Pour certains professionnels de la sécurité, la gestion des correctifs peut se résumer au slogan de Nike : Just Do It (Il suffit de le faire). Mais comme quiconque a déjà géré un réseau le sait, la gestion des correctifs n’est pas aussi simple qu’une phrase accrocheuse. Il existe certes de nombreux exemples où des correctifs de vulnérabilités critiques pourraient être facilement appliqués et ne le sont pas, mais il arrive également qu’un système ou un logiciel ne puisse pas faire l’objet d’un correctif pour des raisons parfaitement valables, comme dans le cas de systèmes de production qui ne peuvent en aucun cas être mis hors ligne (par exemple, dans un environnement de soins de santé). C’est également le cas des systèmes obsolètes dont les dépendances se rompraient si un correctif était appliqué. En outre, il se peut que le correctif lui-même introduise des vulnérabilités supplémentaires qui obligent l’équipe informatique à revenir à sa version antérieure. En gardant tout cela à l’esprit, de nombreuses violations de données notoires peuvent être attribuées à une absence de correctif. Equifax, WannaCry, le service national de santé britannique : toutes ces violations de données ont pour origine des systèmes non corrigés.
Si une entreprise ne corrige pas les vulnérabilités connues, elle en accepte les risques, de manière flagrante ou tacite. Le fait que le risque existe ne signifie pas qu’il doit être atténué à tout prix,¹ mais que les personnes responsables doivent connaître ou estimer et communiquer les risques associés à leur action ou à leur inaction. Dans le cas des risques de cybersécurité induits par des décisions concernant la gestion des correctifs, l’entreprise doit être informée du fait que les vulnérabilités du système X pourraient entraîner un accès à distance de Y par un tiers non autorisé, la perte de données, un déni de service, l’introduction de logiciels malveillants, etc. Mais avant que tout cela ne se produise, les équipes informatiques et chargées de la sécurité doivent améliorer leurs méthodes de gestion des correctifs. Il existe tout simplement trop de vulnérabilités signalées et publiées pour qu’une entreprise puisse se contenter de « simplement le faire », et une méthode ad hoc ou au cas par cas de gestion des correctifs entraînera certainement l’oubli de correctifs critiques, une application incorrecte de correctifs, l’acceptation involontaire de risques inconnus/imprévus/non intentionnels, ou pire encore.
Les entreprises ont besoin d’une meilleure approche. Selon Dave Lewis, conseiller RSSI chez Duo Security, « les sociétés doivent apprendre à mieux appliquer les correctifs, à le faire plus intelligemment et à améliorer la qualité et la facilité d’application des correctifs ». La façon dont mettre en place un programme complet de gestion des correctifs ne relève pas de cet article de blog, mais un élément qui peut certainement aider les équipes informatiques et chargées de la sécurité à adopter une stratégie de gestion des correctifs implique la mise en œuvre d’un réseau Zero Trust.
Les défis des réseaux modernes
Les réseaux des entreprises ne sont plus les architectures plates, gérées en interne et sur site du passé. L’introduction du cloud et des environnements virtuels, le BYOD (qui consiste à utiliser des appareils personnels dans un contexte professionnel), les réseaux distribués, etc. ont fondamentalement changé la façon dont les équipes informatiques et chargées de la sécurité doivent travailler. Étant donné que la gestion des correctifs et d’autres initiatives de cybersécurité peuvent affecter la disponibilité et la fiabilité des réseaux dynamiques et auto-évolutifs actuels, les équipes technologiques doivent trouver de meilleurs moyens d’aborder le problème de front.
Depuis que je travaille dans le domaine de la sécurité, et même bien avant, les professionnels ont toujours clamé : « Ne conservez pas tout dans un seul endroit ! ». Cependant, la segmentation du réseau peut se révéler un processus difficile, long et coûteux. Par conséquent, tout comme pour la gestion des correctifs, la segmentation (et la nouvelle « microsegmentation ») a été délaissée au profit de tâches plus faciles à accomplir. À vrai dire, lorsqu’on utilise des technologies et des processus historiques ou traditionnels, la segmentation/microsegmentation peut frustrer même les plus habiles des professionnels des réseaux. La segmentation peut toutefois constituer un moyen efficace de mieux gérer les systèmes critiques pour l’entreprise et les mises à jour indispensables de ces systèmes.
Bienvenue dans l’univers du Zero Trust
Zero Trust bouleverse les concepts traditionnels de mise en réseau. Au lieu de la méthode de gestion de l’accès au réseau de l’entreprise basée sur le principe « faire confiance mais vérifier », Zero Trust impose de vérifier tout le trafic, les utilisateurs, les applications, les hôtes, etc. à l’aide d’un ensemble d’attributs immuables qui créent une « empreinte digitale » avant d’autoriser la communication. En outre, lorsqu’une application/un processus/un utilisateur/etc. est vérifié, la confiance accordée ne s’applique qu’à cette seule connexion ; chaque fois qu’une communication est initiée sur un réseau Zero Trust, « l’entité » qui tente de se connecter doit être vérifiée à nouveau pour garantir qu’un acteur malveillant n’a pas intercepté la communication, ne se dissimule pas dans des contrôles approuvés ou n’a pas introduit de programme malveillant dans le système.
Quel est le rapport avec la gestion des correctifs ? Dans un réseau Zero Trust, tous les systèmes (serveurs, applications, bases de données, hôtes, etc.) fonctionnent selon le principe de l’accès basé sur le moindre privilège. Seuls les systèmes/applications/etc. qui requièrent un accès à un autre système/application/etc. sont automatiquement configurés pour émettre et recevoir des communications à partir d’autres connexions réseau. En revanche, dans un réseau traditionnel, jusqu’à 98 % du réseau est constitué de voies de communication inutilisées et non gérées. Cela signifie que tant les applications/services légitimes que le trafic malveillant peuvent communiquer par ces voies. À l’inverse, Zero Trust bloque toutes les voies de communication inutilisées ou inutiles, réduisant ainsi le champ des entités pouvant communiquer. Par conséquent, la probabilité qu’un exploit affecte un système non corrigé est également réduite puisque moins de ressources communiquent avec celui-ci.
En outre, les empreintes digitales créées pour un réseau Zero Trust comprennent les noms de