Gestion des correctifs et des vulnérabilités : les différences clés
Vous pensez que vos systèmes sont protégés parce que votre service informatique gère les correctifs ? Pourtant, les enjeux sont bien plus importants, et les experts s’accordent à dire qu’il faut aller plus loin et mettre en œuvre une gestion des vulnérabilités.
Selon un rapport de l’institut Ponemon intitulé « Cost and Consequences of Gaps in Vulnerability Response » (Coûts et conséquences des lacunes en matière de lutte contre les vulnérabilités), la majorité des stratégies de gestion des vulnérabilités manque encore de maturité. Ainsi, près de 60 % des victimes de cyberattaques expliquent que l’installation d’un correctif disponible aurait empêché l’intrusion, et 39 % déclarent avoir identifié une vulnérabilité avant que l’attaque ait lieu… sans l’avoir jamais corrigée.
Tout aussi troublant, selon le même rapport, c’est que 37 % des victimes de cyberattaques déclarent ne jamais analyser leurs réseaux et leurs systèmes pour déterminer si un correctif est nécessaire.
La gestion des correctifs est une des facettes de la gestion des vulnérabilités. Voici un examen approfondi de leurs différences, de leurs convergences et des logiciels qui permettent de les automatiser.
Qu’est-ce que la gestion des vulnérabilités ?
La gestion des vulnérabilités consiste à administrer intégralement et de bout en bout le cycle de vie des failles de sécurité, de leur identification, puis leur hiérarchisation, jusqu’à leur résolution, étape à laquelle elles sont éliminées ou atténuées au point de ne plus constituer qu’un risque minimal, explique Mehul Revankar, vice-président en charge de la gestion, de la détection et du traitement des vulnérabilités chez Qualys, un éditeur de logiciels de sécurité et de conformité.
D’après Joshua Skeens, directeur des opérations chez le fournisseur de services gérés (MSP) Logically, un logiciel de gestion des vulnérabilités permet au service informatique d’analyser toutes les machines présentes sur un réseau – serveurs et postes de travail – et de générer un rapport répertoriant les faiblesses identifiées, en général par ordre de criticité décroissant.
Partant de là, le service informatique peut explorer ces vulnérabilités et en déterminer l’impact sur l’environnement de l’entreprise. « Une de vos machines peut présenter une vulnérabilité, mais sa position sur le réseau fait qu’elle ne vous concerne pas nécessairement », précise-t-il.
Qu’est-ce que la gestion des correctifs ?
Souvent exécutée par un logiciel spécialisé, la gestion des correctifs est le processus d’identification, d’acquisition, de test et d’installation de correctifs logiciels, ou de modifications de code, sur un équipement informatique. Un correctif a pour objet de remédier à des bogues, de résoudre des problèmes de sécurité ou d’ajouter de nouvelles fonctionnalités.
L’application de correctifs revient à colmater une brèche dans la sécurité ou à rectifier un logiciel, explique Matthew Hodson, cofondateur et DSI de Valeo Networks, un autre MSP. Par contraste, explique-t-il, « la gestion des vulnérabilités est un processus continu qui consiste à identifier une vulnérabilité, à en déterminer la priorité, puis à la signaler et à la corriger ».
Les deux processus interviennent au niveau des ordinateurs portables, systèmes de sauvegarde, serveurs, messageries, pare-feu, terminaux et systèmes exécutés dans le cloud, poursuit Matthew Hodson.
Gestion des vulnérabilités : cas pratique
La compagnie d’assurance Aflac opère dans un secteur fortement réglementé. Chaque semaine, sur l’ensemble de ses activités, l’entreprise analyse plus de 50 000 actifs à la recherche de vulnérabilités. Ce mode opératoire lui permet de prouver aux autorités de contrôle qu’un travail d’assainissement a bien été effectué dans les règles de l’art.
