Élimination des vulnérabilités des réseaux Edge: mission impossible?

La directive NIS2 sera bientôt une loi dans les États membres de l’Union européenne

Présentation du problème

Les défis actuels de la protection des organisations contre les menaces de cybersécurité sont nombreux ; la litanie sans fin des nouvelles violations dans les médias en fournit de nombreuses preuves. Ce qui apparaît rarement dans les rapports, c’est le coût : 4,88 millions de dollars par violation en moyenne, une statistique qui n’est pas non plus à l’abri de l’inflation, en hausse de 10 % en 2024¹. Une augmentation des attaques sur les infrastructures Edge est également signalée, avec de nombreuses vulnérabilités dans les appareils mêmes dont les organisations dépendent pour leur sécurité². Tant d’obstacles potentiels, même Ethan Hunt serait consterné!

Les obstacles à une visibilité efficace présents dans cet environnement très dynamique sont multiples, mais principalement liés à:

• Une surface d’attaque accrue liée à l’explosion du nombre de points de terminaison, y compris l’IoT sans tête, l’OT et d’autres actifs non gérés
• Des connexions non sécurisées et une connectivité omniprésente
• Des complexités d’architecture réseau et des erreurs de configuration des appareils/réseaux

Ces conditions posent à leur tour des difficultés à de nombreuses solutions de cybersécurité existantes conçues pour contrecarrer les pirates informatiques. Ce qui suit est un résumé de trois grands groupes d’outils qui sont généralement indispensables pour une posture de cybersécurité robuste, mais qui laissent parfois des failles dans les défenses à la périphérie du réseau.

Outils de gestion et de test des vulnérabilités

Les outils de gestion et de test des vulnérabilités sont des solutions conçues pour identifier, évaluer, hiérarchiser, atténuer et gérer les vulnérabilités de sécurité au sein de l’infrastructure informatique, des réseaux, des applications et des systèmes d’une organisation. Ces outils sont des composants essentiels d’une stratégie de cybersécurité complète, aidant les organisations à identifier et à traiter les faiblesses de sécurité avant qu’elles ne soient exploitées par des attaquants.

Ces solutions englobent une gamme de fonctionnalités et d’objectifs tels que l’analyse des vulnérabilités, l’évaluation des vulnérabilités du réseau et la gestion de la configuration.

Les outils de gestion et de test des vulnérabilités sont un élément essentiel d’une stratégie de cybersécurité complète, aidant les organisations à identifier et à traiter les faiblesses de sécurité avant qu’elles ne soient exploitées par des attaquants. Ils facilitent la gestion proactive des risques et améliorent la posture de sécurité globale d’une organisation.

Cependant, en raison d’une découverte incomplète des points de terminaison, des périphériques et de l’infrastructure, ils peuvent échouer. L’étape fondamentale de la gestion des vulnérabilités consiste à s’assurer que TOUS les actifs sont effectivement découverts ou inventoriés. Cela semble simple, mais c’est souvent notoirement difficile. Examinons les circonstances qui peuvent entraîner l’échec du processus de découverte. N’oubliez pas que plus vous vous trouvez à la périphérie du réseau (et loin du point de départ de l’outil centralisé), plus un ou plusieurs d’entre eux peuvent entraîner l’absence d’actifs ou même de segments de réseau entiers.

Les raisons pour lesquelles certains mécanismes de découverte ne parviennent pas à découvrir tous les périphériques de point de terminaison peuvent impliquer l’architecture réseau elle-même (routage asymétrique, NAT, pare-feu, topologies en étoile, etc.), les convertisseurs de média réseau qui provoquent des chemins non découverts et les mauvaises configurations des ressources réseau. Un exemple courant de mauvaise configuration se produit lorsque les ports de commutation sont configurés avec un paramètre VLAN incorrect, de sorte qu’ils n’ont pas d’adresse IP dans le segment VLAN testé.

Outils de gestion de réseau

Les outils de gestion de réseau incluent des fonctionnalités permettant de gérer les éléments d’infrastructure réseau (commutateurs, routeurs, pare-feu et points d’accès Wi-Fi) en collectant périodiquement des données à partir de ces périphériques gérés. Selon le fournisseur, cela peut comprendre SNMP, l’analyse de paquets, les données de flux, Syslog, les API ou les agents. Pour la validation de la sécurité, certains outils de gestion de réseau peuvent également être configurés pour alerter sur les changements de configuration. En tant que tels, ils peuvent jouer un rôle important pour garantir la fiabilité, la sécurité et l’efficacité des réseaux informatiques dans les organisations.

