Les prestataires de cybersécurité sont-ils des cordonniers mal chaussés?
Sunday, September 13, 2020
Les prestataires de cybersécurité oublient-ils de s'appliquer à eux-mêmes leurs excellentes solutions ? Ou bien ces solutions ne sont-elles pas si parfaites que cela ? ImmuniWeb a mené une étude sur les données à disposition sur le dark web et y a trouvé le butin de nombreux piratages opérés au sein même de ces prestataires de cybersécurité. «97% des entreprises [de cybersécurité étudiées] ont des fuites de données et d'autres incidents de sécurité exposés sur le Dark Web» note ainsi ImmuniWeb.
Dans l'étude, 631 512 incidents de sécurité certains sont recensés, dont 160 529 (25,42%) sont de niveau élevé ou critique et 159 462 (25,25 %) de niveau faible. 1 027 395 incidents non-contrôlés sont également possibles. Il en résulte la disponibilité de 1586 informations sensibles (dont des données d'identification) disponibles par entreprise de cybersécurité.
Faites ce que je dis, pas ce que je fais
Parmi les mauvaises pratiques relevées, ImmuniWeb cite les mots de passe faibles (au plus 8 caractères minuscules) et l'usage d'adresses professionnelles sur des sites pornographiques. Des collaborateurs d'environ 40 % des entreprises étudiées ont utilisé les mêmes mots de passe sur plusieurs services piratés. ImmuniWeb indique également : «5 121 informations d'identification avaient été volées sur des sites Web piratés de pornographie ou de rencontres pour adultes.»
De plus, «63% des sites Web des sociétés de cybersécurité ne sont pas conformes aux exigences PCI DSS». Parmi ces exigences négligées, il y a notamment le non-patchage de versions de logiciels obsolètes (notamment des bibliothèques et des frameworks en Javascript). Les entreprises ont des attitudes très variées selon les pays : les incidents les plus graves et les plus nombreux ont eu lieu aux Etats-Unis alors que les entreprises basées en Suisse, au Portugal et en Italie n'ont connu aucun incident grave (niveaux élevé ou critique) et que l'on rencontre le plus petit nombre d'incidents dans les entreprises basées en Belgique, au Portugal et en France. Read Full Article
SC Media: History shows, transparency can ease the fallout from a cyberattack
ZDNet: Even cybersecurity companies spill data and passwords