Bilan de la cybersécurité : La tendance alarmante des systèmes non soutenus
Petite question : quand peut-on faire fonctionner un système en réseau sans mises à jour ?
Si la réponse prend plus d'une seconde et n'est pas "jamais", il faut en parler.
Imaginez : une grande entreprise paralysée du jour au lendemain par une cyberattaque, à cause d'un détail négligé - des systèmes obsolètes. Il ne s'agit pas d'un scénario hypothétique, mais d'une réalité à laquelle de nombreuses organisations ont été confrontées ces dernières années. Maintenir les systèmes à jour n'est pas seulement une bonne pratique, c'est une nécessité pour la survie. Chez TuxCare, nous avons approfondi cette question dans notre rapport 2023 Year-in-Review.
Une donnée est apparue comme une évidence.
Contexte
Environ 40 % des personnes interrogées nous ont indiqué qu'elles utilisaient CentOS (la distribution la plus utilisée dans les entreprises), et qu'elles devançaient toujours des alternatives telles qu'AlmaLinux, Rocky, et d'autres.
Ce n'était pas la partie surprenante. CentOS est une distribution robuste avec une base de déploiement bien établie (des preuves anecdotiques l'ont placé comme le système d'exploitation le plus utilisé pour le World Wide Web). le système d'exploitation le plus utilisé sur le web il y a quelques années). il y a quelques années).
Ensuite, nous avons demandé quelle(s) version(s), et c'est là que les choses deviennent intéressantes. CentOS 7 (48,38%) est la version la plus utilisée, suivie par CentOS 8 (27,41%), et très près derrière CentOS 6 (avec 24,19%). Considérons maintenant que, sur les trois, CentOS 6 et 8 n'ont plus de support officiel - c'est-à-dire qu'ils ont dépassé la fin de vie (EOL) - depuis des années, et que CentOS 7 suivra le même chemin l'été prochain.
Un aperçu de nos conclusions :
- Utilisation de CentOS : 40% des personnes interrogées utilisent CentOS, plus que Stream, AlmaLinux, Rocky et d'autres.
- Distribution de la version :
- CentOS 7 : 48,38% (fin de vie prévue en juin 2024)
- CentOS 8 : 27,41% (déjà en fin de vie - décembre 2021)
- CentOS 6 : 24,19% (déjà en fin de vie - novembre 2020)
- Utilisation post-EOL : 22,22% des utilisateurs de CentOS 6 et 7,69% des utilisateurs de CentOS 8 utilisent ces versions sans aucun support. Plus de 9% prévoient de continuer à utiliser CentOS 7 sans support après l'EOL.
On peut dire à juste titre qu'il existe des options d'assistance tierces (par exemple, le service d'assistance de TuxCare), TuxCare) pour continuer à utiliser ces systèmes et recevoir les mises à jour de sécurité, mais nous voulions nous assurer que c'était bien ce qui se passait.
Parmi ceux qui ont répondu à CentOS 6, 22,22% admettent continuer à l'utiliser sans support. Pour CentOS 8, ce chiffre est de 7,69%. Et plus de 9 % admettent qu'ils utiliseront CentOS 7, après la fin de sa vie utile, sans assistance.
Si cela ne vous alarme pas, c'est que vous n'avez pas été attentif.
Une horloge à tic-tac
Mettons les choses au clair ici, afin qu'il n'y ait aucun doute sur la direction que je vais prendre : "il est impossible de faire fonctionner un système sans mises à jour et de considérer son environnement comme sûr." Vous pouvez me citer.
Il est donc juste de dire que les organisations qui acceptent ce risque se protègent en partant de l'hypothèse très dangereuse que "cela ne m'arrivera pas" (indice : cela arrivera ; votre organisation n'est pas spéciale à cet égard) ou que "nous ne sommes pas assez importants pour être ciblés" (cela n'a pas la moindre importance - c'est un jeu de chiffres pour les acteurs de la menace). c'est un jeu de chiffres pour les acteurs de la menace).
En outre, ces organisations, et ces systèmes en particulier, représentent un risque non seulement pour l'infrastructure dont elles font partie, mais aussi pour toutes les autres personnes en ligne. Les botnets ont besoin de trouver et d'exploiter des systèmes vulnérables pour se développer et créer ainsi un problème plus important pour les autres.
Ce n'est que du marketing
Depuis sa fin de vie, CentOS 6 a été affecté par plus de 2100 vulnérabilités. Près de 2000 pour CentOS 8. Nous avons un compteur en direct ici pour les vulnérabilités corrigées par TuxCare. Dans le paysage actuel de la cybersécurité, croire que vos systèmes sont encore ce qu'ils sont, c'est-à-dire les vôtres, est probablement un vœu pieux.
Il existe d'innombrables raisons pour lesquelles vous êtes bloqué dans des systèmes d'exploitation en fin de vie. Cela va du manque de ressources pour effectuer la migration ou la mise à niveau, au manque de support matériel sur les distributions plus récentes, et même aux bases de code non maintenues qui alimentent la charge de travail fonctionnant sur ces systèmes... la liste est longue. Mais, à un moment donné, l'état d'esprit doit changer - l'exposition au risque ne fait qu'empirer alors que l'avantage perçu d'éviter les tracas de la migration (et c'est un tracas !) n'est pas vraiment un avantage du tout.
Les offres d'assistance prolongée permettent non seulement d'atténuer le problème, mais aussi de vous font gagner du temps. C'est l'une des rares situations où vous pouvez obtenir plus de temps, à volonté, pour résoudre un problème donné. De plus, cela rend votre environnement plus sûr, et celui des autres aussi, ce qui est un avantage supplémentaire.
Les amis ne laissent pas leurs amis utiliser des systèmes non corrigés.
Vous trouverez plus d'informations dans le rapport complet, y compris des corrélations intéressantes entre les difficultés rencontrées et la conscience du risque - il semble que nous ne commencions à prendre conscience du problème que lorsque nous sommes confrontés à des situations concrètes.
Le rapport complet sera disponible dans les prochains jours sur le site web de TuxCare.