Encore une plateforme santé hackée, « les données personnelles exposées sont limitées (sic !!) aux suivantes : état civil, date de naissance, n° de sécurité sociale, nom de votre assureur santé et garanties de votre contrat ; [a contrario], informations bancaires, coordonnées postales, téléphone et email n’étant pas stockées sur la même plateforme, ne sont donc pas concernés. » dont acte…

La très grande majorité des cyberattaques réussies passent par cinq types de failles très simples qui sont évitables.

Premièrement, les mots de passe utilisateurs. Il suffit d’un mot de passe inconséquent (1234, toto, prénom2024), en particulier sur un compte administrateur qui par définition fait ce qu’il veut (admin). En 2024, n’importe quelle combinaison de n’importe quelle série de 8 (huit) caractères peut être craquée instantanément, en moins d’une seconde. Avec des petits logiciels que l’on trouve sur le net. Même plus besoin d’être un génie pour être un bon hacker, il suffit d’un peu d’organisation et d’une bonne bécane à 1500€….

Deuxièmement, les vulnérabilités connues des éditeurs qui ont fourni des patchs correctifs (remédiations) de leurs solutions mais qui n’ont pas été installés par l’entreprise. En particulier celles de plus de six mois, car plus le temps passe plus la connaissance de ces failles devient connue des hackers. Facile à corriger au fil de l’eau, beaucoup plus complexe lorsque l’on traine.

Troisièmement : l’obsolescence. Les applications, framework, gestionnaires de bases de données, middleware, OS ou firewall qui sont obsolètes, ou dont au moins un composant technique est obsolète. Pour un informaticien lambda, obsolète ne veut pas seulement dire vieux et dépassé. Il implique évidemment pour lui, que l’éditeur ne fournit plus aucune aide (ni support, ni patch correctif) en cas de difficulté technique. Et il implique surtout, tout aussi évidemment pour les seuls informaticiens, que l’éditeur ne fournit plus aucun patch de sécurité. Aucun. Si de nouvelles vulnérabilités (failles de sécurité) sont découvertes, elles ne seront tout simplement pas corrigées. Jamais. Et plus le temps passe, plus on en découvre. Donc plus le système en question devient dangereux. Ainsi que la pile de systèmes qu’il supporte au-dessus de lui.

Un Operating System trop vieux empêche de réaliser les montées de version du SGBD que réclame l’application. Ton OS obsolète en version 2003 t’empêche de migrer ta BDD de la version 11 a la 19, ce qui à son tour l’empêche de migrer l’application qui l’exploite de la version 1.2 à la 2.9 à travers le gestionnaire de message v6 vers la v 9.1

Alors même que ta future version 19, ta 9.1 et ta 2.9 sont elles-mêmes déjà obsolètes, mais les contraintes techniques te limitent à celles-ci. Donc il te faudra installer tous les patchs de sécurité qui en découlent, puis enfin migrer une seconde, voire une troisième fois vers les versions sécurisées, puis leur appliquer à elles aussi les patchs correctifs en retard. Un très très gros boulot, tellement gros donc tellement coûteux que personne n’avait accepté d’y consacrer la part de budget nécessaire… augmentant ainsi chaque année le retard et la complexité de la manœuvre. Donc, le risque de réussite de l’attaque, ainsi que le budget pour y remédier.

En équitation, cela se nomme « refuser l’obstacle ». La chute est tout autant inévitable, la seule différence avec l’informatique est que la chute n’advient que quelques mois ou années plus tard, au bout « d’un certain temps » .

Parmi ces applications et systèmes, certains sont en outre plus critiques pour la pérennité de l’activité de l’entreprise, et parmi ces dernières, certaines sont en exposition nécessaire et directe sur internet (internet facing).

Enfin, quatrièmement, la mise en œuvre de campagnes d’e-mails malveillants et bien conçus qui incitent les collaborateurs à cliquer sur un lien apparemment innocent mais en fait frauduleux se multiplient. Comment y réagir ?

De ce fait, voici la liste des sept questions à poser à votre DSI ou votre CTO:

1. à combien de vulnérabilités non remédiées sommes-nous exposés ?
2. dont combien depuis plus de 6 mois ?
3. sur l’ensemble de nos comptes, combien de mots de passe sont-ils « craquables » en moins d’un jour ? En moins d’une semaine ?
4. sur l’ensemble de nos comptes utilisateurs, combien sont de type administrateur ?
5. combien d’applications internet facing exploitent au moins un composant obsolète ?
6. combien d’applications on premise, critiques ou non, exploitent au moins un composant obsolète ?
7. quel est le taux de clic de la part de nos collaborateurs en réponse à une campagne test de vrai-faux phishing ?

Chaque réponse de type « je ne sais pas » ou « c’est compliqué à calculer » prouve que votre entreprise est totalement exposée à une cyberattaque de ce type précis.

Vous êtes comme un touriste japonais en balade dans le métro parisien, avec son téléphone et ses billets de 50€ qui dépassent de la poche arrière de son jean…

Si vous et votre DSI ne faites rien, la seule question n’est pas si vous allez subir une cyberattaque qui paralysera votre activité durant plusieurs semaines, mais quand.

C’est cher, c’est long, c’est compliqué, cela va mettre en retard vos autres projets.

Exact.

Au fait, une semaine à l’arrêt total, cela représente quel montant de chiffre d’affaires perdu ?

Et huit semaines ?

Nous accompagnons des équipes de cybersécurité depuis des années.

Contactz-nous, nous savons vous accompagner pour accélérer vos processus et vos projets de cyber : contact at operaepartners point com