La CISA constate des progrès en matière de correction des vulnérabilités

Un effort mené par la Cybersecurity and Infrastructure Security Agency (CISA) pour réduire le nombre de vulnérabilités dans les environnements informatiques de plus de 3 500 organisations a permis, en moyenne, de réduire de près de 20 % le nombre de vulnérabilités exploitées connues (KEV).

La CISA fournit aux organisations un service d'analyse qui évalue en permanence la santé des actifs accessibles par Internet en recherchant les vulnérabilités connues, les configurations faibles, les erreurs de configuration et pratiques de sécurité sous-optimales. Le service recommande également de renforcer la sécurité en appliquant des normes modernes en matière de Web et de messagerie.

Au total, 5 900 organisations bénéficient aujourd'hui de ce service. Les 3 500 organisations qui ont constaté une réduction de leurs vulnérabilités grâce à la CISA ont participé au programme avant le 1er avril 2022.

En moyenne, la CISA a noté que les organisations nouvellement inscrites ont réduit leur exposition aux vulnérabilités de 20 % au cours des trois premiers mois d'analyse des vulnérabilités. 

Si cette réduction représente un progrès, la CISA indique clairement qu'il reste encore beaucoup à faire. L'agence prévoit d'ajouter des services supplémentaires, d'en simplifier l'accès et d'améliorer sa capacité de suivi des progrès réalisés par les organisations en matière de cybersécurité.

Bien qu'il existe des centaines de milliers de vulnérabilités, les cybercriminels ont tendance à se concentrer sur une poignée de plateformes largement utilisées. L'été dernier, la CISA, la National Security Agency (NSA), le Federal Bureau of Investigation (FBI), l'Australian Signals Directorate's Australian Cyber Security Centre (ACSC), le Canadian Centre for Cyber Security (CCCS), le New Zealand National Cyber Security Centre (NCSC-NZ), la Computer Emergency Response Team New Zealand (CERT NZ) et le National Cyber Security Centre in the United Kingdom (NCSC-UK) ont partagé une liste des dix vulnérabilités les plus couramment exploitées auxquelles les organisations doivent remédier.

À long terme, toutefois, il faut s'attendre à ce que les cybercriminels utilisent l'intelligence artificielle (IA) pour exploiter un éventail de vulnérabilités bien plus large. Les hackers surveillent activement la divulgation des vulnérabilités, mais concentrent leurs efforts sur un éventail restreint et facile à exploiter. L'IA devrait cependant leur permettre d'exploiter plus facilement un éventail beaucoup plus large de vulnérabilités, par exemple en générant automatiquement du code. Malgré les garde-fous mis en place, des pirates informatiques ont trouvé le moyen de « jailbreaker » les grands modèles de langage (LLM) utilisés pour fournir les capacités d'IA générative. Pire encore, WormGPT permet aux cybercriminels d'accéder à un LLM spécialement formé pour les aider à développer du code malveillant.

Pour réaliser de réels progrès, il est clair que les entreprises devront d'abord remédier aux vulnérabilités existantes de manière plus agressive tout en réduisant le nombre de nouvelles vulnérabilités susceptibles d'être introduites lors du déploiement de nouvelles applications. En théorie, du moins, les fournisseurs d'applications adoptent les meilleures pratiques DevSecOps pour réduire le nombre de vulnérabilités introduites dans les applications, mais il faudra peut-être des années avant que ces efforts aient un impact significatif sur l'état actuel de la cybersécurité.

Bien entendu, les équipes de cybersécurité ne disposent généralement pas de l'autorité nécessaire pour mettre à jour les applications. Les professionnels de l'informatique craignent que les correctifs apportés à une application pour remédier aux vulnérabilités nuisent à l'application par inadvertance. Ce risque est bien réel. Cependant, si l'on prend en considération le danger que de nombreuses vulnérabilités représentent pour l'entreprise, permettre aux équipes de cybersécurité d'appliquer des correctifs pour y remédier automatiquement est le moindre des deux maux.