...
Un dernier chiffre pour la route : 13%. C’est l’augmentation, selon Microsoft, des incidents détectés sur le territoire français entre H1 et H2 par l’outil MSRT. Les acteurs de la sécurité ont encore une longue route à parcourir !
Cédric