Empiler plusieurs briques ne consolide pas nécessairement l’édifice. Fussent des briques de sécurité. Ainsi s’exprime NSS Labs, spécialiste de la sécurité des systèmes informatiques, à l’heure de rendre les conclusions d’une étude menée dix-huit mois durant sur des solutions de protection multicouches.
Conduites sur un échantillon exhaustif de 37 produits, les expérimentations ont englobé outils de prévention d’intrusions, antivirus et pare-feu, d’abord testés séparément, puis combinés au sein d’architectures évoluées. A quelques exceptions près, le constat est éloquent : multiplier les remparts n’a qu’une efficacité limitée et concrétiser l’alliance idéale relève d’une alchimie complexe.
Sur 606 combinaisons aléatoires passées sur le gril, seules 19 ont répondu aux exigences de sécurité définies au préalable. Il a en outre fallu mettre simultanément en oeuvre 12 solutions de prévention des intrusions (sur les 16 mises à l’épreuve) pour rendre totalement imperméable le réseau cobaye. Du côté des firewalls, l’union n’a pas fait la force dans 8 des 1486 scénarios mis en application.
Ces faiblesses semblent essentiellement ressortir à la stratégie des éditeurs, qui se basent peu ou prou sur les mêmes définitions de menaces pour élaborer leurs solutions, lesquelles entretiennent par là même de nombreux liens de parenté. Les vulnérabilités décelées dans un produit se retrouvent ainsi régulièrement chez ses concurrents, y compris des failles décelées de longue date… mais toujours exploitables.
Comme le note TechWeek Europe, en s’appuyant notamment sur une base de données hébergées et un système heuristique pour anticiper les menaces, les solutions de sécurité de 2013 corrigent pour partie ces défauts gravés dans leur ADN. Quoique encore significatif, le taux d’échec diminue sur les pare-feu (de 4 à 9%) et l’utilisation de deux produits en parallèle rabaisse à 0,8% le pourcentage de risques. Le bonnet d’âne revient aux antivirus : 45% d’entre eux ne satisfont pas aux critères après test sur 43 vulnérabilités communes, dont aucune de type « zero-day ».
Crédit photo : Andrea Danti – Shutterstock.com
—— A voir aussi ——
Quiz Silicon.fr : incollable sur les grands noms du monde IT ?
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…