Bonnes pratiques et expertises IT
Rechercher

Comment bien gérer les correctifs de sécurité ?

Les entreprises éprouvent toujours des difficultés à gérer les correctifs de sécurité. C’est souvent un véritable casse-tête. D’autant que 57 % des entreprises victimes de brèches de sécurité l’ont été par exploitation de failles pour lesquelles des patchs étaient disponibles. Comment faire ?

Quels sont les scénarios possibles à envisager (ou pas…), quelles sont les tendances probables ? Matthieu de Montvallon, directeur technique chez ServiceNow France, apporte des réponses à ces questions.

Pourquoi la gestion des correctifs dans les entreprises reste un casse-tête ?

Gérer les correctifs logiciels devient de plus en plus un casse-tête pour deux raisons. D'une part, on constate une explosion du volume des équipements

concernés qui sont potentiellement porteurs de vulnérabilités. Il y a de plus en plus d'éléments connectés, avec l’IoT. D’autre part, le cycle de vie de ces éléments est de plus en plus court. La volatilité augmente, notamment avec la virtualisation. En outre, l'infrastructure telle qu'on la connaissait était limitée, assez simple à appréhender, mais elle a évolué pour avoir, aujourd’hui, des limites de plus en plus floues, notamment avec le BYOD qui fait que les collaborateurs peuvent utiliser leurs propres équipements, ils sont donc porteurs de vulnérabilités. Et avec le « move to cloud », ce périmètre devient encore plus flou.

Face à cette complexité qui s’accroit, on a de plus en plus besoin de prioriser les actions par rapport à l'impact métier de telle ou telle vulnérabilité. Deuxième besoin : être capable de coordonner les équipes qui vont travailler ensemble, dans un contexte où il y a de plus en plus d’équipements à gérer. Cela suppose également une réactivité : il faut aller de plus en plus vite pour détecter et traiter les vulnérabilités.

Qu’est-ce que le paradoxe de la sécurité ?

L’étude que nous avons conduite avec Ponemon Institute montre que 66 % des entreprises ont prévu de recruter massivement des spécialistes de la Sécurité. En même temps, cette étude relève que recruter massivement ne va pas résoudre l'ensemble des problèmes. Pourquoi ? Plus des deux tiers des RSSI admettent souffrir d’un manque de visibilité. Qu'entend-on par visibilité ? C'est être capable de mesurer concrètement quel est l'écosystème de tous les équipements porteurs de vulnérabilités, à quel service métier, de façon à être capable d'anticiper l'impact métier de la vulnérabilités d'un équipement quel qu'il soit. Il faut aussi identifier les personnes qui travaillent avec ces équipements. On voit bien que, face à ce constat, recruter massivement des spécialistes de sécurité ne permet pas d'adresser cette problématique. Augmenter le nombre de spécialistes de sécurité ne va pas permettre de tracer précisément qui fait quoi, qui est en train de travailler avec tel ou tel équipement… Et à supposer que cela soit réalisé, encore faut-il disposer du bon outillage. Plus de la moitié des RSSI admettent aujourd'hui travailler essentiellement avec des e-mails, d’échanges de fichiers. Autrement dit, rajouter des spécialistes de la sécurité pour traiter les problèmes de correctifs revient tout simplement à rajouter plus de fichiers et d’e-mails. Le paradoxe de la sécurité s’exprime ainsi de la façon suivante : oui, on a besoin de recruter massivement des spécialistes de la sécurité, ce qui reste d’ailleurs une vraie difficulté par rapport à la demande sur le marché du travail, mais, en même temps, cet effort de recrutement massif ne va permettre d'adresser dans leur globalité les problématiques de sécurité.

Quels sont les scénarios possibles ?

La première solution, qui peut paraître basique, mais elle est choisie par un certain nombre d'entreprises, consiste à ne rien faire. On imagine bien sûr que cela ne coûte rien. Mais ce qui coûte cher, c’est l’impact métier. Il suffit de voir les ravages causés par Wanacry ou NotPetya pour s’en convaincre. Cette première solution est une non-solution.

Deuxième scénario possible : continuer à investir dans la sécurité mais en silos, c’est-à-dire gérer le point à point ; on se focalise sur un équipement, indépendamment des autres. C'est une approche qui coûte un peu plus cher que la précédente, mais qui est moins chère qu'une solution globale. En revanche, elle va engendrer un problème très simple de visibilité et d'incapacité à mesurer l'impact d'une vulnérabilité détectée par rapport à des services métier.

Troisième solution : externaliser la détection. C’est une approche qui est assez coûteuse. Souvent, la justification est réglementaire : en externalisant la détection, l’entreprise pense se décharger de l'impact des problèmes. Mais elle perd la visibilité globale de l’infrastructure. La quatrième solution consiste à recruter massivement des spécialistes de la sécurité. Mais on sait que ce n’est pas non plus une approche très pertinente.

La dernière solution envisageable consiste à considérer le problème des correctifs dans son ensemble et à privilégier une approche de bout en bout. Cela veut dire être capable d'outiller l'ensemble du processus de gestion des correctifs, avec une solution qui va à la fois fournir la visibilité donc les connexions entre les différents équipements, et la capacité de mesurer l'impact métier, avec une traçabilité.

Quelles sont les tendances probables ?

On peut distinguer les tendances à moyen ou long terme. Aujourd'hui, les entreprises se réapproprient les sujets de sécurité. Il y a en effet une sensibilisation de plus en plus grande à ces problèmes de vulnérabilité et de confidentialité. Les directions générales se sentent de plus en plus concernées. Souvent, la première action consiste à réinternaliser la détection des vulnérabilités. A plus long terme, la tendance est de prendre conscience que traiter uniquement la sécurité, d'un côté, et les vulnérabilités, de l'autre, c’est passer à côté des véritables impacts. Gérer de concert la GRC (gestion des risques et de la conformité) et les correctifs de vulnérabilités permet d'avoir une vision globale et, donc, d’être plus réactif.

A lire également :

  • Sécurité : des correctifs à corriger

https://www.bestpractices-si.fr/publications/management/securite-des-correctifs-a-corriger

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • Best Practices Spotlight
Symposium Gartner 2018

    Ce numéro de Best Practices Spotlight regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2018, qui s’est tenu en novembre à Barcelone.

  • La sécurité du système d’information en 180 questions

    Les cyber attaques n’ont jamais occasionné autant de dégâts dans les entreprises. Comment mieux se protéger ? Ce guide pratique regroupe les 180 questions que doivent se poser les responsables sécurité et les DSI. Avec des réponses concrètes…

  • Best Practices Spotlight 
Atlas - Édition 2018

    L’Atlas du DSI regroupe tous les sujets publiés dans le cadre du service de benchmarking et de veille Best Practices Spotlight. L’Atlas du DSI propose des articles synthétiques pour rester à l'état de l'art, des chiffres-clés pour se benchmarker, des argumentaires pour convaincre les métiers, des bonnes pratiques à partager avec vos équipes et des résumés d'études que vous n'avez jamais le temps de lire.

A ne pas manquer

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris