C’est parti pour une nouvelle édition ! Alors que vous peaufinez l’annonce du Mois de la sensibilisation à la cybersécurité de l’année dernière sur la solidité des mots de passe, c’est le bon moment de revoir vos propres bonnes pratiques. Même si chaque Patch Tuesday est synonyme de maux de tête pour votre organisation, convenez qu’une posture de sécurité bien comprise est cruciale pour la gestion des vulnérabilités.
Pourquoi votre backlog de vulnérabilités continue-t-il de croître ?
Chaque application comporte diverses dépendances. Les pilotes de votre carte vidéo, par exemple, peuvent dépendre d’éléments du système d’exploitation Windows pour afficher des images. Si une mise à jour de sécurité du système d’exploitation rompt ces dépendances, vos utilisateurs se retrouveront avec un matériel défectueux.
Vous pouvez revenir à une version antérieure de vos pilotes ou de votre système d’exploitation pour résoudre le problème initial, mais vous devrez ensuite attendre la publication d’un correctif compatible avec votre matériel. Si votre organisation est une école ou une petite entreprise utilisant du matériel en fin de vie, vous risquez d’attendre longtemps. Même les grandes entreprises peuvent voir leurs programmes de gestion des correctifs retardés indéfiniment en raison de problèmes apparemment plus importants.
Pendant ce temps, vos vulnérabilités restent exploitables.
Les vulnérabilités deviennent de plus en plus exposées
Les acteurs malveillants sont attentifs au temps que mettent les entreprises à corriger efficacement leur infrastructure. Il fallait auparavant aux pirates environ 63 jours après la découverte pour commencer à exploiter une vulnérabilité zero-day. Maintenant, il ne leur faut plus que 32 jours en moyenne. Pendant ce temps, les vulnérabilités non corrigées sont à l’origine de plus de 60 % des violations de données.
Les administrateurs de la sécurité sont d’autant plus inquiets que le rythme de découverte de nouvelles vulnérabilités s’accélère. Ainsi, en 2024, les chercheurs ont vu émerger 61 % de vulnérabilités en plus par rapport aux années précédentes, et le nombre de vulnérabilités exploitées a augmenté de 96 %. Cette hausse pourrait être due à l’essor des « logiciels à code d’ambiance », qui sont partiellement ou totalement générés par l’IA.
Alors que le code généré par l’IA présente à peu près le même taux d’erreurs que le code écrit par des humains, l’IA permet d’écrire plus de code plus rapidement. Or, plus de code signifie plus de vulnérabilités au total. De plus, les développeurs peuvent témoigner d’un excès de confiance dans la capacité de l’IA à écrire du code sécurisé. Ils peuvent ainsi oublier de vérifier l’absence de vulnérabilités, qui finissent par se retrouver dans les logiciels de production.
Comment identifier les vulnérabilités et expositions courantes (CVE) non corrigées
Maintenant que vous êtes conscient que des vulnérabilités non corrigées peuvent affecter même les organisations les plus matures avec les applications les plus récentes, comment allez-vous procéder ?
Rappelons qu’une organisation peut tout à fait oublier qu’une application n’a plus reçu de correctif depuis longtemps. Si vous utilisez encore des feuilles de calcul pour suivre les correctifs et que quelqu’un n’actualise pas une ligne, ces informations peuvent être perdues.
C’est pourquoi la mise en place ou la refonte de votre stratégie de gestion des correctifs commencera généralement par la gestion des actifs. Vous aurez besoin d’une liste de tous les logiciels que vous utilisez actuellement, puis vous devrez mettre en corrélation les numéros de version entre ce qui s’exécute sur votre infrastructure et la version la plus récente du fabricant.
Enfin, toutes les applications non corrigées ne contiennent pas nécessairement de vulnérabilités critiques. C’est pourquoi il est utile de croiser vos logiciels obsolètes avec la base de données CVE, une archive des vulnérabilités connues prise en charge par la communauté.
Que se passe-t-il après que vous avez identifié des applications non corrigées ?
Il se peut que vous ayez des dizaines d’applications non corrigées. Pour certaines d’entre elles, la solution peut simplement consister à télécharger et installer le correctif. Cependant, vous devrez quand même tester le correctif avant de le mettre en production, ce qui prend un temps précieux.