Pour analyser ses actifs, Aflac fait appel à l’application VMDR (Vulnerability Management, Detection and Response) de Qualys, suivant un cycle continu de protection contre les vulnérabilités. Selon Mehul Revankar, la compagnie d’assurance satisfait ainsi aux exigences réglementaires, génère des rapports en quelques minutes au lieu de plusieurs semaines, et identifie les vulnérabilités cachées.
Et Mehul Revankar de poursuivre : « Aflac est passée, pratiquement du jour au lendemain, de [près de] 42 000 vulnérabilités critiques ou sérieuses à plus de 185 000 ». Selon lui, en six mois d’utilisation du logiciel VMDR, Aflac a ramené ce nombre à 80 000, soit une diminution de plus de 55 %.
Gestion des correctifs et des vulnérabilités : similitudes et convergences
La gestion des vulnérabilités et la gestion des correctifs sont similaires, « profondément liées ». Aussi, pour atteindre leurs objectifs respectifs, les équipes chargées de l’informatique et de la sécurité doivent-elles collaborer étroitement, affirme Dave Gruber, analyste en chef au cabinet Enterprise Strategy Group (ESG), une division de TechTarget. Les deux services ont ainsi besoin d’un inventaire complet des actifs matériels utilisés, des logiciels qui s’y exécutent et des configurations détaillées.
Selon Eran Livne, directeur de la gestion produit pour la remédiation des terminaux chez Qualys, la différence clé entre gestion des vulnérabilités et gestion des correctifs tient à ce que la première est conçue pour identifier les risques et les prioriser selon leur niveau de gravité, là où la seconde contribue à la remédiation de ces risques par la mise à niveau des logiciels.
« Dans certains cas, la mise à niveau va totalement éliminer le risque, alors que dans d’autres, son action sera partielle et nécessitera une surveillance constante ou des mesures de sécurité complémentaires », affirme Eran Livne.
La régularité du déploiement des correctifs revêt une importance vitale. En effet, plus de 90 % des exploitations d’une faille (les « exploits ») interviennent après diffusion du correctif correspondant, explique Joshua Skeens.
Et le même de poursuivre : « si vous n’appliquez pas des correctifs rapidement et fréquemment, vous êtes fortement exposé ». Il ajoute que, dans le contexte actuel, il ne dirigerait pas une entreprise sans gestion des correctifs et des vulnérabilités.
Forts de ces deux approches, face à un problème donné, les professionnels IT doivent parfois trancher en faveur de l’une ou de l’autre. Par exemple, ils peuvent s’adresser à l’éditeur du logiciel pour télécharger puis appliquer un correctif afin de colmater une brèche, ou restreindre voire fermer l’accès au système en utilisant un contrôle d’accès au réseau ou un contrôle d’accès fondé sur les rôles (RBAC, Role-Based Access Control), une autre approche de la gestion des vulnérabilités.
Gestion des correctifs et des vulnérabilités : des outils différents
Dave Gruber explique que, si les outils d’évaluation des vulnérabilités et les outils de gestion des correctifs fonctionnent généralement de manière indépendante, et sont déployés et administrés par des personnes distinctes, ils n’en prennent pas moins en charge des workflows communs, notamment en matière d’évaluation, de priorisation et d’atténuation des risques.
Pourtant, nous dit Joshua Skeens, contrairement à un système de gestion des vulnérabilités, aucun système de gestion des correctifs ne pourra vous indiquer la présence d’une faille dans un logiciel. En revanche, un système de gestion des correctifs saura indiquer au service informatique que l’un de ses logiciels a trois versions de retard et qu’il faut le mettre à jour.
Joshua Skeens explique que les deux approches se complètent quand le système de gestion des correctifs rectifie une défaillance que l’outil de gestion des vulnérabilités aura préalablement identifiée.
Il ajoute : « les systèmes de gestion des vulnérabilités sont rarement tout-en-un ; ils vont rapporter ce qu’ils ont découvert, mais ne corrigeront pas le problème. Vous devez alors faire appel à un système de gestion des correctifs pour appliquer les correctifs nécessaires ».
