Une mauvaise gestion des correctifs dans le domaine de la cybersécurité
Cet article fait partie d'une série consacrée à l'examen d'un récent avis conjoint de la avis conjoint sur la cybersécurité de la NSA et de la CISA sur les principaux problèmes de cybersécurité identifiés lors d'exercices en équipe rouge/bleue menés par ces organisations. Dans cet article, vous trouverez un examen plus approfondi du problème spécifique, avec des scénarios réels où il s'applique, ainsi que des stratégies d'atténuation qui peuvent être adoptées pour le limiter ou le surmonter. Cet article développe les informations fournies par le rapport de la NSA/CISA.
Même des années après avoir été largement signalés et connus, les systèmes vulnérables à l'exploit Log4j sont toujours accessibles en ligne. Cette vulnérabilité persistante met en évidence une défaillance critique dans les pratiques de gestion des correctifs. Les systèmes qui ne sont pas protégés contre des vulnérabilités aussi connues sont, par essence, des portes ouvertes pour les cybercriminels, ce qui conduit souvent à une exploitation rapide et sans compromis.
L'exemple de log4j est justement un exemple très parlant d'une mauvaise gestion des correctifs et de son impact direct sur la position des organisations en matière de cybersécurité. La vérité est que l'absence d'une stratégie de gestion des correctifs cohérente, reproductible, auditable et réactive est toujours la cause première d'incidents et de problèmes commerciaux très coûteux. Peut-être, juste peut-être, que les pratiques utilisées il y a 20 ans ne sont plus applicables à un paysage de menaces qui a évolué au-delà de ce qui était autrefois considéré comme un délai de déploiement efficace des correctifs.
Les raisons d'une mauvaise gestion des correctifs
Absence d'approbation de la part de l'encadrement supérieur
Souvent, il y a un retard ou un refus pur et simple d'approuver les temps d'arrêt pour l'application de correctifs en raison de préoccupations liées à la continuité de l'activité. Si cette attitude est défendable d'un point de vue commercial, elle ne tient pas compte des pertes subies et des perturbations causées par l'absence de correctifs, qui l'emportent (toujours ?) largement sur les perturbations survenant au cours d'une fenêtre de maintenance planifiée et programmée.
Préoccupations liées aux perturbations
Le redémarrage des systèmes ou des services après l'application d'un correctif peut entraîner d'importantes perturbations pour l'entreprise. Et si l'interruption est la principale raison de ne pas approuver une réponse rapide aux menaces émergentes, il existe également des solutions pour y remédier, comme indiqué ci-dessous.
Défis liés à l'établissement de priorités
Décider ce qu'il faut patcher en premier dans des fenêtres de maintenance étroites est une tâche décourageante, en particulier dans les environnements informatiques complexes. La solution à ce problème particulier s'apparente à l'œuf de Colomb : ne pas établir de priorités du tout et adopter une stratégie de correctifs qui consiste à tout patcher. La criticité et la gravité des différentes vulnérabilités sont souvent spécifiques à l'environnement ou, à tout le moins, fortement influencées par des variables environnementales indénombrables lors de l'évaluation et de la notation. Ainsi, même si l'on donne la priorité aux vulnérabilités présentant le risque le plus élevé, il est possible que d'autres vulnérabilités pertinentes pour un environnement particulier ne soient pas prises en compte.
Limites des ressources
Dans de nombreux cas, le manque de ressources adéquates entrave la capacité à mettre en œuvre des correctifs en temps voulu. Lorsque l'on travaille avec des équipes dont les ressources sont très limitées, l'automatisation est le moyen le plus efficace d'atténuer le problème. L'automatisation de chaque aspect du processus de gestion des correctifs - tests, déploiement, hiérarchisation et rapports - permet de réduire le coût des ressources nécessaires. Bien qu'il ne s'agisse pas d'une solution magique en soiil s'agit d'un pas dans la bonne direction.
Les conséquences sont réelles
Quelles que soient les raisons, un système non corrigé reste un système vulnérable. L'inclusion d'une mauvaise gestion des correctifs dans le rapport de la NSA/CISA souligne son importance. Les conséquences d'une gestion inadéquate des correctifs ne sont pas hypothétiques ; elles constituent un danger réel et actuel pour la sécurité des organisations.
Il est temps de changer les pratiques
Si les pratiques traditionnelles de gestion des correctifs échouent, comme en témoignent les vulnérabilités persistantes, il est temps pour les entreprises d'envisager d'autres approches :
Correctifs en temps réel
Une méthode qui permet un déploiement rapide, efficace et sans interruption des correctifs. Cette approche peut réduire de manière significative la fenêtre de vulnérabilité sans avoir d'impact sur les activités de l'entreprise.
Gestion automatisée des correctifs
La mise en œuvre de systèmes automatisés pour le déploiement des correctifs peut garantir des mises à jour en temps voulu et réduire la charge de travail des ressources humaines.
Audits de sécurité réguliers
La réalisation d'audits fréquents pour identifier les vulnérabilités et les classer par ordre de priorité peut rationaliser le processus de gestion des correctifs.
La mauvaise gestion des correctifs est un problème critique en matière de cybersécurité. La persistance des vulnérabilités à des exploits bien connus comme Log4j témoigne de la nécessité d'adopter des stratégies de gestion des correctifs plus efficaces. Les organisations doivent reconnaître la gravité de ce problème et adopter des pratiques qui garantissent des correctifs efficaces et en temps voulu pour protéger leurs actifs numériques.