La CISA prend le leadership sur l'orientation des stratégies de correction

Au cours des derniers mois, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) est devenue, pour le meilleur ou pour le pire, l'arbitre de facto des efforts de correction des vulnérabilités que les entreprises devraient privilégier.

Plus récemment, la CISA a ordonné aux agences civiles fédérales de la branche exécutive (FCEB) de corriger les systèmes Windows présentant la vulnérabilité connue sous le nom de CVE-2022-21882, qui permet aux cybercriminels d'obtenir des privilèges système, avant le 18 février.

La CISA exhorte également toutes les organisations des secteurs privé et public à réduire leur exposition aux cyberattaques en cours en adoptant cette directive et en donnant la priorité à la correction des vulnérabilités répertoriées dans son catalogue de failles de sécurité activement exploitées.

La plupart des cyberattaques impliquent une vulnérabilité connue non corrigée. En règle générale, si les organisations ne corrigent pas les systèmes, c'est qu'elles ne sont pas en mesure de suivre et de hiérarchiser les correctifs à appliquer, et que les utilisateurs finaux sont trop indifférents pour mettre à jour leurs applications ou leurs systèmes. Elles craignent aussi qu'un correctif perturbe le fonctionnement d'une application en raison d'une dépendance à un composant qui doit être mis à jour.

Les cybercriminels ne sont évidemment que trop conscients de ces faiblesses. Malgré les récentes préoccupations concernant les vulnérabilités zero-day, le nombre de vulnérabilités connues pouvant être facilement exploitées est titanesque. Les cybercriminels ne s'empressent pas d'exploiter les vulnérabilités zero-day avant leur correction. Les vecteurs d'attaque plus faciles à exploiter ne manquent pas. Le catalogue de la CISA fournit à tout le moins une base de référence concernant les vulnérabilités à prioriser en fonction de leur dangerosité réelle. À cet égard, il s'agit d'une noble entreprise en termes d'utilisation de l'argent des contribuables au service de la nation.

Bien évidemment, les sources de cyberrenseignements ne manquent pas. Le problème a toujours été de faire la distinction entre les alertes et les informations réellement exploitables. De nombreuses équipes informatiques sont tellement submergées d'alertes qu'ils n'y font même plus attention. La plupart des violations découvertes après les faits proviennent souvent bel et bien d'un problème dont l'équipe informatique avait déjà été alertée. Malheureusement, il y a tellement de bruit que les alertes importantes passent inaperçues.

Les cybercriminels comptent évidemment là-dessus : les équipes informatiques sont tout simplement trop débordées pour traiter toutes les vulnérabilités connues dans des environnements informatiques de plus en plus étendus. Le nombre de surfaces d'attaque potentielles devant être corrigées régulièrement est bien souvent tout simplement trop élevé. Ajoutez à cela toutes les plateformes non gérées ayant pu être connectées à des réseaux professionnels à l'insu des entreprises, les plateformes simplement oubliées, et vous comprendrez à quel point il est difficile de les maintenir toutes à jour.

Mais c'est une bataille qui doit tout de même être menée. Ne rien faire simplement parce que la tâche est gargantuesque, c'est le désastre assuré. Chaque service informatique est tenu de faire de son mieux. Les directives de la CISA constituent un bon point de départ, et il s'agit également d'un benchmark. Dans un monde idéal, la plupart des organisations auraient déjà identifié les vulnérabilités critiques devant être corrigées avant qu'une entité gouvernementale n'émette une notification. Une ligne de référence que les équipes informatiques devraient essayer de déterminer, c'est la quantité de vulnérabilités critiques corrigées avant les notifications de la CISA.

Comme avec la plupart des benchmarks, le but est de donner un objectif aux équipes informatiques. Il n'est pas nécessaire d'effectuer des évaluations de performance basées sur des benchmarks. La plupart des responsables informatiques savent mesurer les performances de leurs équipes sans nécessairement devoir faire le suivi de valeurs de référence. Cependant, une entreprise devrait pouvoir surpasser régulièrement les grandes agences gouvernementales bureaucratiques. Cela ne veut pas dire qu'il n'y a pas de personnel informatique qualifié dans les agences gouvernementales. Mais c'est simplement qu'au vu des plateformes existantes et des processus internes entre lesquels elles doivent jongler, les chances que les applications et les systèmes soient à jour ne sont jamais favorables.