Eviter une attaque en connaissant les vulnérabilités logicielles

Risques invisibles, menaces concrètes. Combattre un risque invisible n’est pas une mince affaire. Cependant, grâce à des renseignements vérifiés, il est possible de changer la donne et d'identifier un plan d'attaque concret à partir de menaces indiscernables.

Dès lors, la grande question pour les professionnels de la sécurité est de savoir s’il est possible de se protéger grâce à une visibilité accrue sur les vulnérabilités logicielles. La réponse est un oui sans réserve.

Intéressons-nous aux points clés que les équipes de sécurité doivent connaître pour y parvenir.

1) Les vulnérabilités continuent de progresser

Selon quelques récents rapports, le nombre de vulnérabilités logicielles documentées a atteint un niveau record en 2017, augmentant de 14 % par rapport à l’année précédente (19 954, contre 17 147 en 2016). En outre, l’exploitation de failles connues du public est une cause majeure de problèmes de sécurité, comme dans le cas du piratage d’Equifax ou du ransomware WannaCry.

2) Les attaques coûtent cher

Lorsqu’un pirate parvient à exploiter une vulnérabilité, cela revient cher à l’entreprise. Il ne s’agit pas ici que des attaques menées avec succès : même en cas d'échec, les incidents liés à l’exploitation de failles connues coûtent chaque année des millions de dollars aux entreprises. Selon une étude récente, la perte financière moyenne attribuée à des incidents de sécurité s’est élevée à 2,5 millions de dollars en 2015.

3) La disponibilité de patches le jour même de la révélation des failles

Malgré l’augmentation du nombre de failles, il est possible de minimiser le risque d’une attaque. C’est un fait bien connu que la plupart ciblent des vulnérabilités connues de longue date – bien longtemps après qu'elles aient été révélées au public. Pourtant, en 2017, 86 % des failles disposaient de patches le jour de leur divulgation, ce qui montre clairement qu’avec des processus optimisés, il est possible d’appliquer ces correctifs avant que la probabilité de l'exploitation des vulnérabilités n’augmente.

4) Les attaques commencent par des lacunes au niveau des processus

La plupart des vulnérabilités disposent d’un correctif lors de leur révélation au public, mais il reste essentiel d’avoir mis en place un processus formel de suivi afin de maîtriser les risques au niveau de leurs logiciels. Malheureusement, cette méthode proactive fait défaut à la majorité des entreprises. Les processus automatisant les inventaires, suivant les vulnérabilités potentielles dans cet inventaire, et notifiant de l’existence de patches importants contribuent grandement à prévenir les problèmes.  En passant d’une approche réactive à une gestion proactive, les équipes de sécurité peuvent maîtriser les risques, protéger la réputation de leur entreprise et éviter de devoir se tourner vers des solutions onéreuses.

5) Les inventaires logiciels imprécis sont source de risques

Impossible pour une entreprise de protéger ses systèmes sans savoir exactement quels actifs informatiques sont en sa possession. Plus facile à dire qu’à faire, cependant :  pour la plupart des organisations, cela passe obligatoirement par la mise en œuvre de processus et technologies de gestion des actifs logiciels (SAM). Entre autres choses, les solutions SAM leur permettent d’automatiser la découverte et l’inventaire de leurs logiciels et actifs matériels, où qu’ils soient. Si une organisation possède déjà une telle solution en interne, les équipes de sécurité doivent donc en être conscientes et utiliser ces données comme « version unique de la vérité » afin de déterminer quelles vulnérabilités les concernent. 

6) Trouver les menaces qui comptent

Face aux milliers de vulnérabilités présentes dans tout autant d’applications, les équipes de sécurité peuvent rapidement se retrouver dépassées par les menaces qui « les concernent ». Tous les jours, 300 nouvelles failles sont annoncées dans le monde, mais au final, en moyenne, seules 8 % de celles-ci s’avèrent réelles. Dans ces conditions, difficile d’allouer des ressources internes à cette supervision. Les organisations doivent donc trouver une solution de gestion des vulnérabilités logicielles fiable pour s’en charger, et fournissant non pas des informations brutes, mais des renseignements qualifiés.  Les outils dédiés intégrés aux solutions SAM peuvent les aider à cartographier les applications existantes et à mettre en évidence les menaces critiques afin de déterminer lesquelles nécessitent des mesures immédiates.

7) Interpréter le système d’évaluation des vulnérabilités

Dans le cadre d'un processus de Vulnerability Intelligence, les vulnérabilités sont vérifiées à l’aide de données supplémentaires. Celles-ci sont fournies dans un format permettant aux équipes de sécurité d’agir immédiatement, et mettent en évidence les failles au sein des produits pertinents dans un environnement spécifique.  L’évaluation de leur criticité est une composante clé de cette pratique, les failles n’étant pas toutes aussi graves les unes que les autres. Ainsi, on utilise fréquemment un système d’évaluation par catégorie triant les vulnérabilités selon leur criticité (extrême, haute, modérée, moindre ou très basse). Ce classement permet d’estimer leur impact potentiel sur un système, le vecteur de l’attaque, les facteurs atténuants, et l’existence de code l’exploitant activement avant la sortie d’un patch.

8) Commencer l’application de correctifs par une approche conservatrice

Les programmes d’application de correctifs les plus efficaces sont ceux qui mettent l’accent sur les tests en environnements contrôlés. Les équipes informatiques ont tout à gagner à adopter une approche proactive afin de découvrir l’impact sur les performances ou les problèmes de compatibilité susceptibles d’être provoqués par un patch. Appliquer des correctifs est essentiel pour réduire l’angle d’attaque ; mais cela doit être fait prudemment et en anticipant sur les répercussions potentielles sur la stabilité des systèmes. Grâce à des processus et outils bien établis, il est possible de gérer les failles avec soin et prudence, en s’appuyant sur des modèles basés sur les risques.

Grâce à des renseignements vérifiés, les équipes de sécurité peuvent mettre en évidence les risques invisibles, et profiter ainsi d’une arme puissante pour lutter contre les vulnérabilités logicielles. Cette approche est le vecteur d’une importante transformation, et évite aux entreprises de se contenter de réagir aux gros titres de la presse. Elles peuvent ainsi s’assurer qu’elles ont bien les choses en main, tout en permettant à leurs équipes informatiques de pousser un "ouf" de soulagement.

Annonces Google