Chris Goettl, Director of Security Product Management chez Ivanti, décrit ici les obstacles principaux qui empêchent l’application des correctifs et donne des pistes pour que cette dernière devienne un processus SecOps fluide.
L’application des correctifs n’est pas très sexy. Elle ne saurait garantir ni une promotion ni des félicitations aux collaborateurs de l’entreprise qui s’en occupent. Mais il s’agit d’une opération essentielle pour la prévention des risques, quel que soit l’environnement. Malheureusement, c’est une tâche que les entreprises ont tendance à négliger… jusqu’à ce qu’une attaque leur coûte plusieurs millions d’euros. Ponemon a récemment constaté que 60 % des victimes d’une faille de sécurité avouent que cette dernière était due à une vulnérabilité connue pour laquelle aucun correctif n’avait été appliqué. Pourquoi, alors que le danger est si grand, tant de systèmes restent-ils sans correctif ? Comme pour la plupart des environnements aux performances médiocres, la réponse comprend plusieurs aspects : pratique, émotionnel et opérationnel.
Pratique – Dans l’univers de télétravail truffé de menaces où interviennent les équipes Sécurité et Opérations, l’application des correctifs est souvent mise de côté, en faveur d’autres tâches de protection comme l’ajout de nouveaux protocoles d’accès sécurisé ou la récupération des biens mis au rebut. Le département Opérations a également bien d’autres priorités, notamment la mise en place stratégique de nouvelles politiques et procédures pour mieux gérer la montée en puissance du télétravail, et la collaboration avec les équipes dirigeantes pour atteindre les résultats souhaités pour l’avenir.
Émotionnel – Les mises à jour de correctif sont une source de peur constante, car elles peuvent causer des perturbations dans une période où les entreprises se battent déjà pour effectuer une transition globale vers un environnement de travail à distance ou hybride. Les équipes Sécurité et Opérations ne veulent pas être à l’origine d’un incident… ainsi, la peur paralyse parfois le processus.
Opérationnel – Connaître les vulnérabilités les plus dangereuses afin de définir correctement les correctifs à appliquer en priorité est un facteur essentiel pour la réussite de la gestion des correctifs. De nombreuses entreprises ont du mal à gérer les diverses applications de leur environnement, les publications irrégulières de la plupart des fournisseurs, ainsi que l’énorme volume de changements susceptibles d’avoir un impact opérationnel sur les utilisateurs.
Pour une gestion des correctifs plus intelligente et plus rapide
Le télétravail a exacerbé les inquiétudes concernant les correctifs, car les équipes Sécurité et Opérations sont confrontées à des terminaux qui peuvent être minés de vulnérabilités et qui résident en dehors des réseaux sécurisés. Jusqu’à maintenant, la visibilité sur les terminaux des télétravailleurs n’était pas si importante pour SecOps. Le nouvel environnement mondial, où davantage d’appareils sont utilisés à distance alors qu’ils ne répondent pas toujours aux normes de sécurité des équipements sur site, a provoqué une augmentation de la surface d’attaque, car il existe d’énormes faiblesses dans l’application réelle des correctifs.
Comment les entreprises peuvent-elles surmonter ces obstacles pour que l’application des correctifs soit un processus SecOps fluide, plutôt qu’un autre sujet sensible à aborder pendant les réunions d’équipe ? Les technologies de gestion des correctifs existent depuis des années. Pourtant, les entreprises ont toujours du mal avec la correction des vulnérabilités. Le challenge n’est pas tant technologique, il s’agit plus d’un problème de processus, de stratégies et d’impact opérationnel. Il existe des pratiques et des systèmes à mettre en place pour limiter les inquiétudes des équipes SecOps quant à l’impact de l’application des correctifs sur les workflows et, surtout, pour affiner cette application des correctifs afin de cibler en priorité les menaces les plus dangereuses. Vous pouvez aussi améliorer les processus pour que cette application ne soit plus synonyme de long calvaire opérationnel. Si vous y parvenez, vous aurez fait un grand pas en avant. Les éléments à améliorer dans vos stratégies sont notamment les suivants :
Fiabilité des correctifs – Aucun administrateur chargé des correctifs ne peut jamais tester entièrement l’effet des mises à jour sur son environnement. En général, les équipes tentent de valider les correctifs à l’aide de systèmes de test et de groupes d’utilisateurs pilotes… ce qui retarde les mises à jour jusqu’à rendre les menaces encore plus dangereuses. Les progrès en matière d’intelligence des performances des correctifs permettent de raccourcir ces délais et d’accélérer l’application des correctifs. Vous exploitez pour cela la télémétrie des performances des correctifs sur les sites de crowdsourcing, ainsi que les impressions générales qui ressortent sur les réseaux sociaux. Ce référentiel de données, plus riche, permet aux équipes SecOps de prendre des décisions plus rapides afin de mieux cibler leurs efforts de tests, d’optimiser l’efficacité et d’éviter tout impact opérationnel.
