Six raisons pour lesquelles il est si difficile de corriger les applications Windows tierces
La sécurité des applications est-elle sacrifiée sur l'autel des jointures numériques non patchées ? On peut bien évidemment appliquer des correctifs, mais n'est ce pas trop tard ?
Les gestionnaires de correctifs ont beau essayer, ils ne parviennent jamais à appliquer les patchs nécessaires aux vulnérabilités des applications tierces assez rapidement pour tenir à distance les pirates informatiques.
Embaucher ou former plus de personnel ne semble pas aider : comme si l'on ajoutait des voies de circulation à une autoroute bondée qui se remplit rapidement de voitures, le fait de consacrer plus de personnes et d'heures aux correctifs ne permet pas de résorber l'arriéré de correctifs qui ne cesse de croître.
En effet, les pirates travaillent 24 heures sur 24, 7 jours sur 7, et les correctifs sont publiés 24 heures sur 24. Malheureusement, le déploiement de ces changements est beaucoup plus compliqué que de déployer une solution rapide et de s'attendre à ce que tout aille bien.
Pressés par le besoin de rapidité mais entravés par des processus complexes, les informaticiens peuvent être tentés de prendre des raccourcis, avec des résultats potentiellement désastreux. Les cybercriminels savent presque avant tout le monde où se trouvent les vulnérabilités logicielles et comment les exploiter, et ils le feront si une application n'est pas correctement corrigée ou si le délai est trop long.
En fait, environ 60 % des violations de données survenues au cours des deux dernières années auraient pu être évitées si les correctifs avaient été appliqués à temps. Avec environ la moitié des entreprises ayant signalé au moins une violation au cours de cette période, il s'agit d'un problème omniprésent et systémique.
Les entreprises connaissent les dangers du retard. Les équipes chargées de l'application des correctifs et du déploiement, surchargées de travail, le savent aussi. Pourtant, elles ne parviennent toujours pas à suivre, ce qui coûte aux entreprises de l'argent, des clients, une réputation et des risques juridiques.
Pourquoi les correctifs pour les logiciels tiers sont-ils si difficiles à appliquer ? Les raisons sont nombreuses et interdépendantes. En fin de compte, tout se résume à la complexité.
Heureusement, il existe des solutions qui peuvent épargner aux entreprises les maux de tête liés aux correctifs auxquels elles sont confrontées depuis des années.
Les correctifs pour les applications tierces ont une grande importance
L'utilisation de logiciels fournis par d'autres sociétés est devenue la norme dans les entreprises de toutes tailles. Les applications tierces nous fournissent tout, du courrier électronique à la gestion des endpoints.
Alors que les systèmes d'exploitation sont devenus plus sûrs, les pirates cherchent d'autres portes d'entrée non verrouillées dans les entreprises et leurs données. Ils trouvent des moyens d'entrer par le biais d'applications non corrigées.
Les conséquences peuvent être désastreuses, voire mortelles. Une attaque contre un prestataire de soins de santé, par exemple, peut paralyser les systèmes et retarder ou interrompre les services essentiels aux patients.
Si la sécurité n'est pas une préoccupation suffisante pour inciter les entreprises à trouver une solution au problème des correctifs, la conformité pourrait l'être. Les gouvernements du monde entier s'empressent et insistent pour que les correctifs soient appliqués en temps voulu.
6 raisons pour lesquelles l'application de correctifs est si difficile
1. Les employés sont débordés
Malheureusement, l'augmentation du nombre d'employés ne sera pas forcément utile. La solution ne se limite pas à l'embauche de personnel supplémentaire. Les professionnels de l'informatique ont besoin de meilleurs outils et d'une meilleure formation pour effectuer leur travail.
La mise à jour et l'application de correctifs aux applications externes est en soi une tâche sisyphéenne, étant donné que ces correctifs arrivent plus vite qu'ils ne peuvent être appliqués. Au moment où la version corrigée d'une application est entièrement déployée, elle peut être déjà dépassée, supplantée par une autre nouvelle version contenant davantage de correctifs.
La seule façon tenable de gérer l'arriéré, pour la plupart, est d'établir des priorités en fonction du nombre de personnes dans l'entreprise qui utilisent l'application en question et de la gravité de la vulnérabilité de sécurité. Les pirates ciblent souvent les applications peu utilisées pour cette raison : elles ont tendance à être moins prioritaires, ce qui augmente la probabilité que les intrus puissent s'infiltrer avant que le correctif ne soit appliqué.
2. De plus en plus de personnes travaillent à domicile.
Comme les entreprises le savent, le passage au travail à distance a causé de nombreux problèmes de sécurité, en partie parce que les employés préfèrent souvent utiliser leurs appareils personnels pour travailler. Même lorsque les entreprises découragent le BYOD, les gens le font quand même, si c'est plus pratique - et qui peut les en empêcher ?
