Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Aller au-delà des failles Spectre et Meltdown : trois étapes à suivre pour une maîtrise efficace des risques

juillet 2018 par Kasper Lindgaard - Directeur de recherche et de la sécurité au sein de l’équipe Secunia Research de Flexera Software

Il faut bien l’admettre, tout événement marquant attire l’attention : une épidémie de grippe, une tempête de neige, un ouragan... Pourtant, ce qui reste dans l’ombre représente parfois un risque encore plus important. En matière de vulnérabilités logicielles, les failles Spectre et Meltdown révélées en janvier dernier ont beaucoup fait parler d’elles, notamment parce qu’elles touchaient la grande majorité des processeurs sur le marché. La réalité est que ces vulnérabilités s’ajoutent simplement à d’autres menaces que les professionnels de la sécurité doivent évaluer au quotidien.

Des menaces plus sérieuses que Spectre et Meltdown

Bien que ces failles soient importantes, d’autres failles de niveau « Hautement critique » représentent un risque bien plus urgent si elles restent non patchées. Celles-ci concernaient des logiciels extrêmement populaires tels que Cisco Webex Meetings Server, Cisco Webex Advanced Recording Format (ARF) Player, Microsoft Internet Explorer (versions 9,10 et 11), IBM Rational DOORS Next Generation 6, IBM Websphere Application Server 9.0, Debian GNU Linux 8 et 9, Jackson 2.0 et Gentoo Linux.

Les équipes de sécurité ne peuvent pas se permettre de se laisser distraire par les événements suscitant l’indignation générale, ou par des scénarios catastrophes alimentés par des médias non spécialisés ou par le grand public. Elles doivent analyser constamment l’ensemble des vulnérabilités affectant leurs systèmes, et hiérarchiser les menaces les plus sérieuses. Ces analyses doivent également évaluer l’impact de l’application d’un patch (ou d’un changement au niveau d’une configuration de sécurité), et comparer tout cela au risque lié au fait de ne prendre aucune mesure. Pour cela, les professionnels de la sécurité ont besoin de soutien de la part de leurs responsables informatiques et de leur direction, afin de pouvoir concevoir et mettre en œuvre des processus susceptibles d’améliorer l’évaluation et la hiérarchisation des failles.

Protection intelligente contre les vulnérabilités : trois étapes pour les hiérarchiser en fonction des risques

Les équipes de sécurité le savent mieux que quiconque : les menaces faisant l’actualité nécessitent certainement leur attention, mais en matière de maîtrise des risques, il est essentiel de faire preuve de bon sens. L’important est de commencer par identifier les plus sérieux pour l’organisation grâce à une technologie d’apprentissage profond, puis de procéder à une évaluation complète. Une fois les éléments à protéger impérativement découverts, il devient alors possible d’optimiser l’exploitation des maigres ressources disponibles pour produire un maximum d’impact.
En outre, l’adoption d’une approche de gestion des failles standardisée et basée sur les risques permettra aux DSI de renforcer la protection des systèmes. Les trois étapes ci-dessous les aideront à parvenir à une meilleure compréhension des principales vulnérabilités, et à utiliser les ressources à leur disposition pour les corriger.

Première étape : déterminer la gravité des problèmes

Identifier les vulnérabilités les plus sérieuses est la première étape vers la réduction des risques. La clé est de s’appuyer sur des données fiables : les informations sur les failles doivent être vérifiées et évaluées à l’aide d’un ensemble de critères standards pour établir leurs niveaux de risque avec précision. Grâce à cette vision complète des risques concrets, la prochaine vulnérabilité faisant les gros titres des médias ne prendra personne à dépourvu.

Deuxième étape : hiérarchiser les vulnérabilités en fonction des risques, pas de leur popularité

Une fois passées par la première étape, les équipes de sécurité peuvent alors hiérarchiser les mesures à prendre pour produire un effet optimal. Cette approche réfléchie leur donne le contrôle, et leur permet de mener des actions ciblées et d’affecter les ressources nécessaires intelligemment. Elle permet également d’accélérer la gestion des vulnérabilités les plus importantes afin de renforcer la sécurité de l’entreprise.

Troisième étape : corriger les failles à l’aide d’une approche conservatrice

Une fois les priorités identifiées, il est temps de passer aux patches. Les programmes d’application de correctifs les plus efficaces sont ceux qui mettent l’accent sur les tests en environnements contrôlés. Les équipes informatiques ont tout à gagner à adopter une approche proactive afin de découvrir l’impact sur les performances ou les problèmes de compatibilité susceptibles d’être provoqués par un patch. Appliquer des correctifs est essentiel pour réduire l’angle d’attaque ; mais il convient d’opérer avec prudence et en anticipant leur impact potentiel sur la stabilité des systèmes. Grâce à des processus et outils bien établis, il est possible de gérer les failles avec soin et précaution, en s’appuyant sur des modèles basés sur les risques.

Grâce à cette approche à trois volets, les équipes de sécurité peuvent transformer l’inconnu en un plan d’actions proactives axé sur la collecte d’informations qualifiées, sur des mesures ciblées, et sur une utilisation efficace du personnel disponible. Surtout, elle leur permet de protéger les produits, la réputation et les clients de leur organisation.


Voir les articles précédents

    

Voir les articles suivants