IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 312
    Points
    66 312
    Par défaut Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs
    Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs
    selon une enquête réalisée par Outpost24

    Vu le nombre sans cesse croissant des attaques informatiques, la vulnérabilité et l'importance des données d’entreprise dorénavant informatisées, le besoin de sécuriser toutes ces informations devient capital et un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui les entourent. La sécurité des systèmes d’information (SSI), ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l'utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information. Mais de plus en plus, cela n'est plus confiné uniquement au rôle de l’informaticien et devrait impliquer tous les acteurs de l'entreprise.

    Malheureusement, la plupart des entreprises ignorent les bogues de sécurité parce qu'elles n'ont pas le temps de les corriger. Selon une étude d'Outpost24, sur 155 personnes interrogées, 26 % manquent de temps et 16 % ignorent les problèmes. Or, de 2013 à 2015, 16 % de toutes les vulnérabilités se trouvaient dans les applications et 53 millions d'événements de sécurité ont été détectés sur les réseaux en 2015. 63% des violations de données confirmées en 2016 concernaient des mots de passe faibles, par défaut ou volés. Et les appareils de plus en plus mobiles dans les entreprises augmentent fortement les vulnérabilités. Certains domaines d’activité sont plus susceptibles d'attaques que d'autres. En 2016, 89 % des infractions avaient un motif financier ou d'espionnage.

    Nom : secu.jpg
Affichages : 4718
Taille : 58,6 Ko

    Tenant compte de toutes ces menaces d'attaques qui pèsent sur les entreprises, la plupart des fournisseurs de logiciels proposent régulièrement des correctifs de sécurité. Mais on remarque que c'est seulement 47 % qui appliquent les correctifs immédiatement, 16 % les appliquent tous les mois, 7 % tous les trimestres et 5 % seulement deux fois par an. Et là encore, dans un courriel à Infosecurity, le consultant en sécurité Ben Tomhave a déclaré que ceux qui disent qu'ils corrigent immédiatement font économie de vérité, car selon lui, si c'était vrai, cela voudra dire que leurs environnements de travail n'auraient pas été faits de ressources trop sensibles à la disponibilité ou à l'intégration logicielle. À titre d'exemple, il a souligné le fait qu'Oracle fait toujours des correctifs trimestriels et ceux qui disposent d'applications sous Oracle ne sauraient faire mieux.

    On a également demandé aux répondants à cette enquête réalisée par Outpost24 si des tests de sécurité étaient effectués sur les systèmes de leur entreprise, ce qui a révélé que 7 % d'entre eux n'effectuaient aucun test de sécurité. Cependant, 79 % ont déclaré qu'ils effectuent des tests et 68 % utilisent les services de tests de pénétration. Bob Egner, vice-président d'Outpost24, a déclaré que « pour maximiser la valeur de l'investissement de test, les mesures correctives doivent être prises aussitôt que possible après le test. La prolifération des technologies connectées, le manque de connaissances et de ressources restent des défis majeurs. Le personnel de sécurité peut facilement devenir débordé et ne plus se concentrer sur l'assainissement qui peut avoir le plus d'impact sur l'entreprise ».

    Tomhave fait une suggestion de solution pour réduire les risques de sécurité : le DevOps ; plus précisément, le changement de comportement qui facilite l'intégration continue et les pipelines de développement et d'automatisation lourde. Le DevOps est un mouvement en ingénierie informatique et une pratique technique visant à l'unification du développement logiciel (dev) et de l'administration des infrastructures informatiques (ops), notamment l'administration système. En tant que telle, l'automatisation fait partie de la réponse, mais encore une fois, elle s'applique aux serveurs. Pour les points de terminaison utilisateur, les appareils mobiles et l'IoT, il est presque certain que tout devrait être automatisé et poussé dès que possible (à condition qu'il y ait une option d'annulation).

