Un nouveau rapport Cloudflare démontre que les entreprises rencontrent des problèmes avec les approches de sécurité obsolètes, tandis que le nombre de menaces en ligne augmente
Un nouveau rapport Cloudflare démontre que les entreprises rencontrent des problèmes avec les approches de sécurité obsolètes, tandis que le nombre de menaces en ligne augmente
Les statistiques révèlent un délai record avant exploitation pour une nouvelle vulnérabilité zero-day, l'attaque DDoS la plus volumineuse de l'histoire d'Internet et un accroissement des menaces sur la chaîne d'approvisionnement
Les statistiques révèlent un délai record avant exploitation pour une nouvelle vulnérabilité zero-day, l'attaque DDoS la plus volumineuse de l'histoire d'Internet et un accroissement des menaces sur la chaîne d'approvisionnement
Paris, le 25 juin 2024 — Cloudflare, Inc. (NYSE : NET), le leader dans le domaine du cloud de connectivité, publie son rapport intitulé L'état de la sécurité des applications en 2024. Les conclusions du rapport de cette année révèlent que les équipes de sécurité ont du mal à suivre le rythme des risques posés par la dépendance des entreprises envers les applications modernes, c'est-à-dire la technologie qui soutient l'ensemble des sites les plus fréquentés aujourd'hui. Le rapport souligne que le volume de menaces provenant de la chaîne d'approvisionnement logicielle, ainsi que le nombre croissant d'attaques par déni de service distribué (DDoS) et de bots malveillants, dépassent souvent les ressources dont disposent les équipes dédiées à la sécurité des applications.
Le monde numérique d'aujourd'hui tourne autour des applications web et des API. Ces dernières permettent aux sites d'e-commerce d'accepter les paiements, aux systèmes de santé de partager les données des patients de manière sécurisée, tout en nous permettant également d'utiliser nos téléphones. Toutefois, plus nous nous reposons sur ces applications, plus la surface d'attaque s'étend. Ce phénomène est encore amplifié par la demande poussant les développeurs à proposer rapidement de nouvelles fonctionnalités (p. ex. des fonctions soutenues par l'IA générative). Or, si les applications restent sans protection, leur exploitation peut conduire à des perturbations de l'activité, à des pertes financières et à l'effondrement d'infrastructures essentielles.
« Les applications web sont rarement conçues dans une optique de sécurité. Pourtant, nous nous en servons tous les jours pour toutes sortes de fonctions critiques et cette utilisation en fait une cible de choix pour les pirates », explique Matthew Prince, cofondateur et CEO de Cloudflare. « Le réseau Cloudflare bloque en moyenne 209 milliards de cybermenaces chaque jour pour ses clients. La couche de sécurité entourant les applications d'aujourd'hui est devenue l'un des composants les plus essentiels pour s'assurer qu'Internet demeure sécurisé. »
Quelques conclusions essentielles du rapport Cloudflare 2024 consacré à l'état de la sécurité des applications :
- Les attaques DDoS continuent d'augmenter en nombre et en volume : l'approche DDoS demeure le vecteur de menace le plus utilisé pour s'en prendre aux applications web et aux API, en totalisant 37,1 % de l'ensemble du trafic d'applications atténué par Cloudflare. Les secteurs les plus visés étaient celui des jeux vidéo/jeux de hasard, le secteur de l'informatique et d'Internet, le secteur des cryptomonnaies, le secteur des logiciels, ainsi que celui du marketing et de la publicité.
- Premier correctif et première exploitation, la course entre les systèmes de défense et les acteurs malveillants s'accélère : Cloudflare a observé un délai d'exploitation plus rapide que jamais des nouvelles vulnérabilités zero-day, avec notamment une occurrence d'exploitation seulement 22 minutes après la publication de la démonstration de faisabilité (PoC, Proof-of-Concept).
- Laissés sans surveillance, les bots malveillants peuvent provoquer d'importantes perturbations : un tiers (31,2 %) de l'ensemble du trafic provient des bots, dont la majeure partie (93 %) ne font l'objet d'aucun contrôle et peuvent se montrer potentiellement malveillants. Les secteurs les plus visés étaient celui de la production et des biens de consommation, le secteur des cryptomonnaies, le secteur de la sécurité et des investigations, ainsi que le gouvernement fédéral américain.
- Les entreprises font appel à des approches obsolètes pour sécuriser leurs API : les règles de pare-feu d'applications web (WAF) traditionnelles qui s'appuient sur un modèle de sécurité négative (la présomption que la majeure partie du trafic web est inoffensif) constituent un des moyens les plus utilisés pour se protéger contre le trafic lié aux API. Un nombre beaucoup plus réduit d'entreprises mettent en œuvre les bonnes pratiques bien plus largement acceptées en termes de sécurité qui composent un modèle de sécurité positive (c'est-à-dire une définition stricte du trafic autorisé, le système refusant le reste).
- Les dépendances liées à des logiciels tiers posent un risque croissant : les entreprises utilisent en moyenne 47,1 éléments de code provenant de fournisseurs tiers et établissent une moyenne de 49,6 connexions sortantes à des ressources tierces pour renforcer l'efficacité et les performances de leurs sites web (p. ex. en tirant parti de Google Analytics ou Ads). Toutefois, comme le développement web s'est largement adapté pour autoriser le chargement de ce type de code tiers et d'activité au sein du navigateur de l'utilisateur, les entreprises sont de plus en plus exposées aux risques visant la chaîne d'approvisionnement, ainsi qu'aux problèmes de responsabilité et de conformité.
