1. Déterminer d’abord la gravité des problèmes : déterminer la gravité réelle du risque lié aux failles Spectre et Meltdown à l’aide d’informations vérifiées

2. Hiérarchiser les risques : s’occuper d’abord des vulnérabilités connues en fonction de leur criticité, et non en fonction de leur médiatisation

3. Corriger les failles à l’aide d’une approche conservatrice : appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés

« L’inquiétude des entreprises vis-à-vis des failles Spectre et Meltdown est plus que légitime. Cependant, depuis leur révélation le 3 janvier dernier, l’équipe Secunia Research de Flexera a publié des dizaines de notes de sécurité sur d’autres vulnérabilités extrêmement critiques. Ces failles pourraient avoir un impact dévastateur sur les organisations si elles venaient à être exploitées », déclare Kasper Lindgaard, directeur de recherche et de la sécurité chez Flexera. « Plus de 17 000 vulnérabilités ont été révélées l’année dernière. Dans ce contexte, les organisations doivent être en mesure de répartir le peu de ressources dont elles disposent de façon optimale afin de minimiser les risques ? Elles doivent avoir accès à des informations vérifiées sur les vulnérabilités, puis adopter une approche rationnelle et basée sur des risques en matière de patches. Dans le cas contraire, elles sont condamnées à courir inlassablement après les menaces. »

Comprendre le véritable risque lié à Spectre/Meltdown

Les failles Spectre et Meltdown sont documentées dans trois entrées du dictionnaire CVE (CVE-2017-5754, CVE-2017-5753, CVE-2017-5715). En dépit de l’ampleur et de la gravité potentielle du problème, les DSI ont besoin d’informations plus approfondies afin d’évaluer correctement les risques (au-delà de leur score dans le CVE). Ces renseignements doivent offrir un contexte sur les produits, et tenir compte des vecteurs d’attaque et de leur impact potentiel en matière de sécurité. Les équipes de sécurité pourront ainsi voir au-delà des spéculations classiques dans les médias.

À ce jour, l’équipe Secunia Research de Flexera a publié plus de 35 notes de sécurité liées à Spectre/Meltdown, la plupart obtenant des scores inférieurs à « modérément critique »" (notes allant de 1 à 3 sur un maximum de 5). Tout ceci indique donc que bien que ces failles soient importantes, d’autres plus critiques représentent donc un risque plus urgent si elles restent non patchées.

Classer les correctifs à appliquer par ordre de priorité

Une fois que les DSI connaissent précisément le risque pour leurs environnements, ils peuvent alors adopter une approche rationnelle et basée sur les risques. Ils pourront ainsi les traiter par ordre de priorité et affecter le peu de ressources dont ils disposent de façon adéquate.

« En raison de leur ampleur, Spectre et Meltdown ont été au cœur de l’actualité des deux dernières semaines. Cependant, les DSI ne doivent pas pour autant se laisser déconcentrer, » poursuit Kasper Lindgaard. « En identifiant d’abord les vulnérabilités les plus dangereuses et en hiérarchisant leurs efforts, ils seront en mesure de minimiser les risques efficacement et de façon rentable. »
Une approche conservatrice

Après ces deux premières étapes, les organisations devraient ensuite appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés. Grâce à des processus établis et à des outils adaptés pour mieux identifier les conséquences des menaces, elles pourront prévoir les impacts des patches en matière de performances et de compatibilité.

« Appliquer des correctifs est essentiel pour réduire l’angle d’attaque. Mais cela doit être fait prudemment et en anticipant leur impact potentiel sur les performances et la stabilité des systèmes. Les efforts de maîtrise des risques doivent être produits avec précaution et en se focalisant sur des modèles basés sur les risques. »