D’autres applications peuvent rester non corrigées, soit parce que le fabricant n’a jamais publié de correctif, soit parce que la version la plus récente n’est toujours pas compatible avec votre matériel. Vous devrez alors improviser des protections, comme placer l’application dans un sous-réseau sécurisé.
Il est très important que vous procédiez par ordre de priorité, car vous n’aurez très probablement pas assez de temps pour corriger chaque application.
Priorisation de vos vulnérabilités non corrigées
Les chercheurs en sécurité combinent souvent deux rubriques pour établir les priorités dans la gestion des correctifs. Le Common Vulnerability Scoring System (CVSS) est développé par le Conseil consultatif national sur l’infrastructure dans le but de caractériser la gravité des vulnérabilités logicielles sur une échelle de zéro à dix. Cependant, le CVSS n’est pas conçu pour être la seule base de priorisation dans la gestion des vulnérabilités.
L’Exploit Prediction Scoring System (EPSS) classe les CVE en fonction de leur probabilité d’être exploitées. L’EPSS utilise un modèle mathématique qui calcule la relation entre l’activité d’exploitation et la gravité d’une exploitation. Grâce à ces informations, il peut prévoir si un grand nombre de cybercriminels tenteront d’exploiter une vulnérabilité au cours des 30 prochains jours.
Étonnamment, il n’y a pas de chevauchement important entre les scores EPSS et CVSS. Les recherches montrent que les pirates ne ciblent pas en priorité les vulnérabilités les plus graves, ni même celles qui sont les plus faciles à exploiter.
Cela dit, les directeurs de la sécurité doivent ratisser large dans leurs recherches de renseignements sur la sécurité et faire preuve de discernement lorsqu’ils établissent les priorités dans leur gestion des vulnérabilités. Si une vulnérabilité obtient un score élevé à la fois sur l’EPSS et le CVSS, elle doit absolument être gérée en premier. Mais il peut arriver qu’une vulnérabilité ayant obtenu un score élevé affecte une application relativement anodine, ou une application qui se trouve déjà dans un sous-réseau filtré et surveillé. Dans ce cas, vous pouvez envisager de vous attaquer d’abord à d’autres point faibles.
Étape suivante : suivre la gestion des vulnérabilités
La gestion des vulnérabilités n’est pas un projet ponctuel. Les efforts doivent être continus, et vous devrez probablement utiliser un outil plus avancé qu’une feuille de calcul.
Dans l’idéal, vous utiliserez une solution qui effectue une analyse proactive des vulnérabilités. Les solutions de sécurité de cette catégorie analysent régulièrement votre réseau et auditent vos applications actives, réduisant ainsi les journées de travail nécessaires pour effectuer un audit manuel des logiciels. De plus, les nouvelles vulnérabilités sont automatiquement signalées et classées par gravité, ce qui élimine une grande partie des incertitudes liées à la priorisation.
Les systèmes de prévention des intrusions heuristiques, c’est-à-dire basés sur le comportement, sont un complément utile à la gestion des vulnérabilités. Ces outils reconnaissent les symptômes d’une cyberattaque, tels que la création, le chiffrement ou la suppression d’un grand nombre de fichiers. Ils interviennent ensuite pour bloquer les activités suspectes. Si vous n‘avez pas encore corrigé une vulnérabilité (ou si vous ignorez qu’elle existe, comme dans le cas d’une menace zero-day), ces outils fournissent une deuxième ligne de défense.
Vainquez la fatigue des correctifs avec Barracuda
Managed Vulnerability Security est une nouvelle offre de Barracuda qui allège la charge de la défense contre les exploits graves. Ce service combine des analyses de vulnérabilité régulières avec l’intervention opportune de notre Centre d’opérations de sécurité (SOC) expert. Notre service entièrement géré vous permet de bénéficier de la supervision d’un expert sans alourdir votre workload actuelle, tout en éliminant votre backlog de vulnérabilités. Programmez un entretien pour découvrir comment Barracuda peut vous aider à renforcer votre cyber-résilience.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
