En matière de sécurité, on observe un paradoxe : les vulnérabilités pourtant connues, avec des correctifs disponibles, restent mal gérées. Il est tentant de recruter toujours plus d’experts pour faire face. Une fausse bonne idée… 48-57-64 : il ne s’agit pas d’une partie de la combinaison gagnante du prochain loto.
C’est l’illustration d’un double paradoxe qui caractérise les pratiques de sécurité. Le premier : les entreprises victimes de brèches de sécurité (48 % au cours des douze derniers mois, au niveau mondial, selon une étude Ponemon Institute-ServiceNow) avaient parfaitement les moyens de les colmater en amont, ou, du moins, de retarder l’issue quasi-fatale pour leurs données et leurs systèmes d’information.
En effet, 57 % de ces entreprises victimes l’ont été par exploitation de failles pour lesquelles des patchs étaient disponibles. « Scanner les vulnérabilités réduit le risque de faille de 20 %, d’autant que la plupart des attaques réussies exploitent des vulnérabilités connues », assure Sami Smati, senior strategist chez ServiceNow France.
Selon Christian Hindre, directeur commercial de l’éditeur Flexera, « en 2017, 86 % des failles disposaient de patchs le jour de leur divulgation, ce qui montre clairement qu’avec des processus optimisés, il est possible d’appliquer ces correctifs avant que la probabilité que les vulnérabilités soient exploitées n’augmente. » Selon une étude Flexera, le nombre de failles enregistrées en 2017 a en effet augmenté de 14 % par rapport à l’année précédente (19 954, contre 17 147 en 2016).
Recruter plus de ressources : une efficacité à démontrer
Deuxième paradoxe : le réflexe de la plupart de ces entreprises victimes (64 %) est de chercher à recruter davantage pour étoffer leurs équipes en charge de l’application des patchs de sécurité. Certes, dans les entreprises, la multiplicité des environnements hybrides ne facilite guère la vision globale et l’exhaustivité, mais, souligne Sami Smati, « recruter davantage ne constitue pas la réponse adéquate, parce que le marché est en situation de pénurie de ressources. »
Pour lui, augmenter les ressources humaines n’augmente pas le niveau de sécurité, pour au moins trois raisons : d’abord, parce que, quelle que soit la taille de l’équipe en charge des correctifs, si l’on ne dispose pas d’une vue globale des actifs et des applications pour l’ensemble du système d’information, leur tâche va se révéler tout aussi difficile qu’avant. Dans l’enquête ServiceNow, 73 % des entreprises n’ont pas une telle vision de tous les actifs et applications, qui ne devrait pas être plus claire à mesure que les objets connectés vont envahir les systèmes d’information. Ensuite, parce qu’il n’est pas facile de tracer l’application de tel patch pour telle vulnérabilité, surtout pour les systèmes d’information étendus fonctionnellement et géographiquement.
Enfin, dans la mesure où 57 % des entreprises utilisent encore les e-mails et les tableurs pour gérer le processus d’application des correctifs, augmenter la taille des équipes augmente, par définition, le nombre d’e-mails, de coups de téléphone et la taille des feuilles de tableurs… « Beaucoup d’organisations fonctionnent encore avec un « marteau et un burin » pour gérer les correctifs de sécurité », souligne Sami Smati.
Sans parler de la coordination indispensable entre différentes équipes qui travaillent encore trop souvent en silos : selon l’étude, ce processus fait perdre en moyenne douze jours par an. « Les entreprises ont des difficultés avec les correctifs, car elles appliquent des procédures manuelles et ne peuvent distinguer les priorités », résume Sami Smati, pour qui « c’est l’automatisation des procédures de routine et la priorisation des vulnérabilités qui aideront les entreprises à éviter le « paradoxe des correctifs » et à se concentrer plutôt sur les tâches critiques, afin de réduire considérablement le risque d’un piratage. »
Une bonne et une mauvaise nouvelle : par laquelle commencer ?
Cette problématique a également été abordée lors de la conférence Cybersécurité organisée par IT For Business, en partenariat avec Best Practices. « Le seul levier d’action consiste à accroître la difficulté d’exploiter les failles, afin de mieux dévier les attaques », suggère Jean-Luc Angibault, président du cabinet de conseil Wintellis. Pour Rayna Stamboliyska, consultante en gouvernance de la sécurité et de la conformité, « beaucoup d’entreprises n’ont pas de matrice des risques à jour, elles ne savent pas quels sont les éléments du système d’information concernés par les failles, quels sont les correctifs disponibles, ni ce qui est urgent à corriger. »
Pour la consultante, les RSSI sont dans une configuration « bonne-mauvaise nouvelle » : « La bonne nouvelle, c’est que des correctifs existent, la mauvaise, c’est qu’ils sont complexes à appliquer. » En particulier dans le monde industriel. « Les solutions de surveillance doivent intégrer des contraintes, telles que les difficultés d’accès à certains équipements, l’absence de journaux embarqués ou la gestion de protocoles propriétaires », explique Olivier Ligneul, directeur cybersécurité d’EDF et vice-président du Cesin (club des responsables sécurité). Selon lui, dans le monde industriel, les vulnérabilités les plus courantes concernent la faiblesse de l’authentification et du chiffrement, la conservation de mots de passe par défaut et les difficultés de mises à jour.
