En sécurité informatique, une vulnérabilité est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l’intégrité du système d’informations.
Ces vulnérabilités sont la conséquence de faiblesses dans la conception d’un logiciel ou d’un site web liées à des erreurs de programmation ou à de mauvaises pratiques.
Ces dysfonctionnements sont en général corrigés à mesure de leurs découvertes, mais l’entreprise reste exposée à une éventuelle exploitation tant que le correctif n’est pas publié et installé. C’est pourquoi il est important de maintenir les logiciels à jour avec les correctifs fournis par les éditeurs de logiciels et d’avoir un site web proprement maintenu.
Les personnes mal intentionnées exploitant une faille de sécurité recherchent principalement à s’introduire dans le système d’information soit pour le compromettre en le rendant indisponible (exemple : attaque par déni de service) ou soit pour voler des données.
L’interruption de service d’une entreprise suite à une attaque peut coûter énormément d’argent mais un vol de données critiques et hautement confidentielles peut dévaster complètement une société. Les plaintes déposées par les victimes indirectes se cachant derrière ces données peuvent réclamer par la suite des dommages et intérêts ce qui peut se transformer en lynchage médiatique si l’on parle de société multinationale comme on a pu le voir récemment dans les journaux (cf. Equifax).
De plus, les entreprises de l’union européenne vont être soumises à une nouvelle réglementation qui va renforcer la protection de données personnelles, la RGPD. Cette réforme va durcir les politiques en matière d’acquisition et de rétention d’informations de leurs clients.
Acquisition
Dans le cas de l’acquisition, ceci concerne la collecte des données clients qui rassemble généralement le nom et prénom d’une personne, sa date de naissance, son adresse postal, sa carte de paiement, etc. Ses données peuvent être collectées par exemple lors d’une conversation téléphonique faisant l’objet d’une prospection commerciale, mais dans la majorité des cas l’appareil de collecte le plus puissant sera indéniablement le site web de l’organisation.
Un site internet peut collecter une formidable quantité d’informations via la création de comptes clients si celui-ci possède un portail client et le remplissage de formulaire web.
C’est pourquoi il est indispensable de mettre en place une politique de sécurité très strict en prévention de vulnérabilités pouvant être exploitées par des hackeurs. Il existe sur le marché ce que l’on appelle des scanners de faille de vulnérabilités web comme la solution Acunetix, ces scanners vont sonder la structure complète du site web en lançant une série d’attaques automatiques permettant une détection très précise du niveau de protection du site internet. De plus, des rapports de sécurité seront générés permettant aux développeurs web de les aider dans la résolution des problèmes de sécurité identifiés.
Acunetix est le leader en détection de vulnérabilité Web et il est utilisé parmi les 500 plus grandes entreprises du monde et largement reconnu pour inclure la technologie d’injection SQL et de boîte noire XSS la plus avancée. Il explore automatiquement vos sites Web et effectue des techniques de piratage des boîtes noires et des boîtes grises qui détectent des vulnérabilités dangereuses pouvant compromettre votre site Web et vos données.
Stockage des données
Les données concernant par exemple une fiche client peuvent être conservé sur un serveur de fichiers, une base de données mais aussi éventuellement et cela de manière temporaire l’ordinateur de l’utilisateur qui a acquis ces informations.
Les logiciels installés sur les serveurs tout comme les postes clients sont tout autant vulnérables aux attaques. C’est pourquoi il est primordial d’avoir une solution informatique permettant d’obtenir une identification et un inventaire de toutes les vulnérabilités sur les logiciels installés sur votre parc informatique. Même si vos serveurs sont isolés et non atteignable depuis internet, les vecteurs d’attaques peuvent aussi venir de votre réseau local et plus exactement des postes clients.
En effet, les hackeurs n’hésitent pas à abuser de la confiance, de l’ignorance et de la crédulité des utilisateurs en plus de l’exploitation de vulnérabilités logicielles ce que l’on appelle le social engineering. Par exemple, infecter les mises à jour de Adobe Flash Player pour ensuite prendre le contrôle du poste utilisateur peut être une porte d’entrée directe sur des serveurs qui n’ont pas été patché correctement.
La solution Software Vulnerability Manager fournit aux équipes de sécurité et aux services des opérations informatiques des informations qui permettent d’identifier, de suivre et de corriger les applications vulnérables, et ce, avant que leur exploitation n’entraîne des violations coûteuses. Cette solution permet de lancer des initiatives SecOps, puisqu’elle fournit des informations vérifiées de Secunia Research, des avis de vulnérabilité opportuns, des évaluations précises et des correctifs de sécurité, le tout au sein d’une plate-forme unique. Cette approche réduit sensiblement la surface d’exposition aux cyberattaques grâce à une identification plus rapide des applications vulnérables, à la hiérarchisation des menaces et au raccourcissement du délai de remédiation.
La RGPD couvre bien d’autres aspects de la protection des données comme la gestion globales de ces données ou encore les autorisations des personnes ayant le droit d’accéder à ces ressources. Mais avec les deux solutions citées ci-dessus vous aurez couvert en grande partie votre gestion des risques concernant l’exploitation de vulnérabilités informatiques en respect du nouveau règlement européen.
Inscrivez-vous sans plus attendre à nos Webinaire, ou regardez les en différé sur notre chaîne youtube .
A bientôt !
E.R.