Méthodologie du rapport : ce rapport se base sur les schémas de trafic agrégé (observés du 1er avril 2023 au 31 mars 2024) sur l'ensemble du réseau mondial de Cloudflare. Les données et les informations sur les menaces issues du réseau Cloudflare sont complétées par des sources tierces, telles que citées dans le rapport. Cloudflare a atténué 6,8 % du trafic liés aux applications web et aux API sur la période de collecte des données. Le trafic atténué se définit comme n'importe quel trafic bloqué ou ayant fait l'objet d'un test de vérification par Cloudflare. Le type de menace spécifique et la technique d'atténuation mise en œuvre dépendent de nombreux facteurs, comme les potentielles lacunes dans la sécurité des applications, la nature de l'activité de la victime et les objectifs de l'acteur malveillant.
Pour en savoir plus, n'hésitez pas à consulter les ressources suivantes :
- Rapport Cloudflare sur l'état de la sécurité des applications en 2024
- Services pour applications Cloudflare
À propos de Cloudflare
Cloudflare, Inc. (NYSE : NET), le leader dans le domaine du cloud de connectivité, s'est donné pour mission de contribuer à bâtir un Internet meilleur. Nous fournissons aux entreprises tous les moyens nécessaires pour rendre leurs collaborateurs, leurs applications et leurs réseaux plus rapides et plus sûrs, partout dans le monde, tout en réduisant la complexité et les coûts. Le cloud de connectivité Cloudflare propose la plateforme unifiée la plus complète en matière de produits et d'outils de développement cloud-native, afin de permettre à toutes les entreprises de bénéficier des mesures de contrôle dont elles ont besoin pour travailler, développer et dynamiser leur activité.
Reposant sur l'un des réseaux les plus vastes et les plus interconnectés du monde, Cloudflare bloque chaque jour des milliards de menaces en ligne pour le compte de ses clients. Des millions d'entreprises et d'organisations nous font confiance, des plus grandes marques aux entrepreneurs individuels et aux PME, en passant par divers organismes à but non lucratif, groupes d'assistance humanitaire et administrations à travers le monde.
Pour en apprendre davantage sur le cloud de connectivité Cloudflare, rendez-vous sur cloudflare.com/connectivity-cloud. Pour découvrir les nouvelles tendances et informations concernant Internet, rendez-vous sur https://radar.cloudflare.com.
Suivez-nous : Blog | X | LinkedIn | Facebook | Instagram
Déclarations prospectives
Le présent communiqué de presse contient des déclarations prospectives au sens de la section 27A de la loi Securities Act de 1933, dans sa version modifiée, et de la section 21E de la loi Securities Exchange Act de 1934, dans sa version modifiée, lesquelles déclarations comportent des incertitudes et risques substantiels. Dans certains cas, les déclarations prospectives peuvent être identifiées par la présence de mots tels que « peut », « sera », « devrait », « s'attend à », « étudie », « planifie », « prévoit », « pourrait », « a l'intention de », « vise », « projette », « envisage », « considère », « estime », « prédit », « potentiel » ou « continue » ou de la forme négative de ces mots ou d'autres termes ou expressions similaires concernant les attentes, la stratégie, les plans ou les intentions de Cloudflare. Toutes les déclarations prospectives ne contiennent cependant pas les termes identificateurs suscités. Les déclarations prospectives exprimées ou sous-entendues dans le présent communiqué de presse comprennent, sans s'y limiter, les déclarations à l'égard des produits et des technologies de Cloudflare, le développement technologique, les opérations, la croissance, les initiatives ou les stratégies futures de Cloudflare, les futures tendances du marché, de même que les commentaires formulés par le CEO de Cloudflare. Les résultats réels peuvent différer sensiblement des résultats énoncés ou sous-entendus dans les déclarations prospectives en raison d'un certain nombre de facteurs, notamment, sans s'y limiter, les risques détaillés dans les documents déposés par Cloudflare auprès de la Securities and Exchange Commission (SEC), comme notre rapport annuel sur formulaire 10-Q déposé le 2 mai 2024, ainsi que d'autres documents susceptibles d'être déposés ponctuellement par Cloudflare auprès de la SEC.
Les déclarations prospectives effectuées dans le présent communiqué de presse concernent uniquement les événements survenus à la date à laquelle sont effectuées lesdites déclarations. Cloudflare ne s'engage aucunement à mettre à jour les déclarations prospectives contenues dans le présent communiqué de presse afin de refléter des événements ou des circonstances postérieurs à la date du présent communiqué de presse ou de refléter de nouvelles informations ou la survenue d'événements imprévus, sauf dans les cas prévus par la loi. Cloudflare peut ne pas parvenir à concrétiser réellement les plans, intentions ou attentes divulgués dans ses déclarations prospectives et le lecteur ne devrait donc pas se fier indûment à ces déclarations.
© 2024 Cloudflare, Inc. Tous droits réservés. Cloudflare, le logo Cloudflare et les autres marques Cloudflare sont des marques commerciales et/ou des marques déposées de Cloudflare, Inc. aux États-Unis et dans d'autres juridictions. Tous les autres noms et marques mentionnés dans le présent document peuvent être des marques commerciales de leurs propriétaires respectifs.