Ne négligez pas les indispensables mises à jour de sécurité de vos logiciels !

Ces dernières années, Patrick Coomans, Expert Digital products & Entrepreneurship chez Agoria,  a donné de nombreuses formations sur la cybersécurité dans des entreprises et également animé plusieurs réseaux d'apprentissage dans ce domaine. Les participants s’accordent toujours à dire qu'il est en effet très important d'installer rigoureusement les dernières mises à jour de sécurité partout. Surtout après qu'il leur fait une petite démonstration de piratage. Mais lorsqu'on approfondit la question, Patrick constate qu'il existe encore de nombreuses réserves quant à la praticabilité de cette mesure. Et que cette réserve se transforme rapidement en un « oui, mais...». C'est pourquoi, dans cet article, il vas aborder un peu plus en détail l'importance des mises à jour de sécurité, ainsi que certains défis et objections, et la manière de les appréhender.

Les logiciels deviennent de plus en plus complexes et contiennent de plus en plus de lignes de code. Les logiciels sont conçus par des êtres humains et ceux-ci commettent des erreurs. Certains bogues dans les logiciels peuvent permettre aux pirates d'accéder à nos appareils, à nos mots de passe et à nos données. C’est ce qu’on appelle les vulnérabilités ou failles de sécurité. Malheureusement, la quasi-totalité des actes de cybercriminalité sont le fait de pirates informatiques qui exploitent ces vulnérabilités dans les logiciels. Sans vulnérabilité, pas de pirates informatiques, ou du moins presque pas.

Chaque fois qu'une nouvelle faiblesse du logicielle est découverte, vous pouvez comparer cela au début d'une grande vente dans un magasin, et à la ruée qu’elle provoque. Dès qu’ils découvrent une telle faille, les cybercriminels et les acteurs liés à certains régimes s’empressent de développer le plus rapidement possible des « exploit toolkits » qu'ils peuvent utiliser pour tirer parti de cette nouvelle vulnérabilité. Généralement, le développement d'une telle boîte à outils prend quelques jours ou quelques semaines, mais nous remarquons que cette durée a tendance à se raccourcir de plus en plus.

Heureusement, avant d’annoncer une vulnérabilité, les éditeurs de logiciels attendent qu’ils aient développé une solution et qu’ils puissent proposer une mise à jour de sécurité. Mais parfois, ce n'est pas le cas, et nous appelons cela des vulnérabilités « zero-day », c'est-à-dire des vulnérabilités pour lesquelles il n'existe pas encore de mise à jour de sécurité.

Pour les chercheurs en cybersécurité, le délai d’exploitation (« time-to-exploitation ») est un indicateur important. Il indique l'efficacité des cybercriminels par la mesure du temps qui s'écoule entre le moment où une vulnérabilité logicielle est connue et celui où il est constaté que les entreprises peuvent être attaquées effectivement par l’exploitation de cette faille.

En 2018, il fallait encore 352 jours en moyenne aux cybercriminels pour exploiter efficacement de nouvelles vulnérabilités. Cela nous laissait suffisamment de temps pour installer des mises à jour de sécurité. Cependant, année après année, Patrick Coomans a vu cette durée moyenne d'exploitation diminuer de façon alarmante :

• 203 jours en 2019,
• 126 jours en 2020,
• 51 jours en 2021,
• 9 (!!) jours en 2022.

Cette année, il y a déjà plusieurs cas documentés où de nouvelles vulnérabilités ont été exploitées en moins de 24 heures. En outre, ce n'est qu'une question de temps avant que les cybercriminels ne commencent à utiliser l'intelligence artificielle générative pour créer des outils d'exploitation à la vitesse de l'éclair.

Bien entendu, le délai entre la découverte d'une vulnérabilité et l'installation d'une mise à jour de sécurité doit être aussi court que possible, et tout le monde est bien conscient de l'urgence de cette intervention. C’est en tout cas ce dont on est en droit de s’attendre.

Malheureusement, la réalité nous montre que nous sommes beaucoup trop lents à installer mises à jour de sécurité.

Ainsi une étude récente de Statista montre-t-elle que nous ne sommes pas très performants et que l'installation des mises à jour de sécurité prend beaucoup trop de temps :

• Pour la plupart des entreprises moyennes et des PME, il faut compter en moyenne 102 jours,
• Pour les « meilleurs élèves » des secteurs critiques tels que les banques, les secteurs de l'énergie, du pétrole et du gaz, ce sont 62 jours en moyenne,
• Pour les entreprises manufacturières et de production, il faut en moyenne 14 mois,
• Et enfin, dans les soins de santé, les transports et le secteur social, il s’agit de 16 mois en moyenne.

