Comment les organisations gèrent-elles les risques critiques associés aux périphériques réseau mal configurés, à savoir les pare-feu, les commutateurs et les routeurs ? Mal si l’on en croit une étude américaine. Résultat, ces erreurs de configuration du réseau coûtent en moyenne 9 % des revenus annuels des entreprises.
La moindre erreur coûte cher. Ainsi, le rapport du cabinet d’audit Titania souligne que les mauvaises configurations entraînent d'importantes faiblesses dans le réseau que les cybercriminels peuvent exploiter.
Cette étude note également que les organisations ne parvenaient pas à résoudre efficacement les problèmes de mauvaise configuration en raison d'une activité d'audit incohérente.
En fait, la plupart des entreprises ne vérifient leurs dispositifs qu'une fois par an, les commutateurs et les routeurs n'étant contrôlés que dans 4 % des cas, ce qui correspond à une évaluation des risques par échantillonnage.
Dans son rapport Titania reconnait que « contrairement aux vulnérabilités logicielles qui peuvent être “éliminées” par un patch, les risques de mauvaise configuration - qui posent souvent un risque plus important pour la sécurité de l'entreprise - ne peuvent pas être corrigées de façon aussi simple ».
Les équipes chargées de la sécurité du réseau doivent d'abord avoir une visibilité sur les risques que ces mauvaises configurations représentent pour le réseau lui-même. Elles doivent ensuite classer les corrections par ordre de priorité en fonction du risque afin d'informer les flux de remédiation.
À mesure que les réseaux se développent et deviennent plus complexes, ces tâches deviennent plus difficiles, mais restent la base d'une bonne cyber-hygiène.
La validation des configurations réseau est considérée comme l'une des trois principales considérations pour 92 % des équipes de sécurité réseau. Presque toutes les organisations ont également confirmé que la validation de la sécurité des configurations réseau fait partie de leur stratégie globale de gestion des risques.
Les répondants ont révélé qu'ils sont conscients du coût que les mauvaises configurations causent à leur organisation, estimant que les risques de mauvaise configuration, tous niveaux tous niveaux confondus, leur coûtent environ 9 % de leurs revenus.
Titania recommande aux organisations de passer d'une évaluation ad hoc à une évaluation continue des risques de configuration, de hiérarchiser les efforts de remédiation en fonction du niveau de risque et de s'assurer que tous les pare-feu, commutateurs et routeurs sont protégés contre les attaques évitables.
La plupart des organisations (51 %) ont évalué la configuration des dispositifs de réseau sur une base annuelle, et ce, peu importe la taille ou le secteur de l'organisation.
Mais moins de 20 %les évaluent dans le cadre d'un cycle mensuel, et seule une infime minorité (1 %) fait état d'un cycle hebdomadaire. Mais ces évaluations ne sont pas exhaustives.
Lorsqu'il s'agit de valider les paramètres de configuration des périphériques réseau, la quasi-totalité (96 %) des entreprises évalue uniquement leurs pare-feu.
Pour relever ces défis, près de la moitié (48 %) des professionnels interrogés déclarent disposer d'un système complet de mesure et de reporting avec une certaine automatisation.
Cependant, seul un tiers a reconnu que leurs processus de sécurité étaient au moins documentés et reproductibles. Seuls 11 % ont déclaré avoir mis en place un processus d'amélioration continue avec automatisation.