    Marten Mickos, PDG de HackerOne, a déclaré que : « Nous constatons à maintes reprises l'impact des vulnérabilités connues qui ne sont pas corrigées par des cas exceptionnels comme la violation d'Equifax, et 58 % des professionnels de l'informatique n'ignorent pas ces problèmes de sécurité critiques. La création d'un exploit pour une vulnérabilité connue peut prendre jusqu'à 22 jours. Nous devons donc faciliter la tâche des organisations afin de hiérarchiser les correctifs pour protéger leurs clients ».

    Sources : outpost24, Infosecurity

    Et vous ?

    Comment assurez-vous la sécurité de vos données dans votre entreprise ?
    À quelle fréquence appliquez-vous les correctifs de sécurité informatique ?

    Voir aussi

    Les meilleurs cours et tutoriels pour apprendre la sécurité informatique
    Le facteur humain est la plus grande menace pour la sécurité informatique des entreprises, les cadres supérieurs logés aux premiers rangs

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 791
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 791
    Points : 7 294
    Points
    7 294
    Par défaut
    Le secteur de la sécurité ayant été délaissé pendant des décennies, la prise de conscience se fait douloureuse bien qu'il y ait eu des progrès. Beaucoup de chemin reste à parcourir pour l'améliorer mais elle fait maintenant partie intégrante des SMACS. Et il s'agit d'un pas important. Nous sommes sur la bonne pente même s'il a fallu WannaCry et Not Petya ainsi qu'Equifax pour que cela rentre dans les moeurs.

    Par contre j'aurai cru le chiffre de 26% plus élevé.

  3. #3
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 953
    Points
    7 953
    Par défaut
    Le manque de temps est une excuse bidon de mauvaise foi.
    Le temps, il suffit de le prendre et cela se gère pas l'établissement de priorité.

    Si la sécurité informatique est réellement une priorité pour l'entreprise, elle y met les moyens et lorsqu'une faille de sécu est identifiée (maj d'une api, par exemple), il est possible de dé-prioriser certains sujets fonctionnels secondaire pour y insérer ce patch de sécu.
    Tout est une question de volonté et de stratégie d'entreprise.

    Je suis RA et CP et j'ai dû batailler pour m'allouer un budget technique dans mes roadmap TMA.
    Avec cette enveloppe(8% de mon budget pour chaque appli), je peux faire passer les évol et correctifs que je veux sans avoir à en référer à quiconque et je m'en sers pour faire passer les patch de sécurité.
    Par contre, ce n'est malheureusement pas une généralité dans mon entreprise.
    La plupart des autres RA ne se donnent pas cette peine et leur responsable de domaine ne l'y encourage pas non plus

  4. #4
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    616
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 616
    Points : 2 829
    Points
    2 829
    Par défaut
    De ce que je vois en tant que pentester, c'est que les boites ont assimilés les problématiques de sécurité. Les RSSI/CISO et leurs équipes comprennent les problèmes, même d'un point de vue technique. Les actions pour y remédier restent cependant beaucoup trop limitées. D'une part, les grosses boites ont 30 ans de dettes techniques sécuritaire, que ce soit sur l'état du réseau, des systèmes ou des applications déployées. De plus il leur est souvent impossible de réellement patcher les systèmes ou les applications sans avoir à tout redévelopper (technos anciennes qui ne tournent que sur tel système, technos ou systèmes obsolètes qui n'implémentent pas les mécanismes de sécurité nécessaire pour aujourd'hui). Le SI de certaines boites sont de véritable poudrières, une étincelle suffirait à tout embraser...

    D'une autre part, les nouveau projets n'intègre pas toujours de priorités sur la sécurité, et les devs eux même n'y sont pas sensibilisés. Et je vous parle même pas des applis externalisées... Il y a néanmoins un peu de changement et on voit des audits de sécurité se prévoir avant des mises en prod.

    Bref, pour être confronté à tous ça, oui c'est pas glorieux, mais ça bouge, doucement, très doucement, mais ça bouge un peu.

