Lettres d’un chapeau blanc : les 5 failles de sécurité que chaque organisation doit combler dès maintenant

L’identité est le nouveau périmètre (et en pleine explosion)

Autrefois, la « sécurité du périmètre » signifiait construire des murs plus hauts. Aujourd’hui, le mur s’est dissous en un nuage de connexions, d’appareils et d’agents numériques. Les prévisions de l’industrie prédisent 50 à 100 identités agentiques pour chaque identité humaine. Chaque assistant IA, robot d’automatisation ou clé API aura besoin de sa propre gouvernance, de ses propres informations d’identification et de ses propres droits. Il est facile de considérer les agents comme de simples « assistants », mais ce sont des comptes avec accès. Et les attaquants le savent. Si l’un d’entre eux devient trop privilégié ou orphelin, les pirates peuvent en abuser comme n’importe quel compte utilisateur compromis.

Exemple concret : La violation Codecov de 2019 a commencé lorsqu’un attaquant a compromis une image Docker contenant un identifiant codé en dur, permettant l’accès à des environnements sensibles.

Le correctif : Le correctif n’est pas glamour, mais il est essentiel.
• Traitez chaque identité, humaine ou machine, comme un risque égal.
• Automatisez le provisionnement et le déprovisionnement.
• Appliquez le moindre privilège et un accès limité dans le temps.
• Vérifiez fréquemment les droits.

Gouvernance des identités est l’échafaudage du Zero Trust. Sans cela, tout le reste n’est que décoration.

Applications cloud mal configurées

Les services cloud ont démocratisé l’infrastructure et démocratisé les erreurs. Un seul compartiment de stockage mal configuré ou un rôle IAM permissif peut ouvrir une porte dérobée vers des données sensibles. Les attaquants n’ont pas besoin d’exploits personnalisés ; ils ont juste besoin de Google Dorking et d’un scan Shodan.

Exemple concret : En 2019, Capital One a subi une violation lorsqu’un attaquant a exploité un pare-feu AWS mal configuré pour accéder aux données sensibles des clients.

Le correctif : Atténuez les problèmes grâce à Cloud Security Posture Management (CSPM) et rendez « public par défaut » un paramètre interdit. Automatisez les garde-fous dans CI/CD, appliquez le moindre privilège sur chaque intégration SaaS et inventoriez les connexions OAuth. Chaque mauvaise configuration est un accident qui attend de devenir un incident. En 2025, près de 70 % des violations signalées dans le cloud ont commencé de cette façon.

Vulnérabilités et écart d’incitation

Chaque année, nous enregistrons plus de CVE que l’année précédente. Ce n’est pas seulement parce que les logiciels se développent. C’est parce que l’économie d’incitation autour des vulnérabilités est brisée. Un chercheur qui découvre un bug d’exécution à distance dans Chrome pourrait gagner 200 000 $ grâce au programme de primes de Google. Mais ils peuvent gagner 1 million de dollars sur le marché noir, ou 10 millions de dollars auprès d’un acheteur public. Jusqu’à ce que l’industrie comble cet écart de récompense, le zéro jour continuera à s’infiltrer dans les stocks offensifs.

Pendant ce temps, les défenseurs ont toujours du mal avec les bases. Cela implique de savoir quels logiciels ils exécutent réellement, de comprendre quelle version ils ont exposée et d’appliquer des correctifs suffisamment rapidement pour avoir une importance.

Exemple concret : La vulnérabilité Log4Shell (Log4j) de 2021 a montré comment une seule bibliothèque open source pouvait se répercuter sur l’ensemble d’Internet. De nombreuses entreprises n’ont pas réussi à identifier où il était utilisé dans leur environnement.

Le correctif : La solution est la visibilité. Maintenir un Nomenclature logicielle (SBOM) pour chaque application. Lorsque le prochain Log4Shell apparaîtra, vous devriez savoir en quelques minutes, et non en semaines, où il se trouve. Considérez un SBOM comme une étiquette nutritionnelle pour le code. Vous ne pouvez pas faire des choix sains en matière de sécurité si vous ne connaissez pas les ingrédients.

