Vidéo: L'EIRL (Novembre 2024)
Avec ses murs épais, ses voûtes massives et son système de sécurité interne, un ancien bâtiment de banque est l’image même de la solidité. Les banques et les institutions financières en ligne ne partagent pas ce niveau de sécurité physique. En fait, grâce aux relations avec des partenaires tiers, les limites d’une telle institution peuvent être ténues. Au cours de la conférence RSA à San Francisco, Lookingglass Cyber Solutions a publié une étude révélant un manque de sécurité choquant parmi ces fournisseurs tiers.
Ce genre de problème a été dans les nouvelles récemment. La violation massive de données Black Friday à Target, qui était à l'origine considérée comme un "travail interne", s'est avérée être d'origine tierce. Plus précisément, l'attaque a été transmise par le fournisseur de services CVC de Target. Le propriétaire de la société l'a décrit comme "une opération sophistiquée de cyber-attaque", mais les données de Lookingglass suggèrent que la sophistication n'est pas toujours nécessaire.
100 pour cent risqué
Pour obtenir les données de cette étude, Lookingglass a effectué un suivi des "processeurs de paiement, auditeurs et autres services financiers au sein de la chaîne d'approvisionnement du secteur financier". L'étude s'est déroulée sur une période de 35 jours au quatrième trimestre de 2013 et a révélé que 100% des réseaux tiers "montraient des signes de compromis ou un risque accru".
Les chercheurs de Lookingglass ont détecté du trafic de botnet sortant et des comportements réseau malveillants dans 75% des réseaux tiers. C'est assez choquant. Pire encore, 25% du total ont montré des signes d’infection par le cheval de Troie bancaire Zeus. Et certains de ces tiers font eux-mêmes appel à des tiers, ce qui augmente les risques de violation.
Trop de portes
"Cette étude met en évidence une faiblesse que l’industrie hésite beaucoup à évoquer publiquement - le fait que des tiers de confiance ne doivent pas et ne peuvent pas être véritablement dignes de confiance", a déclaré Chris Coleman, PDG de Lookingglass. "Les organisations mondiales (…) doivent regarder au-delà de leurs propres périmètres défensifs et envisager de surveiller leur présence publique sur Internet afin de mieux comprendre leur surface d'attaque."
Ce bon vieux bâtiment de banque a aussi peu de portes que possible et chaque porte solide est équipée d’un système d’alarme et de caméras de sécurité. Pour une institution financière en ligne, chaque connexion à un tiers est une porte qui pourrait laisser échapper les cybercriminels. Pire encore, il peut être difficile de se rendre compte qu'un tel portail existe déjà. Qui aurait pensé que les attaquants de Target pourraient entrer par l'intermédiaire du fournisseur de CVC? Le rapport complet va plus en détail, pour ceux qui sont intéressés.
La leçon est claire. Votre institution en ligne est aussi sécurisée que ses fournisseurs tiers. Vous devrez donc les vérifier minutieusement. Appelez pour un audit ou utilisez un service tel que Lookingglass qui vérifie la sécurité de "l'ensemble du cyber-écosystème de l'entreprise d'un client, y compris l'entreprise étendue, et d'autres réseaux indépendants de sa volonté". Les sites Web qui étendent correctement la sécurité au-delà de leur sphère d’influence resteront sereins pendant que leurs concurrents subiront des violations successives.