Trois tendances émergentes en matière de sécurité
S'adapter à une surface d'attaque en expansion constante
Pour les RSSI, il est essentiel de garder une longueur d'avance sur le paysage des menaces, mais dans la pratique il est difficile de rester toujours en tête. Les acteurs malveillants augmentent la cadence et ciblent de plus en plus les entreprises avec des méthodes d'attaque aussi bien nouvelles que bien établies. Les programmes de sécurité se trouvent confrontés à une expansion constante, et ils ont pour tâche de protéger une surface d'attaque en perpétuelle évolution, d'autant plus que les entreprises s'empressent de créer et de déployer des modèles d'IA internes. Les équipes de sécurité se trouvent alors prises entre des feux, cherchant à suivre à la fois les adversaires et les avancées organisationnelles.
Cet article met en lumière trois tendances émergentes, étayées par des données et des observations liées à des situations réelles, qui exigent une attention et une action immédiates de la part des RSSI.
Tendance nº 1 : les programmes de gestion des vulnérabilités ne sont pas préparés à affronter l'intensification du rythme des armements
Pendant des années, les programmes de gestion des vulnérabilités ont eu du mal à appliquer des correctifs à la même fréquence que celle à laquelle les vulnérabilités étaient divulguées. Le délai moyen de correction d'une vulnérabilité critique sur une application web est lent, il faut compter 35 jours. Malheureusement, à mesure que de nouvelles vulnérabilités sont découvertes chaque année (plus de 5 000 vulnérabilités critiques ont été relevées en 2023) il devient de plus en plus difficile de maintenir une cadence raisonnable pour l'application des correctifs.
Pour compliquer la situation, les acteurs malveillants exploitent de plus en plus les vulnérabilités à la vitesse de l'éclair. Par exemple, la vulnérabilité CVE-2024-27198, divulguée le 4 mars 2024, a exposé les serveurs TeamCity à une compromission totale. Des acteurs malveillants ont tenté d'exploiter la vulnérabilité le jour même, et des attaques ont été observées 22 minutes à peine après la publication du code de démonstration de faisabilité.
Avec près de 100 vulnérabilités zero-day identifiées pour la seule année 2023 (soit une augmentation de 50 % par rapport à l'année précédente), les entreprises sont confrontées à un cycle perpétuel de réponses d'urgence dès la divulgation de l'information.
Recommandations :
Les entreprises doivent adopter une stratégie pluridimensionnelle qui va au-delà de la simple application de correctifs pour atténuer efficacement les risques liés aux vulnérabilités. Commencez par réduire votre surface d'attaque exploitable à l'aide de la segmentation du réseau et des principes Zero Trust.
Ensuite, mettez en œuvre des mesures de protection afin d'empêcher l'exploitation des ressources qui ne disposent pas encore d'un correctif ou de ressources d'application de correctifs. Par exemple, il peut être judicieux de tenir compte dans les pare-feu (à la fois pour le réseau et pour les applications web) des informations sur les menaces afin d'arrêter les tentatives d'exploitation.
Enfin, lors de l'application de correctifs, intéressez-vous en priorité au risque d'exploitation, et non à la gravité de la vulnérabilité. Des ressources telles que le catalogue de vulnérabilités exploitées connues de CISA sont indispensables pour déterminer les priorités.
Tendance nº 2 : les équipes de sécurité doivent se préparer à protéger les modèles d'IA internes
Il a été dit beaucoup de choses sur le risque que les employés utilisent de manière abusive les modèles LLM public, exposant ainsi des données sensibles ; c'est pourquoi des entreprises telles que Samsung ont interdit leur utilisation.
Cependant, on a beaucoup moins parlé des modèles d'IA internes, qui constituent une cible de choix pour les acteurs malveillants. Les entreprises investissent d'ailleurs massivement, et selon les prévisions, leurs dépenses devraient atteindre 143 milliards de dollars d'ici 2027.
Les LLM internes sont susceptibles de disposer d'un large accès à des informations sensibles et à la propriété intellectuelle. Il peut s'agir, par exemple, d'un copilote d'IA formé avec des données commerciales et des interactions avec les clients, utilisé pour générer des propositions personnalisées, ou encore d'un LLM formé avec une base de connaissances interne et que les ingénieurs peuvent interroger. Par ailleurs, les modèles fonctionnant sur des machines de grande puissance, des acteurs animés par des motivations financières peuvent les cibler pour leur puissance de calcul.
Les attaques contre des LLM internes ne se limitent pas à la théorie, il s'en est déjà produit. Les acteurs malveillants ont exploité Ray, un cadre en IA populaire, qui a ouvert l'accès aux charges de travail d'IA de production de centaines d'entreprises. Cette faille leur a permis de voler des données sensibles, des mots de passe et des droits d'accès dans le cloud. Les acteurs ont également déployé un logiciel malveillant de minage de cryptomonnaie.
