Les correctifs de sécurité : indispensables, mais pas suffisants

Les correctifs de sécurité sont un passage obligé pour tous les professionnels de la sécurité informatique, mais leur disponibilité ne garantit pas leur distribution efficace.

Les services IT ne disposent bien souvent pas des outils et ressources nécessaires pour gérer les angles morts, et ce sont ces failles qui mettent l'entreprise en danger. Les logiciels sont par nature vulnérables. Des centaines de milliers de lignes de code, toutes écrites par des êtres humains, qu’est-ce qui pourrait mal tourner ? Personne n’est capable de développer un logiciel qui ne contiendrait absolument aucune erreur et serait totalement immunisé contre des attaques.

De plus, plus un logiciel vieillit, plus ses vulnérabilités sont exposées. Le lait tourné est ici la meilleure des analogies. Imaginez une bouteille stockée sur une étagère : plus elle y reste, plus le lait qu’elle contient vieillit et plus il a de chances, au final, de tourner. C’est exactement la même chose pour les logiciels. Avec le temps, la découverte, l’exposition et l’exploitation de vulnérabilités sont des phénomènes inéluctables et cumulatifs.

C’est la raison d’être des correctifs de sécurité et leur distribution aux systèmes d’exploitation et aux applications est aujourd’hui un passage obligé pour tous les professionnels de la sécurité informatique. Réduire le nombre de failles potentielles, et donc la surface d’attaque, reste en effet l’un des meilleurs moyens pour se protéger contre les intrusions et les cybermenaces.

Toutefois, les correctifs de sécurité ne peuvent assurer seuls l’intégrité d’un environnement informatique. Plusieurs cas de figure peuvent se présenter. 

Il n’existe pas de correctifs pour les logiciels trop vieux. Ce n’est certes pas systématique. Par exemple, après l’attaque WannaCry et face à l’étendue de la menace, Microsoft avait sorti des correctifs pour ses systèmes d’exploitation en fin de support. Mais cela reste une exception. Les logiciels trop anciens ne bénéficient généralement d’aucun correctif de sécurité.

Tout ne peut pas être patché. Les correctifs de sécurité ne protègent pas contre les vulnérabilités zero-day. Et que se passe-t-il si vous ne pouvez pas les distribuer parce que vos systèmes sont trop anciens, par exemple, ou que vous craignez que patcher ne crée des dysfonctionnements ?

Dans ces deux cas, tout un pan de votre environnement informatique présente des failles qui ne peuvent être comblées. Vous devez alors être en mesure de bloquer les applications qui n’ont pas été corrigées, avec des outils de type liste blanche ou gestion des privilèges.

Peu importe la manière dont l’utilisateur accède à son bureau, il est essentiel qu’il n’y trouve que les applications autorisées, celles dont il a besoin pour travailler et être productif ; et qu’à l’inverse, il ne puisse pas introduire d’applications non autorisées, qui pourraient remettre en cause la stabilité du système, avoir un impact sur la sécurité, violer les contrats de licence, induire des interruptions de service, et augmenter les coûts de la gestion des postes de travail. 

Ce n’est pas parce qu’un logiciel est plus récent qu’il est correctement patché. Des correctifs étaient disponibles pour les systèmes d’exploitation Windows avant WannaCry et, comme nous venons de le voir, également pour les systèmes en fin de support après l’attaque. Toutefois, même avec tous ces correctifs disponibles et WannaCry encore dans les esprits, de nombreuses entreprises ont été victimes de NotPetya un mois plus tard.

Ces entreprises n’avaient peut-être pas les outils nécessaires pour distribuer correctement les correctifs. Peut-être n’en avaient-elles pas les ressources et, même en travaillant dur, elles n’ont pas été capables de se protéger à temps. Quelle que soit la raison, cela montre que la disponibilité des correctifs ne garantit pas leur distribution efficace.

La cybersécurité est un ensemble pour lequel les professionnels de l’informatique ne sont pas toujours bien équipés. Les outils dont ils disposent forment trop souvent un patchwork de solutions qui fonctionnent séparément, et non comme un tout. Selon le Cisco 2017 Annual Cybersecurity Report, 55% des professionnels de la sécurité informatique font ainsi appel à au moins six éditeurs différents.

La pénurie de ressources en cybersécurité n’arrange pas les choses. Sans les talents – ou les outils – pour définir quelles alertes sont critiques et pourquoi elles se produisent, les professionnels de la sécurité sont bien souvent obligés de les ignorer, purement et simplement. Selon le même rapport de Cisco, ce serait ainsi près de la moitié des alertes qui ne sont pas examinées.

Inventaire des biens, gestion des correctifs, contrôle des applications, gestion des privilèges… Devoir jongler entre différentes solutions et plateformes, de différents fournisseurs, crée de nombreux angles morts d’où des attaques peuvent surgir, générant des risques et des coûts supplémentaires, ainsi que du stress pour des équipes informatiques déjà sous pression.