Les équipes informatiques doivent améliorer la hiérarchisation des efforts concernant les correctifs logiciels

Les équipes de cybersécurité doivent mieux hiérarchiser les vulnérabilités qu’elles souhaitent voir corrigées par les développeurs d’applications. Une enquête mondiale menée auprès de 1224 professionnels de la sécurité, du développement et des opérations informatiques et publiée aujourd’hui par JFrog, fournisseur d’une plateforme d’intégration continue et de livraison continue (CI/CD) pour la création de logiciels, révèle que 60 % des personnes interrogées ne consacrent généralement que quatre jours ou plus par mois à la correction des vulnérabilités des applications.

Le problème, c’est que la majeure partie de ce temps est vraisemblablement consacrée à la correction de vulnérabilités qui ne sont pas incluses dans les bibliothèques logicielles en cours d’exécution, ou qui sont non pertinentes car l’application elle-même ne se connecte jamais à Internet. Plus troublant encore, après avoir analysé 212 vulnérabilités, les chercheurs en sécurité de JFrog ont revu à la baisse la gravité de 85 % des vulnérabilités classées comme critiques et de 73 % de celles classées comme élevées.

Les mêmes chercheurs ont également découvert que 74 % des vulnérabilités et des expositions courantes (CVE) signalées avec des scores CVSS (Common Vulnerability Scoring System) élevés et critiques attribués aux 100 meilleures images de la communauté Docker Hub n’étaient pas exploitables.

Surcharge de rapports de vulnérabilité

L’un des secrets peu avouables de l’informatique est que les développeurs d’applications ont tendance à ne pas prendre au sérieux les rapports de vulnérabilités produits par les équipes de cybersécurité. Depuis des années, les équipes de cybersécurité communiquent de longues listes de vulnérabilités aux équipes de développement d’applications, mais beaucoup d’entre elles découvrent, lorsqu’elles enquêtent sur ces alertes, qu’il s’agit d’un exemple de plus où une équipe de cybersécurité crie au loup là où il n’y en a pas.

Bien sûr, il arrive toujours qu’une équipe de développement ignore une alerte et que les conséquences en soient catastrophiques. Si les équipes de cybersécurité veulent s’assurer que leurs alertes ne sont pas ignorées, elles doivent garder à l’esprit que les équipes de développement d’applications ne disposent pas d’un temps infini pour créer et déployer des correctifs logiciels. Elles sont toujours tenues d’écrire du code, ceci quel que soit le nombre de vulnérabilités qu’une équipe de cybersécurité pense avoir découvertes. La chose la plus importante pour toute équipe de cybersécurité est de s’assurer qu’elle hiérarchise les demandes de correctifs en fonction non seulement de la gravité d’une vulnérabilité, mais aussi de son degré réel d’exploitabilité.

Analyses de code incohérentes

Pour atteindre cet objectif, il faut bien entendu renforcer la collaboration avec les équipes de développement d’applications dans le cadre d’un flux de travail DevSecOps, et plus particulièrement analyser le code avant et après le déploiement d’une application. En fait, l’enquête de JFrog note que les analyses de codes sont souvent appliquées de manière incohérente d’une organisation à l’autre. Au total, 42 % des personnes interrogées estiment qu’il est préférable d’effectuer des analyses de sécurité au moment de l’écriture du code, contre 41 % qui préfèrent effectuer des analyses sur les nouveaux logiciels avant de les installer. Au total, 41 % des personnes interrogées ont déclaré que le temps d’exécution est le moment le moins propice à l’exécution des analyses. Plus de la moitié (56 %) ont déclaré que leur organisation effectuait des analyses de sécurité à la fois au niveau du code et de l’analyse binaire.

Il existe bien entendu de nombreux correctifs – par exemple pour les systèmes d’exploitation – qu’une équipe de cybersécurité doit être en mesure d’appliquer elle-même sans endommager aucune application. Si l’application cesse de fonctionner, annuler ce correctif est en général relativement simple. Concernant le déploiement de correctifs dans les applications c'est une tout autre affaire. Les équipes de cybersécurité qui tentent de corriger une application personnalisée assument la responsabilité d’une tâche qui risque de mal se terminer.

On peut espérer qu’un jour viendra où il n’y aura plus de vulnérabilités dans les logiciels, mais tant que les logiciels seront écrits par la main de l’homme ou générés par des machines qui ont été entraînées à l’aide de logiciels écrits par la main de l’homme, il y aura toujours des vulnérabilités, connues et inconnues, qui devront être traitées.