Patch management : le jeu du patch et de la souris

Maintenez vos systèmes à jour : voilà bien le seul conseil de sécurité universel que l’on peut donner aux départements IT. Une règle de plus en plus difficile à appliquer alors que les systèmes d’information se complexifient sans que les effectifs ne suivent.

Zero days, vulnérabilité exploitée par un hacker de génie, intrusion dans un système et fuite de données : telle est l’image d’Épinal que le grand public se fait de la cyberattaque. La réalité est plus nuancée – et bien souvent moins spectaculaire. Lorsqu’une faille de sécurité est découverte ou rendue publique, c’est rarement la réactivité de l’éditeur de la solution qui pose problème : la mise à disposition d’un correctif est généralement rapide, et la vulnérabilité est labellisée et référencée afin de permettre aux utilisateurs de la solution d’avoir de la visibilité sur la gravité et le risque associés. Reste à appliquer le correctif sur les systèmes concernés, et voilà une affaire rondement menée.

Et c’est là que le bât blesse. « La majorité des cyberattaques exploitent des vulnérabilités connues, pour lesquelles un correctif est déjà disponible, nous déclare Maxime Bollia, consultant en cybersécurité chez EY. L’attaquant est rarement le découvreur de la vulnérabilité en question : il se préoccupe surtout de passer les murailles du système pour y déposer le payload qui lui permettra, au choix, de mettre en péril la disponibilité, l’intégrité ou la confidentialité des informations de l’entreprise. Son pari : quoique le correctif existe, il est probable qu’il n’ait pas été appliqué sur les systèmes concernés. »