Comment composer avec les logiciels les plus vulnérables

Trois logiciels sont particulièrement visés pour leurs vulnérabilités, selon un récent rapport de Digital Shadows. L’expert Nick Lewis explique comment les gérer.

Le principe de Pareto est fréquemment cité. Selon lui, dans la plupart des situations, environ 80 % du bénéfice provient de 20 % de l'effort consenti. Cette règle peut également s'appliquer à certains aspects de la sécurité de l’information. Selon un récent rapport de Digital Shadows portant sur l’exploitation des vulnérabilités, trois logiciels - Adobe Flash Player, Java et Internet Explorer - représentent 62 des 76 vulnérabilités ciblées par les kits d'exploitation. Soit près de 82 %. La communauté de la sécurité commence à apprendre qu’utiliser des données peut être un moyen efficace de sécuriser les entreprises et de donner la priorité à l'hygiène de base en matière de sécurité de l’information. Le rapport de Digital Shadows montre l’intérêt qu’il y a à utiliser des données pour identifier les logiciels vulnérables.

Enseignements du rapport Digital Shadows

L'utilisation des données pour orienter les décisions de sécurité de l'information est cruciale. Les entreprises devraient utiliser des informations tirées de recherches et de publications telles que le annuel de Verizon sur les incidents de sécurité et le rapport de Digital Shadows.

Ce dernier s’est penché sur 22 kits d'exploitation et s'est concentré sur les cinq kits les plus utilisés, corrélant les vulnérabilités exploitées par chacun pour déterminer les plus courantes. Il n'est toutefois pas certain que les données du rapport soient un échantillon représentatif de tous les systèmes.

Mais même avec ces réserves, les résultats donnent un aperçu de la manière de hiérarchiser son programme de sécurité de l'information. Une approche similaire peut être appliquée aux données d'incident recueillies dans son infrastructure pour déterminer où le système d’information est le plus fréquemment attaqué et concentrer là son attention.

Comment gérer ces vulnérabilités

L’option la plus évidente pour les entreprises consiste à désinstaller les logiciels les plus vulnérables afin de réduire la surface d’attaque. Toute entreprise qui utilise encore le logiciel non sécurisé doit avoir une bonne raison de le faire. Si les utilisateurs ont besoin d'une certaine fonctionnalité, comme la possibilité de lire des fichiers PDF, certains lecteurs PDF présentent peut-être moins de risques que d’autres. Tout logiciel alternatif devrait être évalué de manière critique pour déterminer s'il peut être utilisé de manière sûre afin de minimiser le risque.

L’étape suivante consiste à s'assurer que l’on dispose de systèmes de gestion des vulnérabilités et des correctifs. Sans eux, il sera difficile d'appliquer de nouveaux contrôles ou de modifier la façon dont les résultats sont hiérarchisés. Un scanner de vulnérabilités ou un système de gestion des correctifs peut effectuer une analyse authentifiée d'un hôte de l’infrastructure, y compris les systèmes virtualisés et mobiles, pour identifier ceux qui exécutent des logiciels vulnérables. La surveillance du trafic réseau peut également aider à cela.

Une fois qu'un système a été identifié comme nécessitant un correctif, celui-ci doit être testé et poussé vers le système cible. Et la version non sécurisée du logiciel doit être supprimée. Si un correctif ou une mise à jour sort pour Adobe Flash Player, Java d’Oracle ou Internet Explorer, il devrait être appliqué au plus tôt, en priorité devant d’autres logiciels, afin de réduire le risque.

Si une entreprise a besoin d’utiliser une version non sécurisée du logiciel, il convient de faire pression sur son éditeur pour obtenir un correctif. Il peut aussi être envisagé d’exécuter ce logiciel vulnérable dans un environnement virtualisé ou un bac à sable. Cela peut ajouter un niveau de complexité, mais cette approche permet de confiner un éventuel attaquant qui réussirait à tirer profit des vulnérabilités. Les entreprises peuvent également veiller à ce que leur surface d'attaque soit réduite au minimum en utilisant des systèmes configurés de manière sécurisée.

Des outils tels que Qualys BrowserCheck permettent de voir quelles extensions non sûres de navigateurs Web sont installées. Personal Software Inspector de Flexera permet quant à lui d’identifier les mises à jour nécessaires et d’automatiser leur installation.

Conclusion

Malheureusement, en matière de sécurité informatique, il n’est pas possible de choisir de ne bloquer que 80 % des attaques au prix de 20 % de l'effort. Mais il est possible d’utiliser des ressources limitées de manière plus efficace pour mieux protéger son entreprise. En veillant à ce se concentrer sur les risques les plus élevés identifiés, des protections efficaces peuvent être mises en œuvre à grande échelle pour limiter le risque réel au niveau des hôtes de l’infrastructure. 

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)