D’après une étude réalisée par l’éditeur Datadog, uniquement 3% des failles qualifiées de critiques devraient être priorisés. Alors que les équipes chargées de la sécurité sont entièrement accaparées par les alertes et les informations arrivant de toutes parts. Un tri et une priorisation des vulnérabilités qualifiées de critiques du contexte d’exécution doivent se faire.
Seuls 3% des alertes sont à privilégier. Ce constat revient fréquemment dans les dires des RSSI et autres spécialistes du secteur. Pour remédier à cette situation, les éléments de sélection et de priorisation sont à affiner davantage. Le but est de permettre aux experts en cybersécurité de se concentrer sur les incidents et les vulnérabilités à haut risque.
Datadog a étudié les informations de milliers d’utilisateurs en mars 2023. Le résultat de cette étude révèle un niveau de criticité moindre pour 97 % des vulnérabilités. Ceci en tenant compte des données liées au contexte d’exécution. L’une des failles critiques se trouve dans le système d’évaluation Common Vulnerability Scoring System (CVSS).
Les environnements hors exécution sont davantage visés
Le récent rapport « State of Application Security » publié par Datadog avance certaines pistes sur les failles applicatives. La plupart des vulnérabilités révélées comme critiques ne le sont pas obligatoirement, surtout en considérant la situation particulière de l’entreprise.
Le monde du digital est souvent confronté à quelques failles informatiques. Seul un expert en cybercriminalité possède le savoir-faire requis pour régler ce type de problème. Grâce au portage salarial, le consultant en cybersécurité bénéficie de la même protection sociale que le salarié. Et pour cause, il est soumis aux règlements des charges salariales.
Une partie de ces failles ne s’appliquaient pas aux départements en charge de la production. Cette part équivaut à une attaque sur dix. Les autres cibles sont les services qui n’ont pas subi d’attaque depuis 30 jours.
Ainsi, le degré de criticité passe à :
- Moyen (médium) pour 65% des failles ;
- Élevé (high) pour 32% des vulnérabilités.
Les équipes n’ont plus qu’à prioriser 3% des alertes. Évidemment, cela ne veut pas dire qu’il faut faire abstraction des autres risques. Après l’analyse des tentatives d’attaques, l’éditeur reconnaît que 11% des alertes visent les environnements hors production.
Ce quota est vraisemblablement minimisé. En effet, il concerne uniquement les environnements signalés de manière distincte. C’est le cas notamment de ceux contenant les termes staging ou développement dans leur appellation.
L’éditeur réitère que si de telles attaques parviennent à leurs fins, les conséquences peuvent être graves pour une société. Par exemple, une faille dans un code en évolution favorise les futures attaques par supply chain.
Certains types de failles, qui existent depuis longtemps, sont encore présents dans les applications actuelles. Il y a certains cas où une attaque peut obliger un serveur à manipuler ou déchiffrer les ressources propres d’une entreprise. C’est par exemple le cas du Server-Side Request Forgery (SSRF) (2%).
Les environnements les plus utilisés
but étant de mieux cerner ceux qui montrent le plus de risque en valeur moyenne. Voici alors le résultat :
- Java ;
- .Net ;
- js ;
Faire appel à un consultant en cybercriminalité est la meilleure manière de limiter les effets des attaques. Pour rappel, en tant qu’employé, il doit payer certaines charges salariales, comme l’assurance maladie ou la cotisation chômage.
Concernant les langages les plus ciblés par les attaques, PHP est en tête de liste. Il reste très courant et a été pendant longtemps le plus utilisé pour créer des sites. PHP recense 68% des attaques. Java se trouve juste derrière avec 30%, suivi par Javascript (2%).
L’étude mentionne également une correspondance entre deux éléments :
- La quantité de services mettant en avant des failles critiques ;
- La dépendance à des ressources tierces (bibliothèques).
C’est notamment le cas des environnements se servant de Python, Java ou Node.js. Le nombre de failles observées sur .Net était trop infime pour parvenir à un avis. Les RSSI peuvent néanmoins être rassurés sur un point. L’étude indique que les pirates informatiques opèrent, sans procéder à une sélection minutieuse.
3% des attaques observées ciblent le mauvais langage. 66% des cyberattaques pointent vers les terminaux non présents. 31% d’entre elles sont axées sur les failles relevées au niveau des bases de données non utilisées. 74% des actes de piratage informatique relevés sur les services applicatifs n’atteignent pas le public cible.