Support technique
Documentation
Connexion
Nous contacter
Ambivalents à l'égard des correctifs ? Voici toutes les preuves réunies en un seul endroit
Le 29 mars 2023 - L'équipe de relations publiques de TuxCare
Parfois, la réussite d'un cours 101 dépend du sérieux que l'on accorde à la question et du degré de priorité qu'on lui accorde. Prenons l'exemple de la santé : nous savons que nous ne devrions pas manger trop de fast-food et que nous devrions faire de l'exercice, mais en l'absence de données probantes, nous ne parvenons pas toujours à faire ce qu'il faut.
Il peut également s'agir d'un équilibre entre les priorités. Lors de l'application de correctifs pour la sécurité, sur quoi décidez-vous de mettre l'accent ? Sur la disponibilité ou sur la sécurité ?
L'application de correctifs contre les vulnérabilités en matière de cybersécurité est l'une de ces notions de cybersécurité 101 qui n'est pas toujours appliquée de manière cohérente. Vous savez que vous devriez le faire, nous savons que vous devriez le faire... mais les vulnérabilités connues ne sont toujours pas corrigées.
Chez TuxCare, nous savons à quel point les correctifs sont importants - et nous vous le répétons sans cesse, mais l'argument des correctifs devient encore plus fort lorsque vous examinez les preuves. Dans cet article, nous vous donnons toutes les preuves en un seul endroit.
Une histoire de chiffres
Les statistiques peuvent être très éloquentes et parfois contredire notre intuition - elles peuvent donner une image bien pire que celle à laquelle nous nous attendions instinctivement.
Prenons l'exemple d'un rapport récent de Ponemon pour ServiceNow, intitulé L'état actuel de la réponse aux vulnérabilités. Au cours de la période couverte par l'étude, 48 % des entreprises ont été victimes d'une violation de données, ce qui n'est pas une bonne nouvelle, quel que soit l'angle sous lequel on l'envisage.
Mais voici la partie la plus surprenante. Le rapport indique que : "57 % des personnes interrogées qui ont signalé une violation ont déclaré avoir été victimes d'une faille pour laquelle un correctif était disponible mais n'avait pas été appliqué. 34 % déclarent qu'ils savaient qu'ils étaient vulnérables avant que la faille ne se produise".
Réfléchissez-y un instant.
Un rapport d'un fournisseur réputé indique que la moitié des entreprises interrogées ont récemment été piratées, et que la majorité d'entre elles l'ont été en raison d'une mauvaise hygiène en matière de correctifs.
Il raconte l'histoire complète du "patching matters", en un seul rapport.
Le corps des nombres
Il n'y a pas qu'un seul rapport inquiétant, bien sûr. En fait, il existe tout un ensemble de statistiques qui confirment la nécessité d'appliquer des correctifs de manière cohérente, et beaucoup soulignent les conséquences d'un manquement à cette règle.
A titre d'exemple, dans une étude de Positive Technologies, les chercheurs ont découvert une statistique alarmante : 84 % des entreprises ont des vulnérabilités à haut risque sur leurs réseaux externes. Une fois de plus, le rapport révèle que plus de la moitié de ces vulnérabilités pourraient être éliminées par la simple installation de mises à jour.
Vous avez remarqué le thème des vulnérabilités non corrigées ? Dans le même rapport, Positive Technologies a constaté que 26 % des entreprises restent vulnérables au ransomware WannaCry, car elles n'ont pas encore corrigé la vulnérabilité qu'il exploite.
Il y a un autre aspect important à prendre en compte. Les vulnérabilités sont partout, au sens le plus littéral du terme. Le rapport de Veracode sur l'état de la sécurité des logiciels, publié en octobre 2020, a révélé que plus des trois quarts (75,2 %) des applications présentent des failles de sécurité. Parmi celles-ci, 24 % sont considérées comme des failles de haute gravité.
Quel est le nombre total de vulnérabilités ? Toutes les vulnérabilités ne sont pas répertoriées, mais selon CVE Details en mars 2023, il y avait environ 198 020 vulnérabilités répertoriées - dont plus de 19 974 ont un score CVSS de 9.0-10.0, ce qui indique qu'elles sont hautement critiques.
Et pourtant... selon Automoxune majorité de DSI et de RSSI déclarent retarder l'application des correctifs de sécurité pour éviter d'interrompre la croissance de l'entreprise, tandis que 25 % affirment être certains que leur organisation n'est pas en conformité avec la législation sur la sécurité des données.
Comment les acteurs de la menace réagissent-ils ? En tirant parti des nouvelles vulnérabilités encore plus rapidement qu'auparavant..
Incidents liés à une mauvaise application des correctifs
Les statistiques dressent un tableau inquiétant. Mais ce ne sont que des chiffres... peut-être la réalité n'est-elle pas si mauvaise ? Existe-t-il des preuves que les statistiques se confirment dans la pratique ? Les incidents de cybersécurité sont-ils imputables à des vulnérabilités non corrigées ? Jetons un coup d'œil.
En 2017, Equifax, l'une des plus grandes agences d'évaluation du crédit au monde, a été victime de l'une des plus grandes violations de données de tous les temps qui a exposé les informations personnelles de centaines de millions de personnes. La première étape d'une violation complexe a été rendue possible par une vulnérabilité non corrigée dans le cadre Apache Struts.