Les capacités des outils ici vont de la surveillance continue à la gestion de la configuration en passant par la gestion de l’inventaire et des pannes.

Bien que les outils de gestion de réseau puissent communiquer avec les éléments d’infrastructure réseau, ils ne peuvent souvent pas détecter tous les périphériques de point de terminaison, souvent pour les mêmes raisons que celles décrites ci-dessus pour les outils de gestion et de test des vulnérabilités.

En outre, ils peuvent être difficiles à installer et à configurer, nécessitant des connaissances et une formation spécialisée pour être utilisés efficacement, et génèrent fréquemment de fausses alarmes. Cette complexité peut constituer un obstacle pour les petites organisations ou les administrateurs moins expérimentés. De plus, ils peuvent être coûteux à la fois au départ et via des dépenses récurrentes telles que les licences, les frais « par élément surveillé » et les abonnements.

Outils de surveillance des points de terminaison

Les outils de surveillance des points de terminaison sont des solutions logicielles conçues pour surveiller et gérer les points de terminaison au sein d’un réseau. Ces outils comprennent une large suite allant de la détection et de la réponse aux points de terminaison (EDR) au contrôle d’accès au réseau (NAC) et aux outils de profilage des points de terminaison. Les méthodes de collecte de données varient, beaucoup d’entre elles utilisant des agents déployés tandis que d’autres utilisent l’analyse du trafic réseau pour visualiser passivement le trafic ou les flux des points de terminaison. Les exemples de points de terminaison incluent les ordinateurs de bureau, les ordinateurs portables, les tablettes, les serveurs, les contrôles industriels et les appareils IoT. Les outils de surveillance des points de terminaison jouent un rôle crucial pour garantir la sécurité, les performances et la conformité de ces appareils.

Trois domaines dans lesquels ils peuvent être insuffisants :

• Déploiement restreint/limité – les moniteurs basés sur des agents ne peuvent pas être installés sur tous les points de terminaison, en particulier sur les appareils légers. Les exemples incluent ici l’IoT, l’OT et les ICS (systèmes de contrôle industriel) sans tête, mais englobent également des appareils souvent négligés tels que les thermomètres, les caméras IP, les commandes de bâtiments, etc. Il s’agit d’une faiblesse sérieuse. Tout appareil sans agent est un « angle mort de visibilité » qui pourrait être (et a été) exploité par des acteurs malveillants.
• Complexité – Les outils de point de terminaison peuvent être difficiles à entretenir, tant au niveau du déploiement des agents que de la collecte et de l’analyse des données.
• Coût et frais généraux – Les outils basés sur des agents peuvent être coûteux à obtenir sous licence et à entretenir, souvent tarifés en fonction du nombre d’appareils surveillés. Ceux qui utilisent l’analyse du trafic réseau, bien que robustes, sont souvent exceptionnellement coûteux à acquérir et difficiles à mettre en œuvre en raison de la superposition requise de ports SPAN ou TAP au système de surveillance.

Résumé

Tous les spécialistes de la cybersécurité comprennent que la protection des actifs informatiques critiques ainsi que des données sensibles des organisations et des clients reste un défi, en particulier au niveau du réseau de périphérie. Il existe de nombreuses solutions de cybersécurité conçues pour contribuer à cet effort, dont beaucoup sont essentielles pour atteindre ces objectifs.

Cependant, trois grandes catégories de ces outils (gestion et tests des vulnérabilités, gestion du réseau et surveillance des points de terminaison) peuvent, en fonction des spécificités de l’environnement réseau, laisser des lacunes qui peuvent être exploitées par des acteurs malveillants.

Par conséquent, lorsque vous évaluez la robustesse de votre organisation en matière de cybersécurité, assurez-vous de connaître ces lacunes. Vous pouvez en savoir plus en lisant ce livre blanc (titre et lien). Et si vous effectuez ces recherches pour vous conformer à la norme NIS2, notre guide pratique (lien vers la documentation NIS2) vous fournira des informations précieuses (même si votre organisation n’est pas située dans l’Union européenne).

En fin de compte, quels que soient les outils déployés, ils doivent répondre efficacement aux défis uniques de la périphérie dynamique du réseau, y compris les lacunes moins évidentes et moins visibles.

^1: Rapport sur le coût d’une violation de données, IBM, 2024
^2: Augmentation des attaques contre les périphériques et les infrastructures, Bank Info Security, juin 2024