Comment éviter que les vulnérabilités non patchées soient une source d’attaques.

Comment éviter que les vulnérabilités non patchées soient une source d’attaques.

Pas un mois sans une annonce de piratage informatique et d’investigation pour connaître les coupables. Parfois ce sont des sociétés ou des individus, véritables chasseurs de vulnérabilités, qui ont révélé l’existence de failles, parfois ce sont les éditeurs qui ont mis du temps à publier les correctifs, souvent ce sont les entreprises ou les utilisateurs qui n’ont pas fait l’effort d’installer ces fameux correctifs.

Dans cet article, nous aborderons la notion de patch management et son importance.

Nous avons déjà tous entendu parler de vulnérabilités et failles de sécurité dans les systèmes d’information. Tout objet capable de communiquer sur un réseau est susceptible de présenter des failles que pourraient exploiter une personne malveillante pour nuire. Il est ainsi important de se protéger en veillant à ce que le système d’information soit à jour, c’est là où intervient la notion de Patch Management.

Le patch management est une technique permettant la gestion des correctifs de sécurité et leur déploiement en entreprise. En effet à chaque fois que des failles ou vulnérabilités sont découvertes dans les systèmes, les applications etc… Les éditeurs se chargent d’apporter les correctifs et de les mettre à disposition de leurs clients. Il s’agira par la suite pour une entreprise d’avoir des procédures qui vont permettre d’appliquer ces correctifs sur les systèmes et applications concernées.

Selon une étude de Forrester, 53% des attaques réussies proviennent de l’exploitation de vulnérabilités sur les systèmes, et pour lesquelles des correctifs étaient pourtant disponibles. L’affaire Wannacry est un parfait exemple car les pirates informatiques ont exploité des vulnérabilités non corrigées dans des serveurs fonctionnant sous Windows 8.

Si la vulnérabilité et son correctif associé étaient connus, comment celle-ci a pu être exploitée par des personnes malveillantes me direz-vous.

Les entreprises sont parfois frileuses à mettre en place les correctifs immédiatement car souvent le parc comporte des postes de travail, des serveurs et applications avec des services critiques dont l’entreprise ne peut se permettre d’arrêter, même quelques secondes pour appliquer le patch nécessaire. Également les éditeurs n’ont pas forcément testé leurs patchs avant de les publier. Il peut s’agir d’une découverte de vulnérabilité critique qui oblige un éditeur à développer un patch dans les plus brefs délais. De plus chaque entreprise a ses propres applications, services et configurations. Il est impossible pour l’éditeur de procéder à des tests pointus.

Dans ce cas-là, l’entreprise ne peut pas mettre en application les patchs sans connaitre leurs effets sur les systèmes concernés surtout pour les serveurs et applications critiques. Ainsi l’une des principales craintes des entreprises est le dysfonctionnement de leur service.

Dans ce cas présent comment pouvons nous éviter que les pirates informatiques utilisent ces vulnérabilités ? Il est ainsi important de patcher correctement son parc informatique.

1/ Inventaire des actifs de l’entreprise

Il est impossible pour une entreprise de protéger ses systèmes sans savoir exactement de quels actifs elle dispose et quels sont leur niveau de risques sur l’infrastructure de l’entreprise.

Le niveau de risque peut être défini par une formule mathématique : Niveau de risque = Impacts potentiels × Probabilité d’occurrence / Protection opérationnelle. Il est ainsi important pour l’entreprise d’établir l’inventaire des machines et de les classer par niveau de risque. Les solutions SAM (software asset management – gestion des actifs logiciel) peuvent vous permettre d’automatiser la découverte et l’inventaire de vos logiciels et actifs matériels, où qu’ils soient.

2/ Définir les menaces importantes

Tous les jours, 300 nouvelles failles de sécurité sont annoncées dans le monde. Vous comprendrez donc que les équipes de sécurité peuvent rapidement se retrouver dépassées par les menaces qui les concernent. Dans ces conditions, difficile d’allouer des ressources internes à cette supervision. Les organisations doivent donc trouver une solution de gestion des vulnérabilités fiable pour s’en charger, et fournissant non pas des informations brutes, mais des renseignements qualifiés.  Les outils dédiés intégrés aux solutions SAM peuvent les aider à cartographier les applications existantes et à mettre en évidence les menaces critiques afin de déterminer lesquelles nécessitent des mesures immédiates. Les scanners de vulnérabilités peuvent permettre d’identifier les actifs de l’entreprise car ils cartographient le réseau de l’entreprise afin de détecter les vulnérabilités et classe par niveau de criticité les menaces. Si les correctifs ne peuvent pas être appliqués dans l’immédiat il conviendra d’appliquer une solution de virtual patching ou d’isoler la machine du réseau.
Le virtual patching est le processus de création et de mise en œuvre d’une politique temporaire utilisée pour atténuer les risques d’exploitation associés à la découverte de nouvelles vulnérabilités de sécurité. Il élimine la menace potentielle que des failles de sécurité des applications ou du système soient identifiées et exploitées par des pirates. Au sein de SERMA NES nous sommes en mesures de vous proposer et d’intégrer pour vous ce type de solutions.

Cependant, il existe aussi des failles dont les éditeurs ne connaissent pas l’existence avant que ces dernières ne soient rendues publiques. Par conséquent, il n’y a pas de patch correctif et la faille peut être exploitée librement par les hackers. Ce type de faille est communément appelée Zero-day. Pour les plus curieux, sur le site de ZDI  https://www.zerodayinitiative.com/, on peut voir les dernières vulnérabilités zero-day publiées par des chercheurs.

D’autres mesures de précautions sont :

  • Mettre en place une solution de protection contre les trafics malveillants comme l’IPS et le WAF
  • Éviter l’utilisation de logiciels et d’OS obsolètes
  • Déployer un antivirus sur les serveurs

Cependant, comme chacun sait, l’efficacité d’une politique de sécurité repose sur la réactivité. Chaque équipement ou processus s’y référant nécessite donc un suivi continu et une expertise. C’est pour cela que le SOC proposé par SERMA NES, vous permettra de superviser en continu la gestion des menaces de votre parc informatique.