Stephen Finn - stock.adobe.com

Comme le Cigref, le Cesin apparaît excédé d’avoir à gérer tant de vulnérabilités

À quelques mois d’intervalle, le Cesin rejoint la ligne du Cigref en proposant, dans le cadre de l’élection présidentielle de 2022, d’en « finir avec cet afflux de logiciels vulnérables », car le déploiement des correctifs « représente un coût élevé ».

Le Club des experts de la sécurité informatique et du numérique (Cesin), vient de rendre publiques « dix propositions pour la cybersécurité pour les Présidentielles 2022 ».

L’éventail des propositions est assez large : création d’un ministère du Numérique ; promotion « d’un véritable numérique de confiance européen » ; encouragement de l’innovation ; création d’un « guichet unique en cybersécurité pour simplifier les parcours ». À cela s’ajoutent l’obligation de la présence d’un responsable cybersécurité dans les entreprises et les administrations (un point soulevé déjà il y a plus de deux ans), ainsi que la formation cyber des dirigeants, et un « diagnostic flash cybersécurité ».

Le Cesin propose également d’intégrer « une éducation complète à la vie numérique dans les collèges et les lycées » et, de manière assez vague, « traiter le cas des réseaux sociaux » : ces derniers « véhiculent des incitations à la violence, des atteintes au bien-être des personnes, des menaces, intimidations et autres agressions. Et nous savons que les intelligences artificielles que ces plateformes utilisent s’appuient sur des algorithmes qui amplifient ces phénomènes ». Et d’estimer qu’on « ne peut pas juste faire le constat d’une zone de non-droit, de lieux de l’ultraviolence et de l’atteinte constante à la vérité ». 

Surtout, le Cesin emboîte le pas au Cigref avec la quatrième proposition de sa liste : « en finir avec cet afflux de logiciels vulnérables ». Selon celle-ci, « nos entreprises font face à un nombre exponentiel de vulnérabilités à traiter, soit parce que les éditeurs ont produit vite et mal […] soit parce qu’un attaquant a réussi à s’introduire chez un éditeur et à insérer un code malveillant au sein des logiciels produits ».

À l’automne dernier, le Cigref, entouré des associations Beltug, CIO Platform Netherlands et Voice, demandait déjà que « les produits et services numériques – notamment les logiciels – qui entrent sur le marché européen soient manifestement sûrs et répondent à des normes de sécurité numérique » : « l’industrie des produits et services numériques doit être soumise à de telles normes afin que la responsabilité ne repose pas exclusivement sur l’utilisateur professionnel et puisse être partagée avec le fournisseur en cas de défaut de conception et de maintien en condition de sécurité ».

Le Cesin déplore de son côté les coûts induits par les efforts de « maintien en condition de sécurité », ainsi que de compensation des « défauts de ces briques logicielles par des mesures additionnelles coûteuses ». En outre, il indique que le club, les organisations utilisatrices, « doivent aussi assumer les conséquences, si ces vulnérabilités sont exploitées par des acteurs malveillants pour mener des cyberattaques ».

Les organisations utilisatrices d’outils informatiques ont effectivement à composer avec de nombreuses vulnérabilités logicielles. Le NIST américain a compté près de 19 000 vulnérabilités révélées en 2021. En fait, le nombre total de vulnérabilités dévoilées chaque année est en augmentation constante depuis 2017. Mais le nombre de celles qui affichent une sévérité élevée était en recul significatif en 2021 par rapport à 2020, à 3 784 contre 4 381. En outre, depuis 2017, ce chiffre n’avait jamais été aussi bas. 

Reste qu’une trentaine de vulnérabilités critiques rendues publiques en 2021 sont exploitées dans le cadre d’attaques avec ransomware, jusqu’à la toute récente Log4Shell. Au total, le chercheur présent sur Twitter avec le compte pancak3lullz a consolidé une liste de 55 vulnérabilités ainsi utilisées de manière offensive par les cyberdélinquants. Onze d’entre elles datent de 2020, contre 9 de 2019.

Le fait que le Cesin s’inscrive sur la même ligne que le Cigref n’est guère surprenant : les deux tiers des organisations membres du second sont également membres du premier. Il apparaît dès lors naturel que des idées puissent infuser de manière bidirectionnelle entre les deux associations.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close