Patching automatique : ce que les entreprises devraient considérer

L’édition de 2016 de la conférence Black Hat, qui se déroulait la semaine dernière à Las Vegas, a été l’occasion d’une première : la finale du défi Cyber Grand Challenge (CGC), organisé par la Darpa, l’agence américaine chargée des projets de défense avancés, et opposant des hackers totalement cybernétiques, sans la moindre intervention humaine.

Le CGC était en préparation depuis plus de deux ans. Il visait à « tester les capacités d’une nouvelle génération de systèmes de cyberdéfense complètement automatisés », combinant « vitesse et échelle d’automatisation avec des capacités de raisonnement dépassant celles des experts humains ».

Il s’agit d’une évolution technologique fascinante qui, compte tenu des complexités associées aux environnements réseau actuels, pourrait aider à améliorer la sécurité informatique des entreprises de nombreuses manières. Mais est-ce que cela en valoir la peine ? Quels sont les effets secondaires et les risques associés à la correction automatique de vulnérabilités ? Si la technologie n’est pas encore accessible à grande échelle, elle mérite l’attention des entreprises alors que leurs programmes de sécurité de l’information et les technologies associées avancent.

De nombreuses organisations pourraient déjà utiliser une forme de correction automatisée des vulnérabilités. Les failles logicielles seraient reconnues et les correctifs déployés pour assurer la résilience des systèmes face aux attaques, avec une intervention humaine minimale. Sur le papier, c’est très séduisant et l’on imagine directions et auditeurs très sensibles à la promesse. Mais le processus d’application de correctif n’est pas aussi clair et net. C’est même un processus complexe qui implique beaucoup de systèmes et d’acteurs, devant travailler de concert pour s’assurer d’un déploiement effectif des correctifs, de l’amélioration de la sécurité, et de la stabilité de l’environnement. Et cette dernière est sans aucun doute l’aspect le plus important pour la majorité des professionnels impliqués. Et comme tout le monde a eu l’occasion de l’apprendre, un mauvais correctif suffit à faire tomber un système autrement stable. Une approche qui finit par créer une situation dont beaucoup diraient qu’elle est pire pour l’entreprise que toute vulnérabilité censée être corrigée…

Des équipes de sécurité surchargées cherchent sans le moindre doute à améliorer leur posture de sécurité, comme avec un système de correction de vulnérabilités automatisé. Mais certains points doivent être pris en compte : comment déterminer ce qui doit être corrigé en premier ? Comment s’assurer que les systèmes critiques ne soient pas patchés si le risque est trop grand, tout en restant sécurisés ? Comment impliquer certains éditeurs ne supportant pas le patching afin d’éviter de faire reposer tout le risque sur l’entreprise ? Quels sont les plans de replis en cas d’incident de production suite à l’application du correctif ?

Les avancées en matière de qualité logicielle des systèmes d’exploitation et des applications modernes permettent de déployer les correctifs de manière semi-automatisée, au moins au niveau des postes de travail. Après tout, c’est là qu’il convient de concentrer une grande partie de ses efforts, en particulier avec des logiciels tiers tels que Java et Flash. Mais quid des serveurs, applications, bases de données et systèmes d’infrastructure réseau susceptibles de rester vulnérables à une attaque ? Comment les mises à jour sont-elles appliquées à ces systèmes ?

Et puis ces systèmes de correction de vulnérabilité automatisés en valent-ils le coût ? Peut-être que les avantages surpassent effectivement les inconvénients. Mais le CGC de la Darpa n’était qu’une expérimentation spécialisée, s’appuyant sur des logiciels spécialisés qui n’avaient pas été analysés précédemment. Difficile de savoir donc comment ces systèmes de correction automatique de vulnérabilité se comporteraient avec des logiciels commerciaux et des applications patrimoniales complexes.

Chaque situation est différente. La réalité est que, compte tenu des ressources limitées des équipes et du risque d’erreur humaine, la sécurité a besoin d’être automatisée là où elle peut l’être. Il est donc aujourd’hui temps de se pencher sur la manière dont le processus de correction de vulnérabilités pourrait ou devrait être automatisé à l’avenir.

Adapté de l’anglais.