Il n’y a jamais une cause exclusive à un grave incident qui est la somme de plusieurs défaillances. Reste à en tirer les enseignements applicables à la traque des défauts de contrôle qualité logicielle. Qualys a publié une étude pointant le fait que seules 40% des entreprises corrigent les vulnérabilités critiques dans les 30 premiers jours qui suivent leur publication. Un délai prohibitif qui ouvre une porte béante aux pirates.
Autre enseignement, le cycle de vie moyenne pour des vulnérabilités critiques est de 21 jours pour les réseaux externes et de 62 jours pour les réseaux internes des entreprises. A noter, le délai de correction nécessaire qui est multiplié par 2 lorsque le degré de criticité des vulnérabilités baisse.
D’autre part, il y a un flux constant de nouvelles vulnérabilités à traiter car la moitié des menaces les plus répandues et les plus critiques sont remplacées par de nouvelles vulnérabilités chaque année. Certaines failles persistent durant des mois, ce qui accroit les risques.
Une analyse d’Adaptiva, acteur des solutions de sécurisation des terminaux, pointe la complexité croissante des ressources IT. Ainsi, 69 % des DSI interrogés déclarent ne pas savoir combien d'applications sont installées sur leurs points d'accès. Dans les grandes entreprises, le chiffre moyen d’applications installées sur les terminaux et serveurs est de près de 3 000. Et ce nombre ne fait que croitre. Le temps de déploiement d’un correctif est d’au moins deux semaines selon plus de la moitié du panel (soit 59% des réponses), de quoi ouvrir le SI à tous les vents durant ce délai.
Plus préoccupant, seuls 34 % des répondants peuvent confirmer avec certitude qu'un correctif déployé a été installé sur les appareils appropriés.
Enfin, 44 % des patches (correctifs) sont gérés de manière manuelle mais seulement 31 % sont distribués de manière automatisée.
Un contrôle qualité à revoir face à la complexité des OS, applications et infrastructures
L’éditeur de logiciels de sécurité Rapid 7 a publié une étude indiquant que 53 % des failles récentes ont été exploitées jusqu’au début de 2024 sans que les équipes de sécurité aient pu les corriger ce qui montre l’ampleur du problème.
Trois défis se posent au DSI et RSSI pour gérer correctement le cycle de vie des correctifs.
En premier lieu, il faut affronter la complexité croissante d’environnements hétérogènes. Les équipes de la DSI jonglent souvent avec plusieurs systèmes d'exploitation, applications et infrastructures.
Autre challenge, la montée en charge des équipements liés à l'internet des objets (IoT) qui pose de nouveaux défis pour la gestion de correctifs qui ne sont pas pris en charge par les méthodes habituelles de déploiement des mises à jour.
Enfin, et il s’agit d’un aspect crucial, il faut trouver un point d’équilibre entre la rapidité des déploiements des correctifs et la sécurité des équipements. Plus facile à écrire qu’à faire avec l’injonction à délivrer rapidement les projets.
Bien entendu, des sauvegardes régulièrement testées avec les bonnes versions des correctifs sont un impératif à l’appui d’un plan de reprise d’activité qu’il faut, lui aussi, tester soigneusement. Vaste chantier.