C’est pourquoi il est important de disposer d’un processus solide de gestion des correctifs, fait remarquer Joshua Skeens. « En effet, si vous découvrez 40 vulnérabilités, vous aurez besoin d’un processus pour déterminer quel correctif appliquer en premier, et sur quelles machines ».
Gestion des vulnérabilités et des correctifs : les bonnes pratiques
Qu’il s’agisse de gestion des vulnérabilités ou des correctifs, il n’existe aucun remède miracle. « Toutefois, grâce aux nombreuses innovations tant en termes de produits que de workflows, les entreprises peuvent désormais adopter de bonnes pratiques et ainsi réduire considérablement le risque lié à la sécurité dans tout leur environnement », explique Eran Livne.
Tout d’abord, mettre en place une gestion des correctifs sans gestion préalable des vulnérabilités ne sert à rien ; les deux doivent aller de pair, insiste-t-il.
« Malheureusement, dans la majorité des entreprises, ces processus sont gérés par des équipes totalement différentes qui font appel à des outils tout aussi différents », constate Eran Livne. « Typiquement, la gestion des vulnérabilités est assurée par l’équipe de sécurité, tandis que la gestion des correctifs relève d’applications et d’équipes informatiques dédiées qui utilisent des outils distincts. Cette structure complique considérablement les processus de remédiation, laissant parfois les environnements aux prises avec des dizaines de milliers de vulnérabilités, une situation propice à toutes sortes d’attaques ».
« En contrôlant le processus, l’équipe de sécurité pourra résoudre les situations plus rapidement et plus efficacement ».
Eran LivneDirecteur de la gestion produit pour la remédiation des terminaux, Qualys
Selon Eran Livne, pour l’entreprise, la bonne pratique fondamentale consiste à comprendre que la gestion des vulnérabilités et celle des correctifs sont étroitement liées, et qu’elles doivent être supervisées par l’équipe de sécurité en charge de la résolution de bout en bout. « Cette approche à elle seule permettra d’éliminer les obstacles qui sont à l’origine du délai de remédiation moyen (MTTR, Mean Time To Remediation) élevé, auquel nombre d’entreprises sont confrontées », assure-t-il. « Le service informatique et l’équipe de sécurité pourront toujours collaborer au déploiement du correctif, mais, en contrôlant le processus, la seconde pourra résoudre les situations plus rapidement et plus efficacement ».
Et il explique qu’utiliser le même produit pour détecter, prioriser et traiter une vulnérabilité diminue les tâches manuelles nécessaires et permet aux équipes informatiques et de sécurité de se focaliser sur le correctif proprement dit.
Qualys recommande aux services informatiques de suivre cinq bonnes pratiques :
Analyser quotidiennement. Dans l’idéal, pour donner de la visibilité en temps réel sur les vulnérabilités d’une entreprise, le processus fera appel à des agents logiciels automatisés.
Procéder à des analyses de vulnérabilité non authentifiées à distance. Cette approche permettra à l’entreprise de comprendre comment l’agresseur voit son réseau.
Classer les vulnérabilités selon leur priorité. En phase de génération de rapports, commencez par répertorier les vulnérabilités qui sont connues pour être activement exploitées par des logiciels malveillants, des rançongiciels, des pirates, etc.
Corriger les vulnérabilités à haut risque. Traitez en premier lieu les vulnérabilités critiques et à haut risque, particulièrement sur le périmètre, et dans les 48 heures ou moins.
Optimiser le déploiement des correctifs. Automatisez la mise en oeuvre des correctifs sur les applications qui introduisent le plus de vulnérabilités dans un environnement et sur celles qui ne sont pas stratégiques.
Pour conforter sa sécurité, l’entreprise doit comprendre que si gestion des vulnérabilités et gestion des correctifs présentent des similitudes et se complètent, elles n’en sont pas moins différentes au final, explique Eran Livne. « Aucune des deux ne vient en supplément de l’autre ; elles sont deux composantes d’un même processus », conclut-il.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