Recommandations :
Les responsables de la sécurité doivent s'assurer que leurs équipes prennent conscience des risques liés à l'utilisation des LLM et s'impliquent activement dans des projets d'entreprise visant à déployer des LLM internes. À partir du Top 10 de l'OWASP en matière de LLM, nous pouvons guider les entreprises dans la priorisation des mesures de protection, depuis la prévention des pertes de données jusqu'aux pare-feu dédiés à l'IA.
Tendance nº 3 : l'augmentation du nombre d'attaques sur les VPN pousse les entreprises à chercher d'autres solutions d'accès à distance
L'année dernière il a été observé une augmentation significative du nombre d'attaques réussies contre des équipements de sécurité, en particulier des VPN. Au cours des quatre premiers mois de l'année 2024, il est apparu des vulnérabilités zero-day importantes pour le VPN SecureConnect d'Ivanti, le VPN/pare-feu GlobalProtect de Palo Alto Networks et les fonctionnalités VPN de l'équipement de sécurité adaptatif de Cisco.
Les acteurs malveillants ciblent délibérément ces outils, car une fois compromis, ces derniers ouvrent un large accès au réseau d'une entreprise. Maintenant que les VPN font l'objet d'attaques bien trop fréquentes, de nombreuses entreprises étudient d'autres options d'accès à distance.
Les outils d'accès réseau Zero Trust (ZTNA) sont une possibilité ; ils permettent d'authentifier un accès à une application spécifique plutôt qu'au réseau dans son ensemble. Ils offrent également des avantages en matière de performances, permettant aux employés d'accéder plus rapidement et plus facilement aux ressources internes.
Le ZTNA constitue un point de départ courant pour les entreprises qui adoptent le Zero Trust. D'après une étude ESG* portant sur 200 professionnels de la cybersécurité et de l'informatique, les deux scénarios d'utilisation les mieux classés pour la mise en œuvre initiale de la sécurité Zero Trust sont l'application de politiques d'accès Zero Trust aux applications ( Zero Trust application Access, ZTAA) pour les applications SaaS et le déploiement d'un accès réseau Zero Trust (ZTNA) pour les applications privées. Et en réalité, 75 % des professionnels de la cybersécurité et de l'informatique utilisant actuellement le ZTNA déclarent avoir remplacé les VPN pour tous leurs employés ou prévoient de les abandonner.
Recommandations :
Les défenses basées sur le périmètre, comme les VPN, n'ont plus de sens dans le contexte actuel des menaces et de l'essor du télétravail. Les RSSI doivent élaborer une feuille de route pour l'adoption de la sécurité Zero Trust, le remplacement du VPN étant l'une des premières étapes de la feuille de route. Pour démontrer rapidement la valeur de votre solution, commencez par un scénario d'utilisation plus restreint ou un ensemble ciblé d'utilisateurs, puis développez à partir de là. Prenez en compte divers facteurs, tels que la vitesse de déploiement, les profils de risque des utilisateurs et des applications, les commentaires des collaborateurs et le calendrier des contrats existants, afin de donner la priorité au déploiement et d'optimiser l'efficacité.
Toujours une longueur d'avance sur les risques émergents
Plus les entreprises s'appuient sur une infrastructure IT décentralisée et adoptent le travail hybride/distribué, plus la complexité liée à la sécurisation de celles-ci continue de s'intensifier. La lutte contre ces menaces impliquait traditionnellement l'assemblage manuel d'une suite toujours croissante d'outils traditionnels et cloisonnés sur l'ensemble des domaines de sécurité (p. ex. sécurité du réseau, sécurité des applications, sécurité des données, informations sur les menaces).
Cloudflare est une plateforme unifiée et intelligente de services cloud-native programmables, permettant d'assurer une sécurité sur tous les fronts afin de protéger les personnes, les applications et les réseaux. Cela permet aux entreprises de reprendre le contrôle, de réduire les coûts et de limiter les risques liés à la sécurisation d'un environnement réseau étendu.
*Enterprise Strategy Group, une division de TechTarget, Inc. Research Survey, Cloudflare Zero Trust for the Workforce Survey, mai 2024
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Découvrez les dernières tendances en matière de sécurité en consultant le nouveau rapport de Cloudflare : Security Brief: Threats against people, apps, and infrastructure.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
La manière dont la sécurité s'efforce de suivre le rythme des adversaires et des avancées organisationnelles
Trois tendances émergentes nécessitant une attention immédiate de la part des RSSI
Recommandations pratiques pour aider les organisations à obtenir et conserver une longueur d'avance