Trois tendances émergentes en matière de sécurité
S'adapter à une surface d'attaque en expansion constante
Pour les RSSI, il est essentiel de garder une longueur d'avance sur le paysage des menaces, mais dans la pratique il est difficile de rester toujours en tête. Les acteurs malveillants augmentent la cadence et ciblent de plus en plus les entreprises avec des méthodes d'attaque aussi bien nouvelles que bien établies. Les programmes de sécurité se trouvent confrontés à une expansion constante, et ils ont pour tâche de protéger une surface d'attaque en perpétuelle évolution, d'autant plus que les entreprises s'empressent de créer et de déployer des modèles d'IA internes. Les équipes de sécurité se trouvent alors prises entre des feux, cherchant à suivre à la fois les adversaires et les avancées organisationnelles.
Cet article met en lumière trois tendances émergentes, étayées par des données et des observations liées à des situations réelles, qui exigent une attention et une action immédiates de la part des RSSI.
Tendance nº 1 : les programmes de gestion des vulnérabilités ne sont pas préparés à affronter l'intensification du rythme des armements
Pendant des années, les programmes de gestion des vulnérabilités ont eu du mal à appliquer des correctifs à la même fréquence que celle à laquelle les vulnérabilités étaient divulguées. Le délai moyen de correction d'une vulnérabilité critique sur une application web est lent, il faut compter 35 jours. Malheureusement, à mesure que de nouvelles vulnérabilités sont découvertes chaque année (plus de 5 000 vulnérabilités critiques ont été relevées en 2023) il devient de plus en plus difficile de maintenir une cadence raisonnable pour l'application des correctifs.
Pour compliquer la situation, les acteurs malveillants exploitent de plus en plus les vulnérabilités à la vitesse de l'éclair. Par exemple, la vulnérabilité CVE-2024-27198, divulguée le 4 mars 2024, a exposé les serveurs TeamCity à une compromission totale. Des acteurs malveillants ont tenté d'exploiter la vulnérabilité le jour même, et des attaques ont été observées 22 minutes à peine après la publication du code de démonstration de faisabilité.
Avec près de 100 vulnérabilités zero-day identifiées pour la seule année 2023 (soit une augmentation de 50 % par rapport à l'année pr�écédente), les entreprises sont confrontées à un cycle perpétuel de réponses d'urgence dès la divulgation de l'information.
Recommandations :
Afin d'atténuer efficacement les risques liés aux vulnérabilités, les entreprises doivent adopter une stratégie pluridimensionnelle qui va au-delà de la simple application de correctifs. Commencez par réduire votre surface d'attaque exploitable en segmentant votre réseau et en déployant les principes Zero Trust.
Ensuite, mettez en œuvre des mesures de protection afin d'empêcher l'exploitation des ressources qui ne disposent pas encore d'un correctif ou de ressources d'application de correctifs. Par exemple, il peut être judicieux de tenir compte dans les pare-feu (à la fois pour le réseau et pour les applications web) des informations sur les menaces afin d'arrêter les tentatives d'exploitation.
Enfin, lors de l'application de correctifs, intéressez-vous en priorité au risque d'exploitation, et non à la gravité de la vulnérabilité. Des ressources telles que le catalogue de vulnérabilités exploitées connues de CISA sont indispensables pour déterminer les priorités.
Tendance nº 2 : les équipes de sécurité doivent se préparer à protéger les modèles d'IA internes
Il a été dit beaucoup de choses sur le risque que les employés utilisent de manière abusive les modèles LLM publics, exposant ainsi des données sensibles ; c'est pourquoi des entreprises telles que Samsung ont interdit leur utilisation.
Cependant, on a beaucoup moins parlé des modèles d'IA internes, qui constituent une cible de choix pour les acteurs malveillants. Les entreprises investissent d'ailleurs massivement, et selon les prévisions, leurs dépenses devraient atteindre 143 milliards de dollars d'ici 2027.
Les LLM internes sont susceptibles de disposer d'un large accès à des informations sensibles et à la propriété intellectuelle. Il peut s'agir, par exemple, d'un copilote d'IA formé avec des données commerciales et des interactions avec les clients, utilisé pour générer des propositions personnalisées, ou encore d'un LLM formé avec une base de connaissances interne et que les ingénieurs peuvent interroger. Par ailleurs, les modèles fonctionnant sur des machines de grande puissance, des acteurs animés par des motivations financières peuvent les cibler pour leur puissance de calcul.
Les attaques contre des LLM internes ne se limitent pas à la théorie, il s'en est déjà produit. Les acteurs malveillants ont exploité Ray, un cadre d'IA open source populaire, qui a ouvert l'accès aux charges de travail d'IA de production de centaines d'entreprises. Cette faille leur a permis de voler des données sensibles, des mots de passe et des droits d'accès dans le cloud. Les acteurs ont également déployé un logiciel malveillant de minage de cryptomonnaie.
