Imaginez la forteresse numérique de votre organisation. Imaginez maintenant qu’elle comporte un millier de portes cachées, chacune d’entre elles étant un point d’entrée potentiel pour les cybermenaces. Dans le monde de la cybersécurité, ces portes sont appelées « vulnérabilités de la surface d’attaque externe ». Comprendre leur fonctionnement est la première étape pour les maintenir verrouillées. 

Les vulnérabilités de la surface d’attaque externe constituent les points faibles du réseau d’une entreprise pouvant potentiellement être exploités par des acteurs malveillants. Cela concerne notamment les serveurs web accessibles au public, les serveurs de messagerie, etc. Les entreprises doivent être conscientes des risques associés à ces endroits vulnérables et prendre les mesures appropriées pour protéger leurs réseaux contre les attaques.  

Dans cet article, nous examinons les vulnérabilités les plus courantes de la surface d’attaque externe, le risque potentiel qu’elles représentent pour votre organisation – si elles sont exploitées – et comment gérer ces vulnérabilités avec une solution de gestion de la surface d’attaque externe (EASM) .  

Des contrôles d’accès mal configurés 

Une enquête menée auprès de 775 experts en cybersécurité dans le monde entier révèle que les incidents liés à une mauvaise configuration ont augmenté de 10 % en 2021– une tendance qui devrait encore s’accélérer à mesure que l’adoption du cloud continue d’augmenter. Plus révélateur encore, 27 % des organisations incriminent une mauvaise configuration comme le principal problème auquel elles sont confrontées, dépassant de loin d’autres préoccupations telles que les données exposées ou les comptes compromis. 

Un cas récent illustre parfaitement ce point. Un bac Amazon S3 mal configuré a permis à n’importe quelle personne d’accéder sans mot de passe à 3 To de données aéroportuaires – plus de 1,5 million de fichiers. Ces fichiers contenaient les photos d’identité des employés de l’aéroport et d’autres informations personnelles identifiables (PII), ainsi que des documents sensibles sur l’entretien des avions et des pistes. 

Logiciels et matériel non corrigés 

Les logiciels non corrigés constituent un autre vecteur d’attaque important pour les acteurs malveillants. Qu’il s’agisse d’un système d’exploitation, d’un navigateur web ou même d’un équipement réseau comme un routeur : s’il n’est pas updaté avec les correctifs et les mises à jour de sécurité, les attaquants pourront être en mesure d’exploiter les vulnérabilités. 

D’après un rapport récent, plus de la moitié des organisations possèdent au moins un appareil équipé d’un système d’exploitation ou d’une application obsolète. Un exemple récent de la menace persistante en matière de cybersécurité est l’attaque ciblée du logiciel d’échange de fichiers IBM Aspera Faspex non corrigé par des groupes de ransomware comme Buhti et IceFire. Bien qu’IBM ait corrigé la faille, appelée CVE-2022-47986, des tentatives actives d’exploitation des versions vulnérables continuent d’être signalées, y compris des attaques avec chiffrement sur plusieurs serveurs. 

Ports et services ouverts 

Les ports ouverts peuvent présenter de sérieux risques pour les environnements informatiques, les acteurs de la menace exploitant ces vulnérabilités par le biais de techniques comme l’usurpation d’identité, le bourrage d’identifiants et d’autres méthodes malveillantes. 

Plusieurs ports spécifiques ont été identifiés comme particulièrement sensibles aux cyberattaques : les ports 20 et 21 (FTP), le port 22 (SSH), le port 3389 (Bureau à distance), mais beaucoup d’autres sont également vulnérables.  

Par exemple, le ransomware WannaCry, qui a exploité la vulnérabilité SMB, et les campagnes en cours ciblant le protocole de bureau à distance de Microsoft, illustrent les conséquences de ces vulnérabilités dans le monde réel. 

Les faiblesses d’un réseau public 

Un solide réseau public agit comme la première ligne de défense contre les menaces extérieures. En l’absence de mesures de sécurité appropriées, des acteurs malveillants peuvent facilement pénétrer dans le réseau, ce qui entraîne des accès non autorisés, des compromissions de données, voire une prise de contrôle totale du système. 

Dans l’une des attaques les plus sophistiquées de l’histoire récente, des acteurs malveillants ont compromis le logiciel SolarWinds Orion en insérant une vulnérabilité dans les mises à jour du logiciel. Des faiblesses de leur réseau public  et l’absence de surveillance appropriée ont permis aux attaquants de se déplacer latéralement dans les réseaux de milliers de clients de SolarWinds, notamment plusieurs agences gouvernementales américaines. 