Définition des priorités en fonction des risques – La plupart des entreprises corrigent les vulnérabilités dans l’ordre de gravité défini par les fournisseurs. Cette approche représente un danger pour beaucoup, surtout celles qui sont sujettes à des vulnérabilités activement exploitées alors que le fournisseur les a classées seulement au niveau Important. C’est pourquoi il est essentiel d’étendre votre base de connaissances. En obtenant des mesures supplémentaires sur les vulnérabilités « avec exploitation connue », les équipes SecOps disposent de plus d’informations pour définir la priorité des correctifs en fonction des risques réels pour l’entreprise.
Correction automatisée des vulnérabilités – Pour transformer en actions cette plus grande connaissance et cette meilleure définition des priorités sans que les équipes SecOps n’y passent tout leur temps, il faut faire appel à un plus haut niveau d’automatisation. La seule façon d’appliquer efficacement les correctifs et de sécuriser de manière satisfaisante les terminaux distants travaillant dans le cloud, c’est d’inclure davantage d’automatisation dans le processus. L’automatisation peut regrouper les mesures collectées grâce au machine learning, afin de détecter proactivement, de diagnostiquer et de corriger automatiquement les problèmes de configuration ou de performances, ainsi que les vulnérabilités de sécurité, avant même qu’ils ne constituent une vraie menace.
Conformité des correctifs – Les SLA (Accords de niveau de service) sont importants d’un point de vue opérationnel. Mais lorsqu’on parle de correction des vulnérabilités, ils s’avèrent absolument vitaux. Les entreprises ont du mal à devancer les pirates et elles doivent suivre avec plus de précision leur exposition aux vulnérabilités pour être sûres de limiter les risques. Pour ce faire, il est essentiel de gagner en visibilité sur les correctifs qui correspondent aux CVE (vulnérabilités et expositions communes) auxquelles l’entreprise a été exposée, sur la durée de cette exposition, ainsi que sur les biens hors SLA.
Échanges entre les équipes – L’expression SecOps est bien pratique mais, en réalité, les deux équipes ont des approches différentes dans leur façon de gérer les données et les risques. Pour trouver un terrain commun et collaborer afin de limiter les menaces, il leur faut des informations plus complètes et plus objectives sur les risques que représentent les vulnérabilités. C’est pourquoi la collecte des schémas de menace via le machine learning (et le partage de ces données) est un aspect important pour améliorer la gestion des correctifs. Avec de meilleures données, on prend de meilleures décisions concernant les correctifs prioritaires. Les deux équipes ont ainsi la garantie que les menaces les plus dangereuses sont traitées en premier.
Supprimer les obstacles
Il est possible de se débarrasser de ces obstacles pratiques, émotionnels et opérationnels pour améliorer la gestion des correctifs. En mettant en place une correction automatisée des vulnérabilités, vos équipes n’ont plus à batailler sans cesse pour gagner du temps et respecter les priorités. Avec les données collectées grâce au machine learning et à la télémétrie en crowdsourcing, les équipes SecOps n’ont plus à s’inquiéter de l’impact de l’application des correctifs sur les systèmes. Elles travaillent avec davantage de fiabilité, car leurs connaissances sont plus complètes. Ces meilleures données sur la fiabilité des correctifs offrent automatiquement des informations utiles, si bien que les équipes peuvent bloquer plus rapidement les menaces et réduire le délai d’application des correctifs, ce qui limite l’impact opérationnel.