Le ministère américain de l’Intérieur met les entreprises à l’épreuve

Le ministère américain de l’Intérieur, le Department of Homeland Security (DHS), s’est lancé dans le test d’intrusion, gratuit. C’est Brian Krebs qui lève le voile sur ce programme lancé avec discrétion. Et d’expliquer qu’il s’adresse principalement aux opérateurs d’infrastructures critiques pour les aider à évaluer et améliorer leurs défenses – en commençant par les énergéticiens et les institutions financières, sur la base du volontariat.

Selon les documents publiés par le DHS, ces services recouvrent évaluation des risques et des vulnérabilités, mais également des pratiques « d’hygiène cyber » internes. Au programme, notamment : recherche de vulnérabilités connues sur les applications Web, les systèmes d’exploitation et les bases de données, et vérification du niveau de compromission auquel leur mise à profit par un attaquant pourrait conduire. Mais la susceptible des collaborateurs à se faire piéger par ingénierie sociale est également évaluée.

Les résultats, pour l’année 2014, ne sont ni particulièrement surprenants, ni brillants. Ainsi, le taux de clic sur les courriels piégés s’est établi à 25 %. Et les services du DHS ont découvert des identifiants faciles à deviner dans 47 % de ses évaluations. Surtout, en plus d’une centaine d’évaluations, ils ont trouvé 344 vulnérabilités, dont 40 % présentant une sévérité élevée, et 13 %, critique. La gestion des correctifs semble particulièrement problématique.