Phishing, deepfakes et le nouveau visage de la tromperie

Le phishing a toujours été le moyen le plus simple. La différence aujourd’hui ? Il a désormais un visage et parfois la voix de votre directeur financier. Avec l’IA générative, tout phishing est du spear phishing. Les attaquants peuvent supprimer la présence sociale d’une cible, créer des messages impeccables dans n’importe quelle langue et même cloner sa voix ou son image.

Exemple concret : Des cas de fraude récents montrent à quel point cela est devenu convaincant. Un fabricant multinational s’est vu escroquer 25 millions de dollars après que ses employés ont rejoint ce qui ressemblait à un appel vidéo légitime avec le « chef des finances ». C’était un deepfake.

Le correctif : La technologie devra évoluer, notamment l’authentification vocale, le filigrane et la provenance du contenu, mais les défenseurs peuvent agir dès maintenant :
• Mettre en œuvre une MFA résistante au phishing.
• Établissez des « mots de sécurité » ou des étapes de vérification pour les demandes financières ou de modification de compte.
• Éduquer continuellement.

Il n’y a pas de malware ou de zero-day dans ces attaques : juste de la manipulation. C’est le cerveau humain contre le cerveau humain, suralimenté par l’IA.

Zero Trust et légumes de cybersécurité

Un mentor m’a dit un jour : « Tu dois manger tes légumes de cybersécurité. » Cela signifie rester discipliné sur les principes fondamentaux : MFA partout, moindre privilège, correctifs et surveillance continue. Le Zero Trust n’est pas un produit : c’est une posture. Il suppose une violation et valide chaque demande, humaine ou machine, en fonction de l’identité, de l’appareil et du contexte.

Exemple concret : Le Violation d’Equifax en 2017 s’est produit parce que l’entreprise n’a pas réussi à corriger une faille connue dans Apache Strutsmême si un correctif était disponible depuis deux mois. Les attaquants ont exploité le système non corrigé pour voler des données sensibles 145 millions de personnesce qui en fait l’un des exemples les plus dommageables de mauvaise gestion des correctifs.

Le correctif : Des pratiques simples sont très utiles :
• Appliquez l’authentification MFA pour tous les accès, internes et externes.
• Réseaux de segments ; traiter le trafic est-ouest comme hostile.
• Mettre en œuvre une gestion automatisée des correctifs

Confiance zéro est juste une autre façon de dire : ne faites confiance à personne, vérifiez tout. Y compris votre code, vos agents et vous-même.

L’avenir : du périmètre à la personnalité

À mesure que nous confions davantage de travail aux agents numériques, la surface d’attaque s’accroît d’une manière que les politiques seules ne peuvent pas contenir. Chaque nouveau modèle d’IA, script d’automatisation ou intégration tierce devient un complice potentiel. Les violations de demain ne viendront pas d’un pirate informatique anonyme exploitant un pare-feu. Ils viendront d’un agent amical qui fera exactement ce qu’on lui a demandé, pour la mauvaise personne.

Alors oui, l’avenir appartiendra à ceux qui gouverneront les identités avec autant de rigueur qu’ils sécuriseront les données. Cela signifie savoir qui (ou quoi) peut accéder à quoi, pour combien de temps et sous quelle autorité. Cela signifie construire des garde-corps avant que les agents ne quittent la route.

Pensées finales

Quand j’ai commencé, la défense consistait à empêcher les méchants d’entrer. Il s’agit maintenant de garder le bon code honnête. Les chemins d’attaque n’ont pas beaucoup changé. Ils se concentrent toujours sur l’accès à distance, les erreurs de configuration, les vulnérabilités exploitées, les informations d’identification faibles et les erreurs humaines. Ce qui a changé, c’est leur ampleur, leur rapidité et leur sophistication. Ajoutez un million d’identités de machines et une armée de faussaires génératifs, et la marge d’erreur disparaît.

Aujourd’hui, la cybersécurité est moins une question d’héroïsme que d’hygiène. Mangez vos légumes. Vérifiez vos identités. Ne faites confiance à rien que vous ne puissiez vérifier. Parce que dans un monde où chaque visage, voix et connexion pourrait être synthétique, le seul véritable périmètre qui reste est la vigilance.

Voyez comment OpenText aide à protéger votre entreprise.

Le poste Lettres d’un chapeau blanc : les 5 failles de sécurité que chaque organisation doit combler dès maintenant est apparu en premier sur Blogues OpenText.

Source link