Gestion des correctifs basée sur les risques pour résister aux cybermenaces

Gestion des correctifs basée sur les risques ? Une stratégie abordable, logique et efficace pour répondre à la pluralité des menaces. Pluralité, est peut-être un mot un peu faible…

Comment en sommes-nous arrivé là ? La transformation digitale et le passage à un mode de collaboration hybride ont créé d'incroyables opportunités. Il convient tout même de nuancer, car le travail à distance a parfois été vécu difficilement pour certaines organisations. Le télétravail a, entre autres bouleversements, offert aux cybercriminels une magnifique occasion d'exploiter cette révolution.

Pour répondre à ces travers, l’ANSSI (Agence nationale de la sécurité et des systèmes d’information) en France, publie régulièrement des recommandations. Il en va de même dans d’autres pays comme les Etats-Unis où la NSA (National Security Agency), la CISA (Cybersecurity & Infrastructure Agency) et le FBI (Federal Bureau of Investigation) ont récemment mis à la disposition des entreprises un document commun. Ces conseils interviennent alors que les pirates informatiques, y compris ceux qui sont parrainés par un État, "continuent d'exploiter les vulnérabilités connues du public, afin d'établir un vaste réseau d'infrastructures infectées".

Il existe un autre défi : la pénurie de personnel IT crée une situation très complexe. Comprenez que moins de personnel doit gérer plus de travail. Les équipes IT sont maintenant partagées en deux camps : d’un côté, ceux qui essayent d’appliquer tous les correctifs... autant que possible ; de l’autre ceux qui réalisent qu'il est impossible d'appliquer tous les correctifs et renoncent.

La première posture, conduit rapidement au burn-out. Et, comme il est pratiquement impossible de vraiment appliquer tous les correctifs, les équipes peuvent consacrer beaucoup de temps à une menace mineure, sans jamais corriger le véritable problème.  La seconde n'est évidemment pas une solution viable ! Ceci dit, il est compréhensible que tant de personnes baissent les bras face à cette opposition croissante. Sachant que les vulnérabilités liées aux ransomwares ont augmenté de 29 % par rapport à l'année dernière, ne rien faire n'est tout simplement pas une option. 

La gestion des correctifs basée sur les risques comme alternative

  1. La gestion des correctifs basée sur les risques est une alternative pragmatique aux faiblesses du "tout ou rien" décrit ci-dessus. Il ne s'agit pas de lutter sans discernement, ni d'ignorer les menaces en espérant qu'elles disparaissent. Comme son nom l'indique, la gestion des correctifs basée sur les risques implique une application stratégique des correctifs, basée sur les risques, ce qui en fait un compromis stratégique. 
  2. La gestion des correctifs basée sur les risques est contextualisé et personnalisé. La stratégie d'une entreprise repose sur la combinaison entre des informations externes sur les menaces et les vulnérabilités, et l'environnement de sécurité propre à l'entreprise concernée. Cela rend cette méthode encore plus efficace, car il ne s'agit pas d'une solution passe-partout susceptible d'être facilement contournée par les pirates, dès qu'ils comprennent comment une entreprise l'applique. 
  3. La gestion des correctifs basée sur les risques est plus rapide et plus efficace que les autres stratégies de gestion des correctifs. Avec l'apparition constante de nouvelles menaces... et des attaques réussies qui font des ravages presque instantanément, la vitesse est primordiale.
  4. Enfin, la gestion des correctifs basée sur les risques offre une possibilité de démanteler les services de sécurité et d'exploitation IT, souvent en silos. Sachant que les environnements de sécurité internes et l'évaluation des menaces externes sont tous les deux des composants essentiels du RBPM, ces départements peuvent collaborer pour améliorer le travail de chacun. 

Bien entendu, cette liste n'est pas exhaustive. À son niveau le plus simple, la gestion des risques basée sur les correctifs signale les menaces à placer en premier dans la liste des priorités, afin que les équipes IT puissent utiliser leur temps au mieux, en traitant les menaces les plus préoccupantes. Ainsi, en plus d'atténuer des menaces les plus sévères, la gestion des correctifs basée sur les risques a l'avantage très réel de donner à l'équipe IT l'impression de gagner du terrain (parce qu'elle le fait vraiment). Cela a un impact sur le moral, et compense une partie des difficultés liées au sous-effectif et à la surcharge de travail. 

Mettre en place une stratégie de gestion des correctifs basée sur les risques

Pour se lancer dans une stratégie et des solutions de gestion des correctifs basée sur les risques, les entreprises doivent comprendre comment classer les menaces et y répondre. Pour ce faire, il faut : 

  • Découvrir les actifs pour identifier les postes client et les utilisateurs actuellement en jeu. Après tout, vous ne pouvez pas corriger ce que vous ne connaissez pas.
  • Garantir que tout le monde a accès aux mêmes informations. L'efficacité du RBPM dépend de l’alignement entre toutes les parties en présence, en particulier les équipes Opérations IT et Sécurité.
  • Réduire le cycle de maintenance en priorisant les vulnérabilités et en traitant immédiatement les plus critiques. Les équipes Opérations IT et Sécurité doivent travailler en parallèle, avec les mêmes méthodes de priorisation des risques.
  • Identifier les principales parties prenantes pouvant servir de groupes pilotes pour prioriser et tester les correctifs. Les groupes pilotes fournissent des informations sur le monde réel, plus précises que celles pouvant être collectées en environnement de laboratoire de test contrôlé.
  • Envisager des options d'automatisation. L'automatisation rend la gestion des correctifs basée sur les risques particulièrement efficace, car elle permet une collecte, une contextualisation et une priorisation beaucoup plus rapides et plus précises (avec moins de ressources) que les solutions de gestion des correctifs basée sur les risques manuelles.

Outre les capacités d'automatisation, vous devez penser à différents autres éléments dans votre solution de gestion des correctifs basée sur les risques, comme des tableaux de bord personnalisables, un système d'alerte et un système clair d'évaluation des risques. Vous aurez besoin d'informations sur les menaces, avec un contexte réel et la capacité de tenir compte de facteurs de risque uniques. La solution doit également offrir une prise en charge hétérogène, couvrant différents systèmes d'exploitation. Enfin, bien sûr, les données sont primordiales. Demandez aux fournisseurs de plateformes potentiels si leur solution propose plusieurs sources de données, diverses et personnalisées, pouvant intégrer des résultats manuels.

Dans l'idéal, la gestion des correctifs basée sur les risques doit être intégré à un programme complet de gestion des vulnérabilités basé sur les risques. Ce type de programme peut réduire de 80% les incidents de fuite de données dans une entreprise. Il s'agit d'une réorientation relativement simple de la gestion des correctifs, avec potentiellement des résultats majeurs. Et surtout, les équipes IT doivent passer d'un traitement des correctifs qui se résume à cocher la case des périphériques / infrastructures à un modèle d'exploitation permettant de prévenir efficacement les catastrophes. C'est ce que vous apporte le RBPM, et il est temps de le prendre au sérieux.