Recommandations :
Les responsables de la sécurité doivent s'assurer que leurs équipes prennent conscience des risques liés à l'utilisation des LLM et s'impliquent activement dans les projets de déploiement de LLM internes au sein de leur entreprise. De la prévention des pertes de données aux pare-feu IA dédiés, le Top 10 de l'OWASP des risques liés aux LLM peut servir de point de départ pour guider les entreprises dans la priorisation de leurs mesures de protection.
Tendance nº 3 : l'augmentation du nombre d'attaques sur les VPN pousse les entreprises à chercher d'autres solutions d'accès à distance
L'année dernière il a été observé une augmentation significative du nombre d'attaques réussies contre des équipements de sécurité, en particulier des VPN. Au cours des quatre premiers mois de l'année 2024, il est apparu des vulnérabilités zero-day importantes pour le VPN SecureConnect d'Ivanti, le VPN/pare-feu GlobalProtect de Palo Alto Networks et les fonctionnalités VPN de l'équipement de sécurité adaptatif de Cisco.
Les acteurs malveillants ciblent délibérément ces outils, car une fois compromis, ces derniers ouvrent un large accès au réseau d'une entreprise. Maintenant que les VPN font l'objet d'attaques bien trop fréquentes, de nombreuses entreprises étudient d'autres options d'accès à distance.
En permettant à l'entreprise d'accorder un accès authentifié unique à une application spécifique plutôt qu'au réseau dans son ensemble, les outils d'accès réseau Zero Trust (ZTNA, Zero Trust Network Access) constituent une possibilité. Ils offrent également des avantages en matière de performances, comme le fait de permettre aux collaborateurs d'accéder plus rapidement et plus facilement aux ressources internes.
Le ZTNA constitue un point de départ courant pour les entreprises qui adoptent le Zero Trust. Selon une étude ESG réalisée auprès* de 200 professionnels de la cybersécurité et de l'IT, les deux scénarios d'utilisation les mieux classés concernant la mise en œuvre initiale du Zero Trust sont l'application de politiques d'accès Zero Trust aux applications (Zero Trust Application Access, ZTAA) pour les applications SaaS et le déploiement du ZTNA pour les applications privées. En réalité, 75 % des professionnels de la cybersécurité et de l'IT qui utilisent actuellement le ZTNA déclarent avoir remplacé ou prévoir de remplacer les VPN pour tous leurs collaborateurs.
Recommandations :
Les défenses basées sur le périmètre, comme les VPN, n'ont plus de sens dans le contexte actuel des menaces et de l'essor du télétravail. Les RSSI doivent élaborer une roadmap de l'adoption du Zero Trust, le remplacement du VPN étant l'une des premières étapes sur cette feuille de route. Commencez par un scénario d'utilisation plus restreint ou un ensemble ciblé d'utilisateurs afin de démontrer rapidement la valeur de votre solution, puis développez à partir de là. Prenez en compte divers facteurs, comme la vitesse de mise en œuvre, les profils de risque des utilisateurs et des applications, les retours de vos collaborateurs et le calendrier des contrats existants, afin d'accorder la priorité au déploiement et d'optimiser l'efficacité.
Toujours une longueur d'avance sur les risques émergents
Plus les entreprises s'appuient sur une infrastructure IT décentralisée et adoptent le travail hybride/distribué, plus la complexité liée à la sécurisation de celles-ci continue de croître. La lutte contre ces menaces impliquait traditionnellement l'assemblage manuel d'une suite toujours croissante d'outils traditionnels et cloisonnés sur l'ensemble des domaines de sécurité (p. ex. sécurité réseau, sécurité des applications, sécurité des données et informations sur les menaces).
Cloudflare est une plateforme unifiée et intelligente de services cloud-native programmables, permettant d'assurer une sécurité sur tous les fronts afin de protéger les personnes, les applications et les réseaux. Cela permet aux entreprises de reprendre le contrôle, de réduire les coûts et de limiter les risques liés à la sécurisation d'un environnement réseau étendu.
*Enterprise Strategy Group, une division de TechTarget, Inc. Research Survey, Cloudflare Zero Trust for the Workforce Survey, mai 2024
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur les dernières tendances en matière de sécurité dans notre présentation intitulée Les menaces envers les collaborateurs, les applications et l'infrastructure.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
La sécurité essaie de suivre le rythme des adversaires et des avancées organisationnelles
Trois tendances émergentes nécessitant une attention immédiate de la part des RSSI
Recommandations pratiques pour aider les organisations à obtenir et conserver une longueur d'avance