Discussion :

[Bill Fassinou]

Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs
selon une enquête réalisée par Outpost24

Vu le nombre sans cesse croissant des attaques informatiques, la vulnérabilité et l'importance des données d’entreprise dorénavant informatisées, le besoin de sécuriser toutes ces informations devient capital et un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui les entourent. La sécurité des systèmes d’information (SSI), ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l'utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information. Mais de plus en plus, cela n'est plus confiné uniquement au rôle de l’informaticien et devrait impliquer tous les acteurs de l'entreprise.

Malheureusement, la plupart des entreprises ignorent les bogues de sécurité parce qu'elles n'ont pas le temps de les corriger. Selon une étude d'Outpost24, sur 155 personnes interrogées, 26 % manquent de temps et 16 % ignorent les problèmes. Or, de 2013 à 2015, 16 % de toutes les vulnérabilités se trouvaient dans les applications et 53 millions d'événements de sécurité ont été détectés sur les réseaux en 2015. 63% des violations de données confirmées en 2016 concernaient des mots de passe faibles, par défaut ou volés. Et les appareils de plus en plus mobiles dans les entreprises augmentent fortement les vulnérabilités. Certains domaines d’activité sont plus susceptibles d'attaques que d'autres. En 2016, 89 % des infractions avaient un motif financier ou d'espionnage.

Tenant compte de toutes ces menaces d'attaques qui pèsent sur les entreprises, la plupart des fournisseurs de logiciels proposent régulièrement des correctifs de sécurité. Mais on remarque que c'est seulement 47 % qui appliquent les correctifs immédiatement, 16 % les appliquent tous les mois, 7 % tous les trimestres et 5 % seulement deux fois par an. Et là encore, dans un courriel à Infosecurity, le consultant en sécurité Ben Tomhave a déclaré que ceux qui disent qu'ils corrigent immédiatement font économie de vérité, car selon lui, si c'était vrai, cela voudra dire que leurs environnements de travail n'auraient pas été faits de ressources trop sensibles à la disponibilité ou à l'intégration logicielle. À titre d'exemple, il a souligné le fait qu'Oracle fait toujours des correctifs trimestriels et ceux qui disposent d'applications sous Oracle ne sauraient faire mieux.

On a également demandé aux répondants à cette enquête réalisée par Outpost24 si des tests de sécurité étaient effectués sur les systèmes de leur entreprise, ce qui a révélé que 7 % d'entre eux n'effectuaient aucun test de sécurité. Cependant, 79 % ont déclaré qu'ils effectuent des tests et 68 % utilisent les services de tests de pénétration. Bob Egner, vice-président d'Outpost24, a déclaré que « pour maximiser la valeur de l'investissement de test, les mesures correctives doivent être prises aussitôt que possible après le test. La prolifération des technologies connectées, le manque de connaissances et de ressources restent des défis majeurs. Le personnel de sécurité peut facilement devenir débordé et ne plus se concentrer sur l'assainissement qui peut avoir le plus d'impact sur l'entreprise ».

Tomhave fait une suggestion de solution pour réduire les risques de sécurité : le DevOps ; plus précisément, le changement de comportement qui facilite l'intégration continue et les pipelines de développement et d'automatisation lourde. Le DevOps est un mouvement en ingénierie informatique et une pratique technique visant à l'unification du développement logiciel (dev) et de l'administration des infrastructures informatiques (ops), notamment l'administration système. En tant que telle, l'automatisation fait partie de la réponse, mais encore une fois, elle s'applique aux serveurs. Pour les points de terminaison utilisateur, les appareils mobiles et l'IoT, il est presque certain que tout devrait être automatisé et poussé dès que possible (à condition qu'il y ait une option d'annulation).

Marten Mickos, PDG de HackerOne, a déclaré que : « Nous constatons à maintes reprises l'impact des vulnérabilités connues qui ne sont pas corrigées par des cas exceptionnels comme la violation d'Equifax, et 58 % des professionnels de l'informatique n'ignorent pas ces problèmes de sécurité critiques. La création d'un exploit pour une vulnérabilité connue peut prendre jusqu'à 22 jours. Nous devons donc faciliter la tâche des organisations afin de hiérarchiser les correctifs pour protéger leurs clients ».

Sources : outpost24, Infosecurity

Et vous ?

Comment assurez-vous la sécurité de vos données dans votre entreprise ?
À quelle fréquence appliquez-vous les correctifs de sécurité informatique ?

Voir aussi

Les meilleurs cours et tutoriels pour apprendre la sécurité informatique
Le facteur humain est la plus grande menace pour la sécurité informatique des entreprises, les cadres supérieurs logés aux premiers rangs

[marsupial]

Le secteur de la sécurité ayant été délaissé pendant des décennies, la prise de conscience se fait douloureuse bien qu'il y ait eu des progrès. Beaucoup de chemin reste à parcourir pour l'améliorer mais elle fait maintenant partie intégrante des SMACS. Et il s'agit d'un pas important. Nous sommes sur la bonne pente même s'il a fallu WannaCry et Not Petya ainsi qu'Equifax pour que cela rentre dans les moeurs.

Par contre j'aurai cru le chiffre de 26% plus élevé.

