icetray - Fotolia
La gestion des correctifs reste un exercice difficile
Les systèmes vulnérables ont besoin que leurs soient appliqués les correctifs pour éviter leur compromission. Mais c’est encore loin d’être fait de manière rigoureuse.
L’application des correctifs reste l’un des points noirs de la sécurité. Ainsi, 57 % des sondés dans le cadre d’une étudede l’institut Ponemon pour ServiceNow, reconnaissent être pénalisés par le recours à des processus encore largement manuels. Pour cette étude, plus de 3 000 professionnels de la sécurité ont été interrogés à travers le monde, dont 369 en France. Et ceux-ci peuvent être difficilement accusés de négligence : dans l’Hexagone, ils indiquent consacrer 315 heures par semaine en moyenne à la gestion des vulnérabilités, soit à peu près 8 équivalents temps plein (ETP). Et 66 % des sondés dans le pays indiquent prévoir des recrutements supplémentaires dans le domaine, d’ici à un an. En moyenne, il faudrait ainsi compter sur la création de 3,6 ETP à pourvoir sur la période, par entreprise représentée.
Des défis nombreux
Reste à savoir si ces recrutements pourront avoir lieu, et si c’est le cas, s’ils donneront les résultats attendus. Car les problèmes liés à la gestion des vulnérabilités ne manquent pas.
Selon l’étude de l’institut Ponemon, la première difficulté tient à la nature largement manuelle des processus associés : 56 % des sondés indiquent y consacrer plus de temps qu’au traitement concret des vulnérabilités. En moyenne, il faudrait compter avec 13,2 jours ainsi perdus par an dans la seule coordination des opérations impliquées dans l’application des correctifs.
Mais plus de la moitié des sondés explique peiner à établir les priorités. La faute, est-on tenté de penser, à la complexité d’infrastructures où l’exposition au risque lié à une vulnérabilité n’est pas simple à établir.
Mais tout cela ne change rien aux conséquences, bien concrètes, d’une gestion défaillante des vulnérabilités. Ainsi, 47 % des sondés en France indiquent avoir été victimes d’une attaque informatique au cours des deux dernières années.
Des implications bien concrètes
Et pour 44 % de ceux-ci, la réussite de l’attaque était imputable à l’exploitation d’une vulnérabilité pour laquelle un correctif était déjà disponible. Les épisodes d’exploitation d’EternalBlue, qui s’appuie sur une vulnérabilité bien connue et documentée du protocole SMB, ne font qu’appuyer ces affirmations.
Pire encore, 30 % des personnes concernées reconnaissent qu’elles étaient parfaitement informées de l’existence de la vulnérabilité avant que l’attaque ne survienne – et que dire de ceux dont les commutateurs Cisco viennent d’être attaqués. Mais ce chiffre peut paraître faible et ne manque pas d’interroger sur la qualité de la veille effectuée en amont. Il souligne au passage l’intérêt de plateformes de veille comme Saucs, développée par deux membres des équipes DevOps d’OVH. Mais rien moins que 42 % des victimes sondées avouent ne pas chercher à suivre l’exposition de leur environnement à d’éventuelles vulnérabilités.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
Cybersécurité : la posture des entreprises françaises reste préoccupante
-
Gestion des correctifs : des pistes pour améliorer une activité essentielle
-
Renseignement sur les menaces : l’adoption progresse et c’est une bonne chose
-
Les performances continuent de mobiliser les administrateurs d’environnements VDI