  5. #5
    Invité
    Invité(e)
    Par défaut
    Dans ma boite nous menons fréquemment des exercices afin de nous assurer être en mesure de reconstruire un systeme applicatif en cas de sinistre. Notre credo est d'avoir des politiques de sauvegarde en adéquation avec les besoins du métiers et des équipes de dev, ainsi qu'a veiller à une parfaite redondance des données.

    C'est nécessaire car les contrainte subies par les interlocuteurs métiers font que les fenêtres adéquates au passage de patch ne sont la plupart du temps ouvertes que le week-end ou bien hors des périodes de clôture comptables, etc... Certains patchs peuvent attendre un reboot planifié pour être appliqués mais d'autres nécessitent la mobilisation des ressources permettant la prise des snapshots, le débranchement des BDD, l’arrêt des applicatifs, l'installation du package et l’édition des crontabs... Le tout sous bonne garde des équipes de dev. C'est une organisation de malade et tout les monde ne peut pas être servi en même temps, d'où l’importance d'une politique de sauvegarde au petits oignons.

    Les véroles de type Wannacry ou Stack Clash sont un réel surcoût pour les entreprises et cela justifie amplement la prise de conscience sur les problématique de sécu évoquées par marsupial. Toutefois j'entends tout à fait que certaines boites doivent patienter plusieurs semaines avant de mener à terme une campagne de déploiement de correctifs. Ce n'est pas forcement de l'irresponsabilité mais d'avantage un problème lié au fait que les ressources de personnel IT d'une entreprise sont limitées tandis que la diffusion de malwares est par définition imprévisible.

  6. #6
    Membre émérite

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2013
    Messages
    1 107
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : Octobre 2013
    Messages : 1 107
    Points : 2 663
    Points
    2 663
    Par défaut
    Il faut aussi se méfier des correctifs.
    La faille spectre est un bon exemple.
    Il a fallu des patch anti patch de sécurité.

    Alors le temps de valider qu'il n'y a pas de régressions ça prend du temps.
    Ils n'en parlent pas dans l'artivle

  7. #7
    Expert confirmé Avatar de sergio_is_back
    Homme Profil pro
    Consultant informatique industrielle, développeur tout-terrain
    Inscrit en
    Juin 2004
    Messages
    1 172
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Consultant informatique industrielle, développeur tout-terrain
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Juin 2004
    Messages : 1 172
    Points : 5 966
    Points
    5 966
    Par défaut
    Ils prennent en compte les PME dans leurs stats ? Si non alors on devrait être plus prêt des 98%

  8. #8
    Membre régulier
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Mai 2011
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Mai 2011
    Messages : 44
    Points : 85
    Points
    85
    Par défaut
    Vous prenez des entreprises full MS, avec des applications métiers, il faut toujours tester qu'il n'y a pas de régression ou dysfonctionnement suite à une mise à jour, cela prend du temps.

    Dans des réseaux d'entreprise j'ai même eu des PC non mis à jour, mis en carafe suite à des mises à jour par la DSI centrale , qui mettait des MaJ en partant du principe que les MaJ étaient faites sur les postes . Et ces MaJ avaient besoin de patch pas encore sur les machines.

    De plus les MaJ MS pour Office365 et WIN10 deviennent monstrueuses , charges réseaux, obligation d'avoir des DP en local pour éviter la saturation...

    Vous prenez les MaJ majeurs de Win10 , c'est toujours une roulette russe pour savoir si le PC va redémarrer après et au cas où réparable ... la suppression de programme sans prévenir, en entreprise on n'a pas que des OS neuf, ils vivent avec des installations métiers non gérées par les DSI ... Win10 n'aime pas SEP trop intrusif pour lui

Discussions similaires

  1. Réponses: 2
    Dernier message: 29/08/2017, 13h59
  2. Réponses: 8
    Dernier message: 07/03/2017, 09h59
  3. Réponses: 2
    Dernier message: 05/08/2016, 14h04
  4. Réponses: 37
    Dernier message: 21/05/2010, 16h50
  5. Réponses: 6
    Dernier message: 28/08/2009, 18h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo