Sensibilisation interne

Les correctifs comme boucliers cyber : comment les entreprises peuvent-elles maîtriser la gestion des vulnérabilités ?

Temps de lecture: 11 minutes

Les correctifs logiciels n’attendent pas. Et surtout pas une violation de données qui pourrait s’avérer coûteuse pour votre entreprise.

L'exploitation des vulnérabilités est depuis longtemps une technique couramment utilisée par les cybercriminels. Mais elle est de plus en plus répandue, ce qui devrait interpeller tous les responsables de la sécurité des systèmes d'information. Selon une estimation, le nombre de cas observés d'exploitation de vulnérabilités ayant entraîné des violations de données a triplé en 2023. Et les attaques ciblant les failles de sécurité restent l'un des trois principaux moyens utilisés par les cybercriminels pour lancer des attaques par ransomware.

Alors que le nombre de CVE (Common Vulnerabilities and Exposures, soit une liste publique de failles de sécurité informatique) continue d'atteindre de nouveaux records, les entreprises ont du mal à faire face. Elles ont besoin d'une approche plus cohérente, automatisée et basée sur les risques pour atténuer les menaces liées aux vulnérabilités.

Bugs en cascade

Les vulnérabilités logicielles sont inévitables. Tant que nous créerons des codes informatiques, des erreurs humaines se glisseront dans le processus, entraînant l'apparition de bugs que les acteurs malveillants s'empressent d'exploiter avec beaucoup d'habileté. Cependant, le fait de le faire à grande vitesse et à grande échelle ouvre la porte non seulement aux ransomwares et au vol de données, mais aussi à des opérations d'espionnage sophistiquées menées par des États, à des attaques destructrices et à bien d'autres actes malveillants. Malheureusement, le nombre de CVE publiés chaque année reste très élevé, et ce en raison de plusieurs facteurs :

  • Le développement de nouveaux logiciels et l'intégration continue entraînent une complexité croissante et des mises à jour fréquentes, ce qui élargit les possibilités d'attaque et introduit parfois de nouvelles vulnérabilités. Parallèlement, les entreprises adoptent de nouveaux outils qui reposent souvent sur des composants tiers, des bibliothèques open source et d'autres éléments susceptibles de contenir des vulnérabilités non détectées.
  • La rapidité est souvent privilégiée au détriment de la sécurité, ce qui signifie que les logiciels sont développés sans vérification adéquate du code. Cela permet à des bugs de se glisser dans le code de production, provenant parfois des composants open source utilisés par les développeurs.
  • Les chercheurs éthiques redoublent d'efforts, en partie grâce à la prolifération des programmes de prime aux bugs mis en place par des entreprises aussi diverses que le Pentagone et Meta. Ces bugs sont divulgués de manière responsable et corrigés par les fournisseurs concernés, mais si les utilisateurs n'appliquent pas ces correctifs, ils s'exposent à des exploits.
  • Les éditeurs de logiciels espions opèrent dans une zone grise juridique, commercialisant des logiciels malveillants et des exploits à leurs clients – souvent des gouvernements autocratiques – afin d'espionner leurs ennemis. Le Centre national de cybersécurité britannique (NCSC) estime que le « secteur de la cyberintrusion » commercial double tous les dix ans.
  • La chaîne d'approvisionnement de la cybercriminalité se professionnalise de plus en plus, les courtiers en accès initial (IAB) se concentrant exclusivement sur la violation des entreprises victimes, souvent via l'exploitation de vulnérabilités. Un rapport de 2023 a enregistré une augmentation de 45 % des IAB sur les forums de cybercriminalité et un doublement des publicités IAB sur le dark web en 2022 par rapport aux 12 mois précédents.

De quels types de vulnérabilités parle-t-on exactement ?

Le paysage des vulnérabilités est marqué à la fois par le changement et la continuité. Bon nombre des vulnérabilités habituelles figurent dans la liste des 25 failles logicielles les plus courantes et les plus dangereuses recensées par MITRE entre juin 2023 et juin 2024. Il s'agit notamment de catégories de vulnérabilités courantes telles que le cross-site scripting, l'injection SQL, l'utilisation après libération, la lecture hors limites, l'injection de code et la falsification de requêtes intersites (CSRF). Ces vulnérabilités devraient être familières à la plupart des cyberdéfenseurs et peuvent donc nécessiter moins d'efforts pour être atténuées, soit par un renforcement/une protection améliorée des systèmes, soit par des pratiques DevSecOps améliorées.

Cependant, d'autres tendances sont peut-être encore plus préoccupantes. L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) affirme dans sa liste des principales vulnérabilités régulièrement exploitées en 2023 que la majorité de ces failles ont été initialement exploitées en tant que zero-day. Cela signifie qu'au moment de l'exploitation, aucun correctif n'était disponible et que les organisations doivent s'appuyer sur d'autres mécanismes pour assurer leur sécurité ou minimiser l'impact. Par ailleurs, les bugs peu complexes et ne nécessitant que peu ou pas d'interaction de la part de l'utilisateur sont également souvent privilégiés. Les exploits zéro clic proposés par les fournisseurs de logiciels espions commerciaux pour déployer leurs logiciels malveillants en sont un exemple.

Découvrez comment la Gestion des vulnérabilités et des correctifs ESET intégrée à la plateforme ESET PROTECT. Une solution automatisée aide les entreprises à gérer leurs correctifs et à réduire la complexité des processus informatiques.

Une autre tendance consiste à cibler les produits périphériques en exploitant leurs vulnérabilités. Le National Cyber Security Centre (NCSC) a mis en garde contre une recrudescence de ce type d'attaques, qui impliquent souvent des exploits zero-day ciblant les applications de transfert de fichiers, les pares-feux, les VPN et les solutions de gestion des appareils mobiles (MDM). Il déclare :

« Les cybermalfaiteurs ont compris que la majorité des produits exposés au périmètre ne sont pas "sécurisés dès leur conception" et que les vulnérabilités peuvent donc être trouvées beaucoup plus facilement que dans les logiciels clients populaires. De plus, ces produits ne disposent généralement pas d'un système de journalisation adéquat (ou peuvent être facilement soumis à une enquête judiciaire), ce qui en fait des points d'ancrage parfaits dans un réseau où chaque appareil client est susceptible d'exécuter des capacités de détection de pointe. »

Une situation qui s’envenime encore davantage

Comme si cela ne suffisait pas à inquiéter les défenseurs des réseaux, leurs efforts sont encore compliqués par :

  • La rapidité avec laquelle les vulnérabilités sont exploitées. Selon les estimations de Google Cloud Research , le délai moyen d'exploitation était de seulement cinq jours en 2023, contre 32 jours auparavant.
  • La complexité des systèmes informatiques et OT/IoT actuels des entreprises, qui couvrent des environnements hybrides et multi-cloud avec des technologies héritées souvent cloisonnées
  • La mauvaise qualité des correctifs des fournisseurs et la confusion dans les communications, qui conduisent les défenseurs à multiplier les efforts et les empêchent souvent d'évaluer efficacement leur exposition au risque
  • Un retard dans la mise à jour du NIST NVD, qui a privé de nombreuses organisations d'une source essentielle d'informations actualisées sur les dernières CVE.

Selon une analyse réalisée par Verizon à partir du catalogue des vulnérabilités connues exploitées (KEV) de la CISA :

  • Au bout de 30 jours, 85 % des vulnérabilités n'avaient pas été corrigées.
  • Au bout de 55 jours, 50 % des vulnérabilités n'avaient pas été corrigées.
  • Au bout de 60 jours, 47 % des vulnérabilités n'avaient pas été corrigées.

Appliquer les correctifs : une nécessité !

En réalité, le nombre de CVE publiées chaque mois est trop élevé et concerne trop de systèmes, ce qui rend la réalisation de la totalité des correctifs quasiment impossible. Il convient donc de se concentrer sur une hiérarchisation efficace en fonction du danger. Tenez compte des fonctionnalités suivantes pour toute solution de gestion des vulnérabilités et des correctifs :

  • Analyse automatisée des environnements d'entreprise à la recherche de CVE connus
  • Hiérarchisation des vulnérabilités en fonction de leur gravité
  • Rapports détaillés permettant d'identifier les logiciels et les actifs vulnérables, les CVE et les correctifs pertinents, etc.
  • Flexibilité permettant de sélectionner des actifs spécifiques à corriger en fonction des besoins de l'entreprise
  • Options de correction automatisées ou manuelles

Pour les menaces zero-day, envisagez une détection avancée des menaces qui décompresse et analyse automatiquement les exploits potentiels , en les exécutant dans un sandbox basé sur le cloud afin de vérifier s'ils sont malveillants ou non. Des algorithmes d'apprentissage automatique peuvent être appliqués au code pour identifier les nouvelles menaces avec un haut degré de précision en quelques minutes, les bloquer automatiquement et fournir un statut pour chaque échantillon.

D'autres techniques peuvent inclure la microsegmentation des réseaux, l'accès réseau zero trust, la surveillance du réseau (pour détecter les comportements inhabituels) et des programmes de sensibilisation à la cybersécurité .

À mesure que les cybercriminels adoptent de plus en plus leurs propres outils d'IA, il leur sera plus facile de rechercher les ressources vulnérables exposées aux attaques sur Internet. À terme, ils pourraient même être en mesure d'utiliser l'IA générative pour trouver des vulnérabilités zero-day. La meilleure défense consiste à rester informé et à entretenir un dialogue régulier avec vos partenaires de sécurité de confiance.

Lire plus