Admettons-le, avec des cycles de mise à jour aussi lents, nous facilitons la tâche des cybercriminels. En effet, ils n'ont guère à faire d'efforts pour obtenir un accès initial en téléchargeant simplement une boîte à outils d'exploitation et en tentant ensuite, à l’aide de celle-ci, des attaques ciblées ou aléatoires contre des entreprises.

Malheureusement, les enquêtes menées après la plupart des attaques réussies montrent que, trop souvent, les cybercriminels ont pu s'introduire très facilement par le biais de failles pour lesquelles l'entreprise n'avait pas installé de mises à jour de sécurité depuis des mois. Et laisser ainsi la porte grande ouverte est bien sûr fort regrettable.

Pas assez de temps, d’autres priorités

La raison la plus fréquemment avancée pour laquelle les mises à jour sont installées tardivement est que les équipes informatiques ont d'autres priorités et n'ont donc pas le temps de s'assurer en permanence que toutes les applications sont toujours à jour. Et il est en effet peu efficace de devoir toujours mettre à jour manuellement tous les appareils lors de chaque mise à jour de sécurité.

L’automatisation constitue une solution. Et il existe les logiciels nécessaires, appelés « patch management software » ou logiciels de gestion des correctifs. Mais il ne faut surtout pas que l'automatisation vous donne un faux sentiment de sécurité : il arrive que les mises à jour automatiques ne fonctionnent pas et qu'elles nécessitent le redémarrage des appareils, ce que les utilisateurs ont tendance à repousser. Faites donc confiance à l'automatisation tout en restant particulièrement vigilant !

Une deuxième solution consiste à prévoir un moment fixe pour l'installation de toutes les mises à jour de sécurité présentant un score de risque faible ou moyen, par exemple une fois par mois, et à n'effectuer des mises à jour ad hoc que pour les questions de sécurité très importantes. Les termes utilisés pour estimer la gravité sont CVE (Common Vulnerabilities and Exposures) et CVSS (Common Vulnerability Scoring System). Chaque vulnérabilité se voit attribuer un score compris entre 0 et 10, la classification étant la suivante :

Comme exemple de vulnérabilité de faible gravité, citons le cas où le pirate doit accéder physiquement à un appareil et ne peut alors réaliser qu'une modification ayant un faible impact. Comme exemple de vulnérabilité grave,  prenons le cas d'un pirate qui, avec pratiquement pas de connaissance en la matière, peut effectuer à distance une attaque simple lui permettant de prendre immédiatement le contrôle de l'appareil avec des droits d'administration. Parmi les vulnérabilités les plus connues de ces dernières années, citons log4j/log4shell (CVE-2021-44228), VM ESXi (CVE-2019-5544 & CVE-2020-3992) et Outlook Hasrelay (CVE-2023-23397). Pour de plus amples informations à ce sujet, veuillez consulter le site cve.org.

Mais les entreprises doivent aussi prendre leurs responsabilités : la digitalisation requiert des personnes et des ressources. Parmi les nombreuses entreprises ayant été piratées, nous constatons que leurs services informatiques manquaient généralement de personnel, que les budgets consacrés à la cybersécurité étaient insuffisants et que la direction générale considérait la cybersécurité comme une simple question technique. C’est pourquoi il importe que la direction ait parfaitement conscience des risques de sécurité liés à la digitalisation et qu'elle considère la cybersécurité comme une valeur, comme un moteur de vente.

Comme autre objection légitime, citons le fait que certains appareils assument une tâche critique dans un processus important, par exemple dans un environnement de fabrication, un hôpital ou pour une application en ligne. C'est en fin de compte à l'entreprise d’estimer le risque inhérent à l’utilisation d’appareils obsolètes et vulnérables. Le gros problème est que les personnes qui prennent ces décisions ne saisissent souvent pas bien les risques de cybersécurité et acceptent ou minimisent donc des risques qu'elles ne connaissent pas suffisamment. Former et sensibiliser, tel est le message.

