✔️ 2022-08-22 22:47:34 – Paris/France.
Vous n’avez pas pu assister à Transform 2022 ? Découvrez dès maintenant toutes les sessions du sommet dans notre bibliothèque à la demande ! Regardez ici.
En tant que plus grande entreprise technologique au monde, atteignant une valeur marchande de 2,6 billions de dollars, vous seriez pardonné de penser que la position d’Apple était inattaquable. Cependant, la découverte de deux nouvelles vulnérabilités zero-day suggère que le fournisseur pourrait être plus vulnérable aux acteurs de la menace qu’on ne le pensait auparavant.
La semaine dernière, le 17 août, Apple a annoncé avoir découvert deux vulnérabilités zero-day pour iOS 15.6.1 et iPadOS 15.6.1. Le premier permettrait à une application d’exécuter du code arbitraire avec les privilèges du noyau, le second signifierait que le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code arbitraire.
Avec l’adoption des appareils macOS dans les environnements d’entreprise en constante augmentation et atteignant 23 % l’année dernière, les produits Apple deviennent une cible plus importante pour les entreprises.
Traditionnellement, l’adoption plus large des appareils Windows en a fait la cible numéro un des attaquants, mais à mesure que l’utilisation des appareils Apple par les entreprises augmente en raison du mouvement de travail à distance accéléré par la pandémie, les acteurs de la menace vont passer plus de temps à cibler les appareils Apple pour gagner l’accès initial aux environnements, et les entreprises doivent être préparées.
Événement
MetaBeat 2022
MetaBeat réunira des leaders d’opinion pour donner des conseils sur la façon dont la technologie métaverse transformera la façon dont toutes les industries communiquent et font des affaires le 4 octobre à San Francisco, en Californie.
Inscrivez-vous ici
Alors, à quel point est-ce vraiment mauvais ?
Ces vulnérabilités nouvellement découvertes, qui, selon Apple, sont « activement exploitées », permettent à un attaquant de déployer à distance un code malveillant, ce qui permettrait à un attaquant de s’introduire dans un réseau d’entreprise.
« Un appareil personnel compromis pourrait entraîner un accès initial à l’environnement de l’entreprise. Les défenseurs doivent publier les correctifs immédiatement et envoyer des notifications indiquant que les employés doivent corriger les iPhone, iPad ou Mac personnels », a déclaré Rick Holland, CISO chez Digital Shadows, fournisseur de protection contre les risques numériques.
Le problème est que les équipes de sécurité ne peuvent pas mettre à jour les appareils des employés comme elles le feraient avec les ressources sur site, et la frontière entre les appareils professionnels et personnels devenant de plus en plus floue, il devient plus difficile de garantir que toute l’infrastructure est correctement entretenue.
« Même si vous pouvez patcher les appareils de l’entreprise, vous ne pouvez pas mettre à jour tous les appareils personnels que les employés pourraient utiliser », a déclaré Holland.
Si l’on considère que les frontières entre le travail et les appareils personnels sont devenues de plus en plus floues en cette ère de travail hybride, avec 39 % des travailleurs utilisant des appareils personnels pour accéder aux données de l’entreprise, tout employé utilisant des appareils Apple pour accéder à des ressources clés pourrait mettre les données réglementées en danger. .
Par conséquent, même les organisations qui n’utilisent pas d’appareils Apple sur site ne peuvent garantir qu’elles sont protégées contre ces vulnérabilités.
La réponse : appliquer des correctifs
En réponse aux nouvelles vulnérabilités d’Apple, les RSSI et les responsables de la sécurité doivent vérifier que tous les appareils personnels sur site et à distance disposent des correctifs nécessaires. Ne pas le faire pourrait laisser un point d’entrée ouvert à un attaquant.
Le moyen le plus efficace de remédier au risque de ces nouvelles vulnérabilités n’est pas seulement d’utiliser des solutions de gestion des appareils mobiles pour aider à pousser les mises à jour des appareils connectés à distance, mais de se concentrer davantage sur l’éducation des employés sur les risques de ne pas corriger les appareils personnels.
« Ces mises à jour offrent une opportunité de sensibilisation à la sécurité pour discuter des risques pour la vie des employés et fournir des instructions de correction, y compris comment activer les mises à jour automatiques », a déclaré Holland.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. En savoir plus sur l’adhésion.
SOURCE : Reviews News
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 📱