Gestion des correctifs : des pistes pour améliorer une activité essentielle

Les chiffres sont têtus : même si le facteur joue un rôle clé dans la plupart des attaques, cela vaut également pour les vulnérabilités connues. Selon l’édition 2019 du rapport de Verizon sur ses enquêtes liées à des brèches, l’exploitation d’une vulnérabilité est impliquée dans 52 % des cas, à un moment ou un autre. Et cette observation n’est pas isolée.

Les sondés d’une étude réalisée par Dimension Data pour Tripwire, affirment à 34 %, en Europe, que leur organisation a été victime d’une brèche résultant de l’exploitation d’une vulnérabilité non corrigée. Pour autant, il apparaît difficile d’accuser qui que ce soit de négligence.

Près de neuf sondés sur dix assurent exécuter des recherches de vulnérabilités sur leurs actifs, automatisés (86 %), authentifiés (63 %), voire de simples balayages de ports (75 %). Et cela de manière plutôt régulière : seuls 22 % des sondés indiquent que ces analyses ne sont conduites que tous les trimestres ou moins souvent encore.

Les outils de recherche de vulnérabilités semblent fournir une réelle contribution : selon 74 % des sondés, toutes les vulnérabilités détectées sont corrigées ou confinées en moins de 30 jours ; seuls 5 % ne sont toujours pas traités après 60 jours. Et pour près de la moitié des sondés, il faut moins d’une semaine pour déployer un correctif.

La connaissance du patrimoine et de l’environnement peut être blâmée, mais seulement 11 % des sondés indiquent ne pas détecter les nouveaux équipements ou logiciels dans leur environnement – et 3 % reconnaissent qu’il peut leur falloir des mois pour cela.

Alors quid de la perception du risque ? Seuls 37 % des sondés indiquent avoir au moins occasionnellement cessé d’utiliser un produit en raison de la découverte de vulnérabilités. Et pour tout de même près d’un quart, il est acceptable qu’il faille plus d’une semaine pour qu’un correctif soit disponible après découverte de la vulnérabilité correspondante.

Là, on regrettera le manque de granularité du sondage, dont les questions ne font pas la différence en découverte et divulgation et ne permettent aux sondés d’ajuster leurs réponses en fonction de la sévérité des vulnérabilités, de l’existence de démonstrateurs d’exploitation, ou encore de l’exposition potentielle de leur environnement.

Si 64 % des sondés affichent une certaine satisfaction à l’égard de leurs pratiques de gestion des vulnérabilités, plus d’un tiers estime devoir mieux faire en matière de hiérarchisation. Et cela semble loin d’être une mauvaise idée.

BeyondTrust, qui a fourni des données à Verizon pour son étude, le recommande d’ailleurs en priorité : « déployez dès à présent les correctifs des vulnérabilités connues afin d’atténuer la surface d’attaque », notamment vis-à-vis de tiers cherchant à se déplacer latéralement dans le système d’information.

Mais la hiérarchisation n’est pas chose simple. Quatre experts, de Cyentia, de la Rand Corporation et de Virginia Tech, viennent d’ailleurs de publier les résultats de leurs travaux sur le sujet.

Dans leur étude, ils rappellent le dilemme : essayer de maximiser la couverture de vulnérabilités corrigées, au risque de gaspiller leur énergie sur celles qui ne présentent en fait qu’un risque négligeable ; ou se concentrer sur quelques vulnérabilités présentant un niveau de risque particulièrement élevé, quitte à en laisser de côté d’autres, potentiellement très dangereuses également.

Mais pour eux, « l’une des raisons clés pour lesquelles les approches actuelles [de gestion des correctifs] sont ineffectives, est que les entreprises ne peuvent pas effectivement déterminer si une vulnérabilité constitue une menace significative ». Et de rappeler qu’une part finalement très réduite des vulnérabilités connues est réellement exploitée. D’où la démarche des quatre experts : « construire des modèles prédictifs, par apprentissage automatique, pouvant identifier une vulnérabilité exploitée ». Selon eux, ceux-ci s’avèrent plus efficaces que les approches heuristiques.

Mais il y a peut-être aussi une question de finalité. En Europe, 51 % des sondés interrogés par Dimension Data pour Tripwire assurent conduire des recherches de vulnérabilités pour réduire le risque, et 17 % assurent que la gestion des vulnérabilités est un composant stratégique de leur gestion du risque. Mais tout de même 20 % des sondés reconnaissent que leur gestion des vulnérabilités est avant tout motivée par… la conformité.