Phishing et ingénierie sociale 

L’élément humain est toujours responsable de l’écrasante majorité des incidents et est à l’origine de 74 % du nombre total de compromissions, et cela, même si les entreprises continuent de protéger leurs infrastructures clés et de renforcer la formation aux protocoles de cybersécurité. 

Selon le rapport annuel Data Breach Investigations Report (DBIR) 2023 de Verizon, les attaques par ingénierie sociale, y compris les attaques de type Business Email Compromise (BEC), se sont révélées très efficaces et rentables pour les cybercriminels. Cela pourrait expliquer l’augmentation substantielle de ces types d’attaques qui se multiplient presque par deux d’une année sur l’autre. 

API non sécurisées 

Les entreprises s’appuyant de plus en plus sur des applications interconnectées et des services basés sur le cloud, la sécurité des API est devenue un point central des stratégies de cybersécurité. Les API sont une cible lucrative pour les pirates qui cherchent à accéder à des informations personnelles identifiables (PII) et à orchestrer des attaques d’ingénierie sociale sophistiquées. 

En juin 2021, une vulnérabilité dans l’API de Twitter est découverte puis corrigée, mais elle a eu des conséquences importantes par la suite. En décembre, un pirate informatique prétend avoir mis en vente les données personnelles de 400 millions d’utilisateurs sur le dark web, et les détails des comptes et les adresses électroniques de 235 millions d’utilisateurs ont été divulgués gratuitement. La faille a révélé des informations comme les noms de compte, les identifiants, les dates de création des comptes, le nombre de followers et les adresses électroniques des utilisateurs. 

Chiffrement obsolète ou non sécurisé 

Le chiffrement est un élément essentiel de toute stratégie de sécurité. Toutefois, les protocoles de cryptage obsolètes ou non sécurisés peuvent présenter des risques majeurs.  

Le récent incident de sécurité impliquant une clé Microsoft compromise, attribuée à l’acteur chinois Storm-0558, connaît de vastes implications. Les chercheurs ont découvert que la clé compromise ne se limitait pas à Outlook.com et Exchange Online, mais qu’elle aurait également pu être utilisée pour falsifier des jetons d’accès à diverses applications Azure Active Directory, comme SharePoint, Teams et OneDrive. 

Bien que Microsoft ait atténué le risque en révoquant la clé concernée, la détection des faux jetons peut encore s’avérer difficile pour les clients en raison de l’absence de logs dans le processus de vérification des jetons. Cet incident souligne l’immense pouvoir des clés de signature des fournisseurs d’identité et appelle à plus de sécurité et de transparence dans la protection de ces clés afin d’éviter des incidents similaires à l’avenir et de réduire leur impact potentiel. 

Dépendances auprès de tiers 

Les librairies externes, qui offrent l’avantage d’une fonctionnalité supplémentaire sans qu’il soit nécessaire de partir de zéro, présentent l’inconvénient d’un contrôle organisationnel limité pour leur sécurité. Ce manque de contrôle signifie que les vulnérabilités de ces composants peuvent mettre en péril l’ensemble du système. 

Le danger est particulièrement prononcé avec les composants open-source, car les vulnérabilités qu’ils comportent peuvent être exploitées par des acteurs malveillants relativement facilement. De manière alarmante, les chercheurs ont découvert une augmentation de 633 % des cyberattaques ciblant les référentiels de logiciels libres, ce qui reflète le risque croissant associé à la dépendance à l’égard de ces éléments externes. 

Attaques DDoS 

Le volume des attaques DDoS visant les entreprises financières augmente de 22 % d’une année sur l’autre, selon un nouveau rapport communiqué pour la première fois à Bloomberg. Les attaquants ont principalement utilisé des attaques de la couche applicative, qui sont difficiles à détecter et qui nécessitent des outils spécifiques et de l’expertise pour réussir à les atténuer. 

 

Principales caractéristiques et capacités des solutions EASM

Les vulnérabilités exploitées peuvent entraîner des dommages considérables, notamment des pertes financières, des atteintes à la réputation et des perturbations opérationnelles. L’EASM est une approche moderne qui permet aux organisations d’avoir une visibilité sur leurs surfaces d’attaque externes, d’identifier les vulnérabilités et de gérer efficacement les risques. Des solutions comme Sweepatic EASM d’Outpost24 permettent une meilleure détection des menaces, une gestion proactive des vulnérabilités et améliorent les capacités de réponse aux incidents. 

