Shadow IT et logiciels obsolètes : menaces pour les infrastructures

par | Juin 23, 2024 | Tech | 0 commentaires

shadow it et logiciels obsolètes : menaces pour les infrastructures

D’après une recherche effectuée par Sevco, 6% des ressources informatiques sont à l’approche de leur terme d’utilisation, tandis qu’environ un tiers ne sont pas correctement supervisés. Ceci contribue à accentuer le danger potentiel lié aux failles de sécurité non résolues qui s’accroît continuellement.

Les entreprises pourraient se trouver en situation de vulnérabilité face à des failles connues mais non résolues, dues aux actifs informatiques en fin de vie. Contrairement à ce que l’on pourrait penser, ces failles sont bien réelles. D’après une étude réalisée par Sevco, basée sur l’analyse de 1,2 million d’actifs informatiques (tels que des serveurs, des postes de travail, des terminaux…) de ses clients et prospects, ces actifs représentent 6% de l’ensemble des actifs informatiques. Selon les résultats de cette même étude, 28% de l’ensemble des actifs informatiques ne sont pas soumis à un contrôle critique, comme la protection des endpoints ou la gestion des correctifs. Selon divers experts, les problèmes causés par les logiciels obsolètes et les systèmes informatiques non autorisés, utilisés par les employés sans supervision ni contrôle du département informatique, sont de plus en plus courants.

« Il y a une augmentation exponentielle du nombre et de la disponibilité d’appareils non standardisés, non gérés, connectés à Internet et configurés par des utilisateurs qui ne se soucient pas de la sécurité », a déclaré Rik Ferguson, vice-président de la sécurité chez Forescout. « Ces terminaux ne sont souvent pas aussi bien sécurisés ou aussi visibles que le parc informatique traditionnel, ce qui les rend particulièrement vulnérables. » Récemment, un individu mal intentionné a essayé de vendre un accès à l’entreprise de sécurité en ligne Zscaler. À la suite d’une enquête, il a été révélé que le serveur de test n’était pas hébergé dans son infrastructure principale. L’attaque contre Okta en 2023, rendue possible par l’utilisation de systèmes informatiques non autorisés, a montré comment le shadow IT peut mener à des accès non autorisés et à des violations potentielles de données.

Les logiciels en fin de vie : une source de risques

Les logiciels obsolètes sont une source de risques majeurs car ils augmentent la surface d’attaque et rendent les entreprises plus vulnérables. Par exemple, une version obsolète de JavaScript a contribué à une attaque très médiatisée contre British Airways en 2018. Le risque posé par les systèmes Windows XP obsolètes dans les hôpitaux britanniques a été mis en évidence par le célèbre logiciel malveillant Wannacry en 2017. Les actifs informatiques considérés comme en fin de vie par les fournisseurs ne sont plus éligibles à des mises à jour logicielles régulières ou à des correctifs de sécurité, bien que certaines entreprises offrent un support étendu payant. Par exemple, pour bénéficier de trois ans de mises à jour de sécurité étendues après octobre 2025, il vous en coûtera 427 $ pour un seul PC Windows 10, un montant légèrement inférieur aux 490 $ demandés par Microsoft pour recevoir des correctifs pour Windows 7 jusqu’en 2023. Il n’est donc pas étonnant que certaines organisations à budget limité décident de prendre le risque de se passer de ces mises à jour.

A découvrir :  Cradlepoint lance une solution 5G SASE pour environnements mobiles et distribués

Javvad Malik, responsable de la sensibilisation à la sécurité chez KnowBe4, estime que « le risque le plus grand lié aux logiciels obsolètes concerne les secteurs qui n’ont jamais été connectés à Internet, comme les hôpitaux ou les infrastructures critiques, qui sont souvent équipés de logiciels obsolètes ». Selon Ilia Kolochenko, PDG d’ImmuniWeb, les problèmes liés à l’informatique non autorisée et aux logiciels obsolètes sont « étroitement liés ». Il estime que les entreprises doivent constamment maintenir et mettre à jour un inventaire complet de tous leurs systèmes, logiciels, utilisateurs, comptes, données et tiers ayant accès aux données de l’entreprise pour lutter contre les risques du shadow IT. Comme l’a montré l’étude de Sevco, même les systèmes informatiques officiellement approuvés ne sont pas toujours mis à jour, tout comme ceux qui n’ont pas de système approprié pour la gestion des correctifs. Par exemple, c’est une version non corrigée d’Apache Struts qui a permis le vol massif de données d’Equifax en 2017.

La réponse doit être humaine, et pas seulement technologique

Les spécialistes s’accordent à dire que les entreprises doivent réaliser des audits et des évaluations de risques approfondis. Les meilleures défenses nécessitent une gestion stricte de la configuration, un suivi de la liste des logiciels, une sensibilisation à la sécurité et une limitation de ce qui peut être installé. « Il est essentiel de bien connaître sa surface d’attaque et de réaliser régulièrement des exercices de cartographie des actifs externes », a déclaré Tim West, directeur de la veille sur les menaces chez With Secure. « Il est important de comprendre que la réponse n’est pas uniquement technologique. Il y a un élément humain derrière le shadow IT et les raisons pour lesquelles elle existe. La formation et l’assurance que les processus existants répondent aux besoins du personnel sont tout aussi essentiels », a-t-il ajouté. « Même des développeurs de logiciels expérimentés peuvent oublier un conteneur qu’ils ont déployé dans un cloud avec des données de production, pour tester de nouvelles fonctionnalités, sans parler des utilisateurs non techniciens qui utilisent leurs ordinateurs personnels ou leurs appareils mobiles pour des tâches professionnelles », a souligné Ilia Kolochenko.

Derniers articles catégorie "Tech"

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *