Vulnérabilité informatique : quelle est votre durée d’exposition au danger ?

window-in-brick-wall

Les entreprises sont constamment bousculées par les patchs de sécurité logiciel. Il ne se passe presque pas un seul jour sans qu’un nouveau bug ne soit découvert et que l’on envoie en catastrophe des équipes apporter des correctifs. C’est d’ailleurs remarquable que nos informaticiens parviennent à soutenir la livraison continue de patchs de sécurité  que le secteur du logiciel inflige à ses utilisateurs.

Selon la base de données CVE (Common Vulnerabilities Exposures), 14 709 vulnérabilités ont été répertoriées en 2017, soit l’équivalent de 40 nouvelles vulnérabilités logicielles par jour. Comment les entreprises tiennent-elles le choc ? Beaucoup en fait, n’y arrivent pas. Certaines d’entre elles cependant, s’efforcent d’appliquer des correctifs le plus rapidement possible.

Le fournisseur de solutions de sécurité Tripwire, en collaboration avec Dimensional Research, a tenté d’obtenir des réponses sur la rapidité avec laquelle les entreprises corrigent les vulnérabilités. L’échantillon d’entreprises interrogées est faible, totalisant seulement 406 répondants ; tout comme la taille des entreprises concernées, qui inclut des réponses d’entreprises comptant moins de 100 employés. Par ailleurs dans le communiqué de presse, il n’y a aucune mention du volume de postes de travail ou d’applications logicielles gérées par entreprise. Nous n’avons, non plus aucune indication concernant le temps passé à gérer les vulnérabilités pour celles qui disposent de nombreux serveurs, postes de travail et terminaux.  Pour ces raisons, l’enquête ne saurait donc être perçue comme représentative de l’ensemble du marché.

Ces considérations posées, les résultats sont intéressants. La plupart des répondants au sondage (56%) déclarent identifier de nouveaux matériels et logiciels rajoutés au réseau en quelques minutes (23%), voire en quelques heures (33%).

En ce qui concerne la détection des vulnérabilités, seulement 17% ont indiqué qu’il leur a fallu 31 jours ou plus pour les corriger. Fait intéressant, 6% des répondants ont déclaré ne pas utiliser d’outils d’évaluation de la vulnérabilité. C’est plutôt raisonnable, si  tant est que la majorité de ces 6% travaille dans de petites entreprises. Le reste des répondants (77%) apporte un correctif dans les 30 jours. En fait, 37% ont déclaré avoir mis en place un patch dans les 15 jours suivant la découverte de la faille de sécurité.

Selon le communiqué de presse, seulement 17% des répondants utilisent des outils de détection automatique pour surveiller leurs réseaux et, espérons-le, pour hiérarchiser les correctifs en fonction des enjeux de l’entreprise.

Parlons des enjeux, justement. Si ces enquêtes étudiant la rapidité avec laquelle sont appliqués les patchs de sécurité  s’avèrent une lecture divertissante, elles ne permettent toujours pas de savoir dans quelle mesure les entreprises réduisent vraiment leurs risques.

La rapidité avec laquelle une entreprise peut apporter des correctifs et la rapidité avec laquelle elle peut reconnaître de nouveaux systèmes en réseau sont certainement des indicateurs d’un programme de sécurité potentiellement sain. Mais cela ne donne pas une vision globale.

D’autres indicateurs sont nécessaire pour évaluer la maturité d’un programme de gestion des vulnérabilités : analyse du niveau de catégorisation et de hiérarchisation des actifs en réseau en fonction de leur valeur, identification des mesures adoptées pour modérer les vulnérabilités logicielles, tels que pares-feux applicatifs, réseau et segmentation d’accès, …

La maturité doit également être mesurée en fonction de la priorité accordée aux correctifs. Tous les systèmes d’information n’ont pas la même valeur et toutes les vulnérabilités ne présentent pas un risque élevé.  Alors, plutôt que d’essayer de corriger toutes les vulnérabilités en 15 ou 30 jours, ce sont les vulnérabilités à haut risque, celles qui affectent les ressources à forte valeur-ajoutée qui devraient être prioritairement corrigées.

Auteur : George V. Hulme

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: