Les entreprises rencontrent des problèmes avec les approches de sécurité obsolètes, tandis que le nombre de menaces en ligne augmente.
Les statistiques
révèlent un délai record avant exploitation pour une nouvelle vulnérabilité
zero-day, l'attaque DDoS la plus volumineuse de l'histoire d'Internet et un
accroissement des menaces sur la chaîne d'approvisionnement
Cloudflare, acteur du domaine de la connectivité cloud, publie son rapport intitulé L'état de la sécurité des applications en 2024. Les conclusions du rapport de cette année révèlent que les équipes de sécurité ont du mal à suivre le rythme des risques posés par la dépendance des entreprises envers les applications modernes, c'est-à-dire la technologie qui soutient l'ensemble des sites les plus fréquentés aujourd'hui. Le rapport souligne que le volume de menaces provenant de la chaîne d'approvisionnement logicielle, ainsi que le nombre croissant d'attaques par déni de service distribué (DDoS) et de bots malveillants, dépassent souvent les ressources dont disposent les équipes dédiées à la sécurité des applications.
Le monde numérique d'aujourd'hui tourne autour
des applications web et des API. Ces dernières permettent aux sites
d'e-commerce d'accepter les paiements, aux systèmes de santé de partager les
données des patients de manière sécurisée, tout en nous permettant également
d'utiliser nos téléphones. Toutefois, plus nous nous reposons sur ces
applications, plus la surface d'attaque s'étend. Ce phénomène est encore
amplifié par la demande poussant les développeurs à proposer rapidement de
nouvelles fonctionnalités (p. ex. des fonctions soutenues par l'IA générative).
Or, si les applications restent sans protection, leur exploitation peut
conduire à des perturbations de l'activité, à des pertes financières et à
l'effondrement d'infrastructures essentielles.
« Les applications web sont rarement conçues dans une optique de sécurité. Pourtant, nous nous en servons tous les jours pour toutes sortes de fonctions critiques et cette utilisation en fait une cible de choix pour les pirates. Le réseau Cloudflare bloque en moyenne 209 milliards de cybermenaces chaque jour pour ses clients. La couche de sécurité entourant les applications d'aujourd'hui est devenue l'un des composants les plus essentiels pour s'assurer qu'Internet demeure sécurisé », explique Matthew Prince, cofondateur et CEO de Cloudflare.
Les conclusions
essentielles du rapport Cloudflare 2024 consacré à l'état de la sécurité des
applications
• Les attaques DDoS continuent
d'augmenter en nombre et en volume : l'approche DDoS demeure le vecteur de menace
le plus utilisé pour s'en prendre aux applications web et aux API, en
totalisant 37,1% de l'ensemble du trafic d'applications atténué par Cloudflare.
Les secteurs les plus visés étaient celui des jeux vidéo/jeux de hasard, le
secteur de l'informatique et d'Internet, le secteur des cryptomonnaies, le
secteur des logiciels, ainsi que celui du marketing et de la publicité.
• Premier correctif et première
exploitation, la course entre les systèmes de défense et les acteurs
malveillants s'accélère : Cloudflare a observé un délai d'exploitation plus rapide
que jamais des nouvelles vulnérabilités zero-day, avec notamment une occurrence
d'exploitation seulement 22 minutes après la publication de la démonstration de
faisabilité (PoC, Proof-of-Concept).
• Laissés sans surveillance, les bots
malveillants peuvent provoquer d'importantes perturbations : un tiers (31,2%) de
l'ensemble du trafic provient des bots, dont la majeure partie (93%) ne font
l'objet d'aucun contrôle et peuvent se montrer potentiellement malveillants.
Les secteurs les plus visés étaient celui de la production et des biens de
consommation, le secteur des cryptomonnaies, le secteur de la sécurité et des
investigations, ainsi que le gouvernement fédéral américain.
• Les entreprises font appel à des
approches obsolètes pour sécuriser leurs API : les règles de pare-feu d'applications
web (WAF) traditionnelles qui s'appuient sur un modèle de sécurité négative (la
présomption que la majeure partie du trafic web est inoffensif) constituent un
des moyens les plus utilisés pour se protéger contre le trafic lié aux API. Un
nombre beaucoup plus réduit d'entreprises mettent en œuvre les bonnes pratiques
bien plus largement acceptées en termes de sécurité qui composent un modèle de
sécurité positive (c'est-à-dire une définition stricte du trafic autorisé, le
système refusant le reste).
• Les dépendances liées à des logiciels tiers posent un risque croissant : les entreprises utilisent en moyenne 47,1 éléments de code provenant de fournisseurs tiers et établissent une moyenne de 49,6 connexions sortantes à des ressources tierces pour renforcer l'efficacité et les performances de leurs sites web (p. ex. en tirant parti de Google Analytics ou Ads). Toutefois, comme le développement web s'est largement adapté pour autoriser le chargement de ce type de code tiers et d'activité au sein du navigateur de l'utilisateur, les entreprises sont de plus en plus exposées aux risques visant la chaîne d'approvisionnement, ainsi qu'aux problèmes de responsabilité et de conformité.