Le domaine de la cybersécurité est un espace où l’évolution des techniques de guérilla signifie que les entreprises ne savent pas où vont frapper les attaquants. Logiciel, matériel ou micrologiciel, les entreprises entendent sécuriser les trois, avec toutefois une priorité pour le logiciel.
Récemment, Microsoft a commandé une étude qui a montré comment les attaques contre les micrologiciels (firmwares) ne sont pas assez prises en compte par les entreprises dans les investissements en cybersécurité. Selon la firme de Redmond, le manque d’automatisation et d’investissement entraîne un manque de concentration sur les microprogrammes. La première édition du rapport Security Signals de mars 2021 montre que de 83 % des entreprises ont subi au moins une attaque contre les micrologiciels au cours des deux dernières années, mais que seulement 29 % des budgets de sécurité sont alloués à la protection des microprogrammes.
L’étude montre aussi que les investissements actuels sont consacrés aux mises à jour de sécurité, à l’analyse des vulnérabilités et aux solutions de protection contre les menaces avancées. Malgré cela, de nombreuses organisations s’inquiètent de l’accès des logiciels malveillants à leur système et de la difficulté à détecter les menaces, ce qui suggère que les micrologiciels sont plus difficiles à surveiller et à contrôler. Les vulnérabilités des microprogrammes sont également exacerbées par un manque de sensibilisation et un manque d’automatisation.
Des nuisances réparties équitablement
Cependant, la plupart des décideurs en matière de sécurité considèrent les violations de n’importe quelle catégorie de sécurité — logiciels, matériel ou micrologiciels — comme perturbatrices et allouent leurs budgets en conséquence, consacrant environ un tiers de leur budget de sécurité à chaque catégorie. Les logiciels sont considérés comme les plus vulnérables aux menaces, 63 % des entreprises les classant avant le matériel et les microprogrammes.
Le matériel est cité par 20 % des répondants, tandis que les attaques sur les micrologiciels par 17 %. Pourtant, même si les répondants ne font pas montre de la même préoccupation pour les différentes vulnérabilités, ils classent les nuisances possibles presque sur le même niveau. À la réponse sur les disruptions possibles, causée par les attaques sur les micrologiciels, les répondants les placent presque au même niveau que les logiciels et le matériel avec respectivement 73 % pour les micrologiciels, 75 % pour le matériel et 78 % pour les logiciels.
Plus d’automatisation et de sécurité enfouie
Néanmoins, le vent commence à tourner contre les exploits sur les microprogrammes. Selon Microsoft, « on constate une prise de conscience croissante du problème dans le monde entier, une nouvelle volonté d’investir dans des mesures de protection, et l’émergence d’une nouvelle catégorie de matériel à sécurité enfouie, qui offre aux entreprises une sécurité au niveau de la puce et de nouvelles capacités d’automatisation et d’analytique », explique le rapport.
Ainsi, les budgets de sécurité devraient être alloués à des mesures plus proactives. Alors que les budgets de sécurité actuels sont consacrés à des mesures qui bloquent les attaquants, comme les pare-feu, les serveurs et la protection contre les menaces avancées. Les entreprises savent qu’elles doivent prendre des mesures plus proactives pour se protéger.
Dans deux ans, elles prévoient d’investir davantage dans l’IA/ML, la confiance zéro, les appareils 5G et les TEE (Trusted execution environment ou environnements d’exécution sécurisés) pour mieux prévoir les attaques et permettre une plus grande productivité de leur personnel. Fait important, ceux qui ont admis avoir subi une attaque de logiciels malveillants comprennent mieux l’impact d’une violation et canalisent davantage d’investissements dans la sécurité en général.