S'il s’avère impossible d'installer les mises à jour régulièrement, il est recommandé de prévoir des moyens techniques dans l'architecture pour que, avec un impact opérationnel minimal, certains appareils puissent être mis hors service pendant un certain temps, pour que les mises à jour de sécurité puissent être installées et que les appareils puissent ensuite être remis en service. Pensez à la déduplication, aux dispositifs de secours, à la mise en grappe, etc.

Certains appareils ne peuvent tout simplement pas être mis à jour, par exemple parce qu'ils font partie d'un processus de production certifié, ou parce qu'ils sont intégrés dans une autre machine (souvent très coûteuse), ou encore parce qu'ils ne peuvent être mis hors service qu'une ou deux fois par an.

Dans ces cas, il est absolument nécessaire de prendre un certain nombre de mesures complémentaires pour garantir que ces appareils obsolètes puissent être sécurisés au maximum et que les risques soient réduits au minimum :

• Les installer physiquement dans un réseau informatique séparé avec un pare-feu entre les deux (ségrégation des réseaux).
• Surveiller étroitement tout le trafic en provenance et à destination de cet appareil (détection et réponse du réseau).
• Supprimer tous les logiciels et protocoles inutiles de ces appareils, désactiver les services inutiles (durcissement).
• Installer un logiciel de sécurité pour détecter les anomalies et y répondre immédiatement (logiciel EDR / XDR).
• Très important : bloquer l'accès à l'internet, supprimer les navigateurs web et les clients de messagerie.
• Bloquer les ports USB afin que personne ne puisse brancher une clé USB ou un dongle 4G/5G sur l'appareil.
• Mettre en place un filtrage DNS pour cet appareil, afin que seules les requêtes DNS strictement nécessaires et inoffensives puissent être exécutées.
• Limiter les droits des utilisateurs au strict minimum absolu (en aucun cas des droits d'administrateur).
• Envisager éventuellement d'équiper le serveur de sauvegarde d'un logiciel de surveillance de l'intégrité des fichiers (File Integrity Monitoring - FIM). Il s'agit d'un logiciel qui surveille en continu que les fichiers critiques, tels que les fichiers de configuration, les scripts, les données de démarrage, etc. ne sont pas modifiés et qui émet une alarme lorsqu'ils le sont.
• Mettre également en place une politique qui limite strictement l'utilisation de cet appareil obsolète et donc très vulnérable : pas de surf, pas de lecture de courrier électronique, pas de branchement de clés USB, etc.
• Conseil : identifiez également l'appareil comme tel, par exemple à l'aide d'un autocollant de couleur et d'un câble de raccordement de couleur. Il est ainsi plus facile de déconnecter immédiatement ces appareils en cas de suspicion de cyberattaque

La pire des constatations après une cyberattaque est que celle-ci a réussi parce que les pirates ont pu s'introduire par le biais d’un appareil obsolète dont le responsable informatique ignorait l'existence dans l'entreprise. En tant que responsable IT, vous ne pouvez sécuriser que les appareils dont vous connaissez l’existence. Il est donc impératif que les entreprises sachent toujours parfaitement quels appareils, applications et données sont utilisés, tant en interne que dans le cloud. Il existe deux solutions techniques à ce problème :

Un logiciel d'inventaire (asset management) scanne régulièrement le réseau interne et inventorie et catalogue tous les appareils. Certains logiciels permettent d'identifier immédiatement si des logiciels présentant des vulnérabilités sont installés sur ces appareils (vulnerability management).

Certains outils logiciels créent également un inventaire de tout ce qui est visible depuis l'internet : toutes les applications, les environnements de test, les PLC qui sont accidentellement accessibles au public, les sites internet, etc. Pour plus d'informations à ce sujet, faites une recherche sur « external attack surface management (EASM) ».

Établissez également une politique au sein de l'entreprise qui soumet la mise en service d'appareils ou d'applications à des règles, et veillez à ce que des dispositions puissent être prises systématiquement pour installer régulièrement des mises à jour de sécurité. Veillez également à ce que, pour tous les logiciels et appareils achetés, il soit clairement indiqué où les mises à jour de sécurité peuvent être obtenues et jusqu'à quelle date.

Agoria et WalHub ont lancé cyberstart.be un e-tutoriel gratuit et original : chaque semaine vous recevez un e-mail contenant des conseils et des astuces qui vous permettent de mettre en place un plan d'action concret de cybersécurité pour votre organisation.  Découvrez ici cyberstart.be/fr et inscrivez-vous !