Bug Bounty : le hacking devient collaboratif
L’une des approches utiles pour dénicher les failles est le Bug Bounty, qui applique les principes de l’économie collaborative aux tests d’intrusion : plutôt que d’acheter du temps de recherche en jours/homme, les organisations vont, à travers une plateforme de Bug Bounty, proposer à une communauté de chercheurs en cybersécurité d’acquérir les failles qu’ils pourraient trouver sur leurs systèmes, en indexant le prix de ces failles sur leur criticité, sur la base d’une fourchette de prix convenue d’avance.
« Le marché évolue vers le Bug Bounty privé, avec des hackers contrôlés, transparents, et une identification des failles potentielles en amont pour procéder par itérations, il s’agit d’émulation, pas de compétition. Il faut donc privilégier la qualité des résultats et de la communauté qui les a trouvés », note Fabrice Epelboin, fondateur de Yogosha, une société spécialisée sur ce sujet.
Des hackers qui ne font donc pas n’importe quoi : « On ne peut pas cibler les utilisateurs, procéder à des dénis de service, faire de l’ingénierie sociale, organiser une opération de phishing ou modifier les données », résume Christian Parrot, spécialiste en sécurité, « nous préconisons des correctifs et on reteste ensuite. »
Une telle approche est, par exemple , utilisée à la SNCF : « Nous récompensons les lanceurs de failles, dans un contexte de respect mutuel, mais c’est encadré avec la direction juridique et la communication. Cela ne doit pas être le Far-West peuplé de chasseurs de primes, mais le Bug Bounty apporte une vraie plus-value, même s’il subsiste des freins psychologiques dans l’entreprise », explique Gilles Berthelot, RSSI de la SNCF. Faire vérifier la sécurité de sa maison par un vrai cambrioleur n’est, en effet, pas encore culturellement accepté…
Les dix chiffres clés à connaître
- Les entreprises françaises passent 315 heures par semaine en moyenne, soit l’équivalent d’environ huit emplois à plein temps, à répondre aux vulnérabilités.
- Les équipes de sécurité en France ont perdu en moyenne 13,2 jours en un an à coordonner manuellement les opérations de correction entre elles.
- 66 % des entreprises françaises prévoient de recruter plus de ressources spécialisées dans les correctifs au cours des douze prochains mois (3,6 postes en moyenne).
- 56 % des entreprises disent passer plus de temps à gérer des procédures manuelles qu’à traiter les vulnérabilités.
- 55 % des entreprises françaises jugent difficile de définir ce qui doit être corrigé en priorité.
- 54 % des entreprises françaises estiment que les pirates maîtrisent mieux que les entreprises des technologies telles que l’apprentissage automatique (machine learning) et l’intelligence artificielle (AI).
- Le volume des cyberattaques a augmenté de 17,2 % l’an passé et leur gravité de 24 %.
- 47 % des entreprises françaises ont subi un piratage ces deux dernières années.
- 30 % des professionnels français de la sécurité avaient bien conscience de leur vulnérabilité avant que l’attaque ne survienne.
- 42 % des entreprises victimes reconnaissent ne pas rechercher les vulnérabilités.
Bug Bounty : les quatre étapes
- Délimiter un périmètre pour l’audit que l’on souhaite réaliser (attention aux actions sur les environnements de production).
- Déterminer le budget (entre 50 euros et plusieurs milliers d’euros pour des failles critiques).
- Déterminer une fourchette de prix pour les failles que les chercheurs d’une communauté seraient appelés à identifier.
- Collecter les rapports de faille proposés par les chercheurs, les valider en interagissant avec eux au besoin, et acquérir chaque rapport pour ensuite les faire suivre aux équipes techniques en charge de les corriger.
Source : Yogosha.
Cinq recommandations
- Dresser un inventaire objectif des capacités de réponse aux vulnérabilités.
- Gagner du temps en traitant en priorité les failles les plus accessibles.
- Éviter le temps perdu en « coordination », en éliminant les frontières entre les équipes de sécurité et informatiques.
- Définir et optimiser des procédures de bout-en-bout, puis les automatiser autant que possible.
- Retenir les compétences en se concentrant sur la culture et l’environnement.
Source : Today’s state of vulnerability response patch work requires attention, ServiceNow, Ponemon Institute.