Des recherches limitées menées auprès de 45 organisations suggèrent que les réseaux d’entreprise sont presque toujours piratables lorsqu’un pirate informatique s’y intéresse.
Des tests effectués sur différents réseaux d’entreprise de 45 organisations différentes montrent que la majorité d’entre elles sont vulnérables aux pirates informatiques. Cette conclusion est tirée par Positive Technologies, qui a effectué des tests de pénétration approfondis. L’entreprise a testé plusieurs éléments chez les clients. Dans 93 % des réseaux examinés, il a été possible d’obtenir un accès en deux jours en moyenne.
Informations de connexion
Dans 71 % des cas, il a été possible de pénétrer dans le réseau en utilisant des combinaisons de login et de mot de passe. Il s’agissait généralement de mauvais mots de passe que les chercheurs pouvaient deviner. Des mots de passe d’administrateur ont également pu être trouvés. Les résultats montrent l’importance de l’authentification multifactorielle. En introduisant un facteur supplémentaire dans le processus de connexion, un mot de passe faible ne suffit pas à un attaquant pour obtenir un accès.
Il faut aussi noter que les attaquants n’ont dû recourir à des vulnérabilités de type « zero-day » que dans six pour cent des cas. Lorsque l’attaque se faisait par le biais de bogues ou de fuites, il s’agissait presque toujours de vulnérabilités connues pour lesquelles un correctif existait déjà.
En outre, il apparaît que la plupart des organisations n’utilisent pas la segmentation du réseau. Il est ainsi plus facile pour les attaquants de causer des dommages s’ils parviennent à entrer.
Activités disruptives
20 clients de Positive Technologies ont en outre demandé une vérification des « événements inacceptables ». Il s’agit de scénarios dans lesquels un attaquant peut réussir à perturber les activités d’une entreprise. 71 % des événements vérifiés étaient possibles pour un attaquant. Il a fallu plusieurs jours à un mois pour obtenir les résultats nécessaires.
Positive Technologies note également qu’aucune des 45 entreprises n’était armée contre une menace interne. Dans tous les cas, un employé a pu prendre le contrôle total de l’infrastructure.
Tout le monde piratable
L’échantillon de Positive Technologies est très limité. Elle donne également une indication de la vulnérabilité des réseaux, notamment lorsque des attaquants qualifiés investissent du temps et des efforts pour pirater une cible spécifique. Ces chiffres montrent d’une part qu’il existe une grande marge de manœuvre pour renforcer la sécurité. L’authentification multifactorielle et l’application de correctifs en temps voulu amélioreraient considérablement la sécurité. D’autre part, nous voyons que la sécurité à 100 % est impossible. Outre la sécurité, il est donc également souhaitable de se concentrer sur la détection et certainement la réaction après une attaque.