Pire encore, l'entreprise a été avertie à plusieurs reprises des vulnérabilités dans son infrastructure technologique, y compris la vulnérabilité d'Apache Struts, ainsi qu'une liste interminable d'autres mauvaises pratiques informatiques. Equifax n'a tout simplement pas corrigé ces vulnérabilités.
Equifax n'est pas la seule grande entreprise à avoir subi une violation massive en raison d'un manque d'hygiène en matière de correctifs. La même chose est arrivée aux hôtels Starwood, qui font maintenant partie de Marriott. En 2014, l'entreprise a subi une attaque qui a exposé 384 millions de dossiers de clients, à cause d'une vulnérabilité non corrigée. Cette attaque est largement connue comme l'une des pires attaques de cybersécurité de tous les temps.
En 2017 également, nous avons vu WannaCryqui a touché plus de 200 000 ordinateurs dans 150 pays. L'attaque a pu se propager rapidement bien qu'elle ait exploité une vulnérabilité pour laquelle un correctif était disponible plusieurs mois auparavant. Qu'est-ce qui a permis à WannaCry de se propager ? C'est simple : de nombreuses organisations n'ont pas appliqué de correctif pour la vulnérabilité EternalBlue que les acteurs de la menace qui ont exploité WannaCry ont eu le champ libre.
La liste est encore longue. Par exemple, la Croix-Rouge a révélé en 2022 que les informations personnelles d'un demi-million de personnes vulnérables ont été exposées lors d'un piratage dû à une vulnérabilité que l'organisation n'a pas corrigée à temps.
C'est un risque qui touche les entreprises, grandes et petites. Par exemple, l'ICO britannique a infligé une amende importante à un petit cabinet d'avocats après avoir constaté que que le cabinet avait été victime d'une violation en raison d'une vulnérabilité non corrigée.
Les attaques réussies dues à des vulnérabilités non corrigées peuvent également survenir au pire moment. Les systèmes de l'État de New York ont été piratés en raison d'une vulnérabilité Citrix connue mais non corrigée, juste avant l'épidémie de COVID.
Patching : recommandé et nécessaire
Les statistiques relatives aux vulnérabilités non corrigées étaient comme un mauvais présage, elles indiquaient que les vulnérabilités non corrigées allaient conduire à des piratages coûteux. Et c'est ce qui s'est passé : des organisations, grandes et petites, ont été piratées, et il ne s'agit là que des incidents qui ont été divulgués à la presse (ou qui étaient suffisamment dignes d'intérêt pour faire l'objet d'un article dans la presse).
Il s'agit sans aucun doute d'un problème majeur et il n'est pas surprenant que les organismes de réglementation aient estimé qu'il fallait faire quelque chose. C'est pourquoi les correctifs sont mentionnés dans les lois et les cadres relatifs à la cybersécurité dans le monde entier.
Par exemple, lors d'un événement majeur pour la cybersécurité des dispositifs médicaux, le président des États-Unis a signé, fin 2022, une loi établissant des exigences claires en matière de correctifs pour les dispositifs médicaux. Les législateurs ont utilisé le projet de loi omnibus de 2022 (page 3 537, ligne 18) pour modifier le chapitre V de la loi fédérale sur les aliments, les médicaments et les cosmétiques (Federal Food, Drug, and Cosmetic Act) afin, entre autres, d'ajouter une obligation de correction des vulnérabilités critiques "dès que possible".
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est une autre norme critique pour laquelle l'absence de correctifs peut causer de gros problèmes à une organisation. Les entreprises qui acceptent les paiements par carte doivent maintenir des systèmes et des réseaux sécurisés, avec des exigences spécifiques en matière de correctifs de sécurité pour tous les logiciels utilisés dans l'environnement des cartes de paiement. Ne pas appliquer les correctifs, c'est en subir les conséquences.
Le NIST (National Institute of Standards and Technology) publie une ligne directrice sur la gestion des correctifs (NIST 800-40)qui fournit des spécifications détaillées sur tous les aspects de la gestion des correctifs, qu'il s'agisse de correctifs de routine ou de correctifs d'urgence.
La correction des vulnérabilités (y compris par l'application de correctifs) est un élément essentiel de nombreux autres cadres. Par exemple, la CISA en fait un élément essentiel des métriques FISMALa certification SOC 2 et les normes telles que la norme ISO 27001 reposent également sur l'application de correctifs. Il en va de même pour les recommandations des contrôles CIS.
Même l'organisme de réglementation des services financiers au Luxembourg est intervenu avec une exigence spécifique, puisqu'en mai 2017, la circulaire 17/655 de la CSSF a été publiée. circulaire CSSF 17/655 a été publiéequi intensifie la pression réglementaire sur les banques et les entreprises d'investissement pour qu'elles renforcent leurs contrôles concernant la gestion des correctifs.
Qu'en pensez-vous ? Le rapiéçage est-il important ?
Les statistiques confirment ce que tout le monde sait déjà dans le domaine de la sécurité informatique : les correctifs sont vraiment importants. Les exemples d'incidents que nous avons fournis complètent le tableau. Et, comme nous l'avons expliqué, les exigences en matière de correctifs sont de plus en plus souvent inscrites dans la loi.
Nous espérons que cet ensemble d'éléments fournit une perspective claire sur l'importance des correctifs - en particulier lorsque les organisations estiment que les correctifs sont importants, mais pas tout à fait aussi importants que cela.