[Saverok]

Le manque de temps est une excuse bidon de mauvaise foi.
Le temps, il suffit de le prendre et cela se gère pas l'établissement de priorité.

Si la sécurité informatique est réellement une priorité pour l'entreprise, elle y met les moyens et lorsqu'une faille de sécu est identifiée (maj d'une api, par exemple), il est possible de dé-prioriser certains sujets fonctionnels secondaire pour y insérer ce patch de sécu.
Tout est une question de volonté et de stratégie d'entreprise.

Je suis RA et CP et j'ai dû batailler pour m'allouer un budget technique dans mes roadmap TMA.
Avec cette enveloppe(8% de mon budget pour chaque appli), je peux faire passer les évol et correctifs que je veux sans avoir à en référer à quiconque et je m'en sers pour faire passer les patch de sécurité.
Par contre, ce n'est malheureusement pas une généralité dans mon entreprise.
La plupart des autres RA ne se donnent pas cette peine et leur responsable de domaine ne l'y encourage pas non plus

[benjani13]

De ce que je vois en tant que pentester, c'est que les boites ont assimilés les problématiques de sécurité. Les RSSI/CISO et leurs équipes comprennent les problèmes, même d'un point de vue technique. Les actions pour y remédier restent cependant beaucoup trop limitées. D'une part, les grosses boites ont 30 ans de dettes techniques sécuritaire, que ce soit sur l'état du réseau, des systèmes ou des applications déployées. De plus il leur est souvent impossible de réellement patcher les systèmes ou les applications sans avoir à tout redévelopper (technos anciennes qui ne tournent que sur tel système, technos ou systèmes obsolètes qui n'implémentent pas les mécanismes de sécurité nécessaire pour aujourd'hui). Le SI de certaines boites sont de véritable poudrières, une étincelle suffirait à tout embraser...

D'une autre part, les nouveau projets n'intègre pas toujours de priorités sur la sécurité, et les devs eux même n'y sont pas sensibilisés. Et je vous parle même pas des applis externalisées... Il y a néanmoins un peu de changement et on voit des audits de sécurité se prévoir avant des mises en prod.

Bref, pour être confronté à tous ça, oui c'est pas glorieux, mais ça bouge, doucement, très doucement, mais ça bouge un peu.

[Invité]

Dans ma boite nous menons fréquemment des exercices afin de nous assurer être en mesure de reconstruire un systeme applicatif en cas de sinistre. Notre credo est d'avoir des politiques de sauvegarde en adéquation avec les besoins du métiers et des équipes de dev, ainsi qu'a veiller à une parfaite redondance des données.

C'est nécessaire car les contrainte subies par les interlocuteurs métiers font que les fenêtres adéquates au passage de patch ne sont la plupart du temps ouvertes que le week-end ou bien hors des périodes de clôture comptables, etc... Certains patchs peuvent attendre un reboot planifié pour être appliqués mais d'autres nécessitent la mobilisation des ressources permettant la prise des snapshots, le débranchement des BDD, l’arrêt des applicatifs, l'installation du package et l’édition des crontabs... Le tout sous bonne garde des équipes de dev. C'est une organisation de malade et tout les monde ne peut pas être servi en même temps, d'où l’importance d'une politique de sauvegarde au petits oignons.

Les véroles de type Wannacry ou Stack Clash sont un réel surcoût pour les entreprises et cela justifie amplement la prise de conscience sur les problématique de sécu évoquées par marsupial. Toutefois j'entends tout à fait que certaines boites doivent patienter plusieurs semaines avant de mener à terme une campagne de déploiement de correctifs. Ce n'est pas forcement de l'irresponsabilité mais d'avantage un problème lié au fait que les ressources de personnel IT d'une entreprise sont limitées tandis que la diffusion de malwares est par définition imprévisible.

[CoderInTheDark]

Il faut aussi se méfier des correctifs.
La faille spectre est un bon exemple.
Il a fallu des patch anti patch de sécurité.

Alors le temps de valider qu'il n'y a pas de régressions ça prend du temps.
Ils n'en parlent pas dans l'artivle

[sergio_is_back]

Ils prennent en compte les PME dans leurs stats ? Si non alors on devrait être plus prêt des 98%

[cirle78]

Vous prenez des entreprises full MS, avec des applications métiers, il faut toujours tester qu'il n'y a pas de régression ou dysfonctionnement suite à une mise à jour, cela prend du temps.

Dans des réseaux d'entreprise j'ai même eu des PC non mis à jour, mis en carafe suite à des mises à jour par la DSI centrale , qui mettait des MaJ en partant du principe que les MaJ étaient faites sur les postes . Et ces MaJ avaient besoin de patch pas encore sur les machines.

De plus les MaJ MS pour Office365 et WIN10 deviennent monstrueuses , charges réseaux, obligation d'avoir des DP en local pour éviter la saturation...

Vous prenez les MaJ majeurs de Win10 , c'est toujours une roulette russe pour savoir si le PC va redémarrer après et au cas où réparable ... la suppression de programme sans prévenir, en entreprise on n'a pas que des OS neuf, ils vivent avec des installations métiers non gérées par les DSI ... Win10 n'aime pas SEP trop intrusif pour lui