Voici un aperçu des caractéristiques essentielles d’une solution EASM et de leur contribution au maintien d’une politique de cybersécurité résiliente : 

Surveillance automatisée 24 h/24 et 7j./7 

• Ce qu’elle fait : Elle surveille en permanence la surface d’attaque externe à la recherche de changements et d’anomalies susceptibles de révéler des vulnérabilités. 

• Pourquoi en avez-vous besoin ? En assurant une surveillance permanente, elle garantit que les menaces potentielles sont détectées à temps, ce qui permet d’y remédier rapidement. Cette visibilité permanente contribue à la résilience de l’organisation en matière de cybersécurité. 

Découverte des actifs 

• Ce qu’elle fait : Découvrir et cataloguer tous les actifs orientés vers l’extérieur comme les domaines, les sous-domaines, les adresses IP, etc. 
• Pourquoi en avez-vous besoin ? Connaître tous les actifs externes est la première étape pour les sécuriser. La découverte des actifs permet aux organisations de comprendre leur présence en ligne et par conséquent de prendre des décisions plus éclairées en matière de sécurité. 

Évaluation de la vulnérabilité 

• Ce qu’elle fait : Elle identifie et hiérarchise les vulnérabilités de la surface d’attaque externe, ce qui permet aux entreprises de comprendre où elles sont le plus à risque. 
• Pourquoi en avez-vous besoin ? En recherchant régulièrement les vulnérabilités connues, les entreprises peuvent les corriger et les sécuriser avant qu’elles ne soient exploitées. Cette approche proactive renforce la capacité de l’organisation à résister aux attaques. 

Évaluation des configurations 

• Ce qu’elle fait : Elle examine la configuration des actifs orientés vers l’extérieur pour s’assurer qu’ils sont alignés sur les meilleures pratiques et les normes de conformité. 
• Pourquoi en avez-vous besoin ? Les mauvaises configurations peuvent souvent conduire à des expositions inattendues. En évaluant régulièrement la configuration, les organisations peuvent corriger ces vulnérabilités potentielles et réduire la surface d’attaque. 

Évaluation de la surface d’attaque 

• Ce qu’elle fait : Elle fournit une mesure quantifiable du risque de sécurité de la surface d’attaque externe d’une organisation, souvent basée sur différents facteurs comme les vulnérabilités, les configurations et d’autres paramètres de risque. 
• Pourquoi en avez-vous besoin ? En disposant d’un indicateur mesurable, les organisations peuvent suivre leurs progrès au fil du temps et concentrer leurs ressources sur les domaines qui requièrent le plus d’attention. Cela contribue à une stratégie globale de cybersécurité plus robuste. 

 

Les bonnes pratiques pour l’EASM

Lors de la mise en œuvre et de l’utilisation des solutions EASM, les organisations doivent respecter un ensemble de bonnes pratiques, parmi lesquelles :  

• Une gestion proactive des vulnérabilités : Rechercher activement les faiblesses à l’aide d’outils offrant une visibilité en temps réel. 
• Une analyse et une surveillance régulières : Analyser et surveiller en permanence pour détecter rapidement les menaces. 
• Des corrections en temps utile : Maintenir les logiciels à jour et appliquer systématiquement les correctifs afin de réduire le risque d’exploitation. 
• Une amélioration continue des contrôles de sécurité : Examiner et mettre à jour régulièrement les contrôles de sécurité pour les adapter à l’évolution du paysage des menaces. 

• La formation du personnel : Sensibiliser le personnel aux méthodes d’attaque courantes et favoriser une culture de la cybersécurité. 

Une stratégie solide opérationnelle et efficace de gestion de la surface d’attaque externe exige une approche proactive, une vigilance constante et un accent mis sur l’éducation et la collaboration. En suivant ces bonnes pratiques, les organisations mettront en place une défense solide contre le paysage des cybermenaces – en constante évolution.  

La solution EASM d’Outpost24 propose une approche multicouche de la cybersécurité. La synergie de la surveillance 24 h/24 et 7j./7, de la découverte des actifs, de l’évaluation des vulnérabilités et des configurations ainsi que de l’évaluation de la surface d’attaque, garantissent que les organisations sont non seulement conscientes de leur posture de sécurité actuelle, mais sont également équipées pour évoluer et s’adapter aux menaces émergentes.