Gajus - stock.adobe.com

Actualites

Les approches actuelles de gestion des correctifs ne sont pas viables

Selon une étude, les organisations ont du mal à donner la bonne priorité aux correctifs de vulnérabilités, ce qui conduit à des situations où tout est en crise, ce qui n’aide personne.

par
Publié le: 27 août 2025

Les professionnels de la cybersécurité chargés de la gestion et du déploiement des correctifs de vulnérabilités déclarent avoir du mal à hiérarchiser efficacement les mises à jour critiques et ont tendance à se rabattre sur l’approche consistant à décrire « tout » comme une priorité, une approche décrite comme insoutenable, selon un rapport compilé par Ivanti.

Dans son rapport 2025 sur la hiérarchisation des correctifs en fonction du risque, publié mi-juillet, Ivanti déplore l’absence d’évaluation normalisée des vulnérabilités et des correctifs, ce qui signifie que les utilisateurs doivent comparer et hiérarchiser les mises à jour sur la base de recommandations isolées.

Parmi les facteurs influençant la priorité des correctifs – tels que l’impact d’une vulnérabilité sur les systèmes critiques, le fait qu’elle soit (ou non) activement exploitée ou qu’elle ait été détectée par un scanner de vulnérabilités, son score CVSS ou le score de sévérité du fournisseur, le fait qu’elle doive ou non être corrigée pour des raisons de conformité (telles que l’inclusion dans la base de données CISA KEV), ou le fait qu’elle ait été ou non identifiée comme une priorité par la direction –, une majorité de cyber-professionnels ont déclaré qu’ils considéraient que tous ces facteurs avaient un impact élevé ou modéré sur leur degré d’urgence.

« Mais lorsque tout est prioritaire, rien n’est prioritaire », écrivent les auteurs du rapport, qui affirment qu’à la lumière de ces statistiques, il n’est pas surprenant que 39 % des cyber-professionnels déclarent avoir du mal à donner la priorité à la correction des risques et au déploiement des correctifs, et que 35 % d’entre eux déclarent avoir du mal à maintenir la conformité.

Chris Goettl, vice-président de la gestion des produits pour la sécurité des points d’accès chez Ivanti, estime que la plupart des vulnérabilités qu’il voyait activement ciblées dans la nature n’étaient pas celles auxquelles les équipes de sécurité accordaient la priorité.

« C’est pourquoi nous avons besoin d’une approche basée sur le risque pour la hiérarchisation des correctifs et la remédiation », juge-t-il. Les organisations doivent gérer plusieurs pistes distinctes de remédiation : la maintenance mensuelle de routine, les mises à jour plus prioritaires pour les applications couramment ciblées telles que les navigateurs et les outils de communication, et les réponses urgentes de type zero-day, à titre d’exemple.

Pour lui, « en configurant correctement les systèmes, toutes les mises à jour continues sont affectées à l’une de ces pistes et traitées dans le cadre des processus de gestion continue des correctifs, au lieu d’une fois par mois ».

Manque de données et équipes cloisonnées

Les professionnels de la sécurité ont également déclaré qu’ils ne disposaient pas de suffisamment de données pour prendre des décisions éclairées sur les correctifs à apporter, les lacunes les plus fréquentes se situant dans des domaines tels que le shadow IT, les lacunes contextuelles concernant les vulnérabilités qui exposent leurs systèmes, et les angles morts liés à la configuration des correctifs, à l’état de conformité ou au respect des accords de niveau de service en matière de correctifs.

« Si nous pensons aux organisations qui veulent vraiment intensifier leurs efforts de remédiation, il y a des données contextuelles importantes dont elles auront besoin pour ce faire », estime Daren Goeson, vice-président senior de la gestion des produits pour les lignes de gestion unifiée des terminaux (UEM) sécurisées d’Ivanti.

« Le premier est la visibilité de la surface d’attaque, le deuxième est le contexte des vulnérabilités au sein de la surface d’attaque de l’organisation, le troisième est la veille pour déterminer comment le risque évolue et le quatrième, la vision de la conformité se concentrant sur le risque réel au sein de l’organisation ».

Les organisations ont également constaté que les cloisonnements existants entre les équipes de cybersécurité et informatiques créaient des problèmes, les premières ayant tendance à reprocher aux équipes d’exploitation de manquer de sens de l’urgence et de ne pas comprendre l’appétit pour le risque de l’organisation. Selon Ivanti, il y a souvent une dynamique « pousser-tirer » en jeu, où les équipes de sécurité disent qu’elles doivent réagir rapidement, tandis que les équipes informatiques disent qu’elles ont besoin de stabilité, les deux étant en désaccord l’un avec l’autre.

En outre, le rapport indique que la mentalité du « tout est urgent » cause davantage de problèmes, en poussant les équipes informatiques à mettre en place des mises à jour sans les tester correctement, tandis que l’interaction entre les silos et les priorités mal alignées conduit à une mauvaise communication et à un manque de clarté quant à l’attribution des tâches liées aux correctifs. Ce qui introduit encore plus de risques.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)