Aujourd’hui, de très nombreux cas de tentatives d’intrusions résultent de l’exploitation de failles déjà répertoriées et pour lesquelles des correctifs étaient pourtant disponibles, et ce parfois depuis plusieurs mois.
Si corriger les failles de sécurité logicielles devrait, aujourd’hui, sembler être une évidence pour les organisations et entreprises, la plupart d’entre elles ont encore du mal à suivre et à gérer le processus d’application de ces mises à jour.
Pourtant, la mise en place de ces correctifs s’avère essentielle, nous le verrons, pour une bonne sécurité informatique. En effet, une fois la vulnérabilité annoncée (très souvent accompagnée de son patch), du côté des pirates, la course est lancée. A quelle vitesse un pirate peut-il l’utiliser et en tirer profit avant que les organisations puissent appliquer leurs correctifs ? C’est la question à laquelle aucune organisation ne souhaiterait devoir répondre en premier lieu.
Mais alors quels dangers sont réellement encourus en cas de non application de ces patchs ? Pourquoi certains ne déploient pas ces dispositifs mais surtout comment patche-t-on correctement des équipements ?
Si l’on peut penser que ce type de tentatives d’intrusion et les dangers qu’elles comportent sont rares, il n’en est rien : nous pouvons d’ailleurs le constater à travers deux des plus grandes affaires de sécurité informatique connues ces dernières années, la fuite de données d’Equifax et le ransomware Wannacry. En effet, ces deux affaires, qui semblent au premier abord totalement étrangères l’une à l’autre ont un grand point commun : toutes deux impliquaient des tentatives malicieuses menées par des pirates exploitant des vulnérabilités non corrigées dans des serveurs fonctionnant sous Windows 7 et Windows 8.
Si les dangers encourus en cas de non correction des vulnérabilités sont multiples mais peu surprenantes (tentatives de vols de données, d’intrusions de malwares et/ou ransomwares dans votre système informatique, par exemple), ils n’en sont pas moins graves. Nous l’avons vu ici à travers ces deux affaires aux répercussions retentissantes.
Ces deux affaires soulignent aussi le fait que beaucoup d’entreprises utilisent encore les systèmes d’exploitation Windows 7 ou Windows 8 (malgré des taux de pénétration élevés de 87% et 38%, respectivement), qui sont, de ce fait, des cibles de choix. Les organisations qui s’appuient sur ces systèmes d’exploitation doivent d’autant plus faire preuve d’une grande vigilance pour se tenir au courant des correctifs de sécurité et les appliquer en temps opportun.
-
Mais alors pourquoi certains ne déploient ces correctifs malgré le danger ?
Tout d’abord, beaucoup de gens – la plupart des utilisateurs « privés » mais aussi des utilisateurs en sphère professionnelle – ne sont pas sensibilisés au danger encouru et ignorent donc tout simplement les multiples avertissements de mise à jour qu’ils reçoivent (perte de temps, remis à plus tard, ou parfois même ne souhaitent pas les appliquer).
D’autres, plus méfiants, ne savent parfois pas distinguer si le message de notification de mise à jour est réel. Et par peur, peuvent choisir d’ignorer un avertissement de patch pourtant légitime.
Une autre explication des correctifs non appliqués provient aussi probablement de l’utilisation massive de logiciels sans licence. Des dizaines de millions de personnes utilisent au quotidien des logiciels téléchargés illégalement, et beaucoup craignent que le dernier correctif supprime ou désactive leur logiciel. C’est d’ailleurs la raison pour laquelle, il y a quelques années, Microsoft a décidé de ne pas exiger une licence valide pour patcher un système d’exploitation.
-
Comment et quand patcher mes équipements ?
Pour ce qui est du timing de l’application du correctif, il est bien entendu logique que tous les correctifs doivent être appliqués dès que possible.
Les entreprises doivent d’ailleurs prioriser leur stratégie de correction et s’attaquer d’abord aux correctifs critiques. Une stratégie possible est, par exemple, de se concentrer tout d’abord sur les vulnérabilités dites « N-Day » (déjà répertoriées) qui ont déjà causé des violations dans d’autres entreprises.
En adoptant une stratégie de gestion des correctifs simplifiée – comprenant une connaissance des calendriers de distribution des correctifs et des responsabilités définies pour les personnes impliquées dans l’évaluation des vulnérabilités et des correctifs à appliquer – les organisations peuvent alors se positionner pour agir rapidement sur les correctifs.
Ce faisant, les entreprises peuvent réduire considérablement le délai entre la détection d’informations sur les nouvelles failles de sécurité, l’évaluation des failles de sécurité et l’application de correctifs ou de solutions de contournement temporaires, le cas échéant.
Enfin, comme nous l’avons vu, si les systèmes Windows sont les « petits favoris » des pirates, il faut savoir que la plupart des systèmes d’exploitation et des applications sont livrés avec des mécanismes d’auto-correction automatiques (si vous les autorisez).
Au-delà de l’application des patchs, il peut être intéressant voire judicieux pour votre organisation d’effectuer un audit de votre système d’information, pour identifier les contrôles et actions supplémentaires devant être adoptés. Il est clair que si vous n’avez pas une vision complète de votre situation de sécurité informatique actuelle, vous n’aurez jamais une vision globale de vos forces et de vos faiblesses, rendant difficile toute stratégie de vulnerability management.