Non détectés, non protégés et même non surveillés par la sécurité de l'entreprise, ces appareils hors site sont beaucoup plus faciles à pénétrer pour les pirates – il est impossible de patcher ce que l’on ne peut pas voir. Et si le personnel informatique travaille également à distance, il aura certainement plus de mal à collaborer, ce qui est essentiel pour le déploiement des correctifs.
3. Les équipes informatiques travaillent de manière disjointe plutôt qu'en tant qu'unité.
L'équipe chargée de signaler les vulnérabilités des logiciels n'est pas forcément la même que celle qui les corrigera. La gestion des vulnérabilités est généralement une tâche de sécurité informatique ; l'application de correctifs aux ordinateurs de bureau peut relever de l'équipe chargée des postes utilisateurs, des opérations informatiques ou de la gestion des services informatiques.
Ces déconnexions peuvent interrompre le flux de travail, entraver une communication efficace et causer encore plus de frictions et de retards dans le processus de correction.
4. Les processus de gestion du changement prennent du temps et peuvent être lourds.
Il n’est pas rare qu’un professionnel IT doive suivre un processus de changement avec plus de 30 approbateurs différents, qui doivent tous approuver le changement avant que le produit puisse être mis en service. Et le laps de temps nécessaire pour patcher un logiciel à partir de l’identification de la faille est du véritable pain béni pour les cybercriminels. Et ce type de retard peut être désastreux. Et ce n'est peut-être même pas nécessaire : les politiques internes qui ralentissent sont peut-être dépassées.
Aujourd'hui, les technologies utilisées par une entreprise valident la mise à jour, ce qui permet aux équipes de réaliser ce travail sans l'approbation du service informatique, mais l'ancienne règle est peut-être toujours en vigueur. Les correctifs opportuns sont retardés ainsi sans raison valable, si ce n'est que "cela a toujours été fait de cette façon".
5. Les correctifs ne sont pas toujours parfaits
Le logiciel corrigé reçu peut, lui-même, être défectueux. Peut-être, comme cela s'est produit lors du désormais célèbre piratage de Solarwinds, la mise à jour a-t-elle déjà été compromise et attend son déploiement pour que des criminels puissent accéder aux systèmes de l’entreprise.
Connaissant les risques potentiels de chaque correctif et mises à jour, de nombreuses équipes informatiques répugnent à se contenter d'un simple "plug and play", même si cela leur fait gagner du temps. Elles veulent vérifier la sécurité de chaque correctif, ce qui implique généralement de l'observer sur plusieurs systèmes et de rechercher les bogues avant de rédiger manuellement un rapport sur l'état du correctif. Toutes ces opérations de vérification, de test et de compilation de rapports exigent un temps précieux.
6. La mise à jour implique de nombreux processus manuels
Ces processus peuvent prendre beaucoup de temps. Une entreprise peut utiliser de multiples applications et devoir appliquer de nombreux correctifs quotidiennement - des centaines, dans le cas des grandes organisations. Non seulement il y a les problèmes de sécurité mentionnés ci-dessus, mais les tests de compatibilité peuvent également prendre des jours.
Et puis, comme certaines entreprises publient des correctifs successifs, les équipes internes doivent déterminer si les métadonnées qu'elles consultent s'appliquent au correctif qu'elles veulent appliquer ou à une version différente. Au total, le déploiement d'un seul correctif peut prendre jusqu'à deux semaines, et ce, si tout se passe bien.
Avec tous ces rebondissements, ces boucles et ces obstacles, c'est un miracle que les correctifs soient appliqués. Au fur et à mesure que les technologies prolifèrent, tout comme les logiciels qui les font fonctionner, les problèmes liés aux correctifs vont certainement se multiplier.
L'automatisation à la rescousse
Il est clair que les exigences de la gestion des correctifs sont trop complexes pour des processus manuels. Et les personnels informatiques ne disposent que d'une capacité limitée pour jongler avec un ensemble de tâches étourdissantes, voire déroutantes.
Mais pour chaque problème créé par la technologie, la technologie tend également à fournir une solution - et les correctifs ne sont pas différents.
Les progrès technologiques tels que l'intelligence artificielle et l'apprentissage automatique rendent l'automatisation des correctifs plus rapide, plus fluide et plus facile que jamais.
En fait, l'utilisation de l'automatisation pour détecter les vulnérabilités, les attaques et y remédier pourrait réduire le coût moyen d'une violation de 25 %, soit quelque 450 000 dollars par an, comme le montre une récente enquête du Ponemon Institute.
Une véritable solution autonome de gestion des correctifs peut faire franchir à une organisation les nombreuses étapes de la gestion des correctifs sans pratiquement aucune intervention humaine. Elle peut même déployer plusieurs correctifs simultanément, en une fraction du temps que requièrent les processus manuels. Le délai de déploiement passe ainsi de plusieurs semaines à quelques minutes, ce qui permet aux équipes informatiques de se concentrer sur des tâches plus stratégiques.