7 professionnels de la cybersécurité sur 10 trouvent que l'application de correctifs est complexe et prend du temps
Selon une étude de la société américaine Ivanti, spécialisée dans la protection des périphériques informatiques, une majorité importante de professionnels trouve que les correctifs sont très complexes. Selon eux, ils sont aussi lourds et chronophages.
Le contexte : Ivanti a interrogé plus de 500 professionnels de l'informatique et de la sécurité d'entreprise en Amérique du Nord, en Europe, au Moyen-Orient et en Afrique.
71%. C’est le pourcentage d’experts pensant que les correctifs apportés à la suite de failles sont problématiques et pas assez simples. Dans le détail, plus de la moitié d’entre eux (57%) a déclaré que le télétravail dû à la pandémie de covid-19 a davantage complexifié l’ampleur de la gestion des patches.
La preuve par l’exemple : en 2017, l’attaque par ransomware WannaCry a infecté 200 000 ordinateurs dans 150 pays. Cela illustre les graves conséquences qui surviennent quand les correctifs ne sont pas appliqués rapidement. Un patch pour la faille exploitée par le rançongiciel existait déjà depuis deux mois avant l’assaut. Mais beaucoup d’entreprises ne l’ont pas appliqué . Les stigmates restent, quatre ans plus tard : selon un avis de sécurité de l’entreprise américaine ExtraHop Networks, paru cette année, deux tiers des sociétés n’ont toujours pas appliqué de correctif à leurs systèmes.
Pourtant, les compagnies sont encore dans le viseur du groupe de ransomware WannaCry. Le fournisseur mondial de systèmes de cybersécurité Checkpoint a constaté une augmentation de 53% du nombre d’organisations touchées par WannaCry, au cours du premier trimestre 2021. Le problème pour appliquer les correctifs se trouve dans un manque de ressources et de fiabilité. 62% des personnes sondées ont déclaré que procéder à des patches est une procédure souvent reléguée au second plan. 61% estiment que leurs collègues repoussent les opérations de maintenance car ils ne peuvent pas arrêter leurs activités.
Parmi les personnes interrogées, beaucoup pensent ne pas pouvoir réagir assez vite. 53% des personnes ayant répondu à l’étude considèrent l’organisation et la hiérarchisation des failles critiques comme très chronophage. C’est ensuite l’émission de résolution pour les patches qui ont échoué (19%), le test des correctifs (15%) et enfin la coordination avec les autres départements (10%). Chiffre encore plus significatif : près de la moitié des sondés (49%) estime que les protocoles actuels de gestion des correctifs de leur entreprise ne permettent pas d’atténuer efficacement les risques.
Mais comment régler ces problèmes ? En adoptant une approche fondée sur le risque afin d’identifier et hiérarchiser les faiblesses en matière de failles. Cela pourrait permettre d’accélérer les processus correctifs. À ce sujet, Anne Neuberger, responsable de la cybersécurité appartenant à l’administration Biden, a publié une lettre ouverte en juin. Elle indique vouloir encourager les sociétés à utiliser une stratégie reposant sur les risques pour gérer les patches et renforcer la cybersécurité.
Outre cette missive, le cabinet de conseil américain Gartner a publié, en février, une note sur son site web. Il a classé la gestion des vulnérabilités, fondées sur les risques, comme premier projet de sécurité sur lequel les experts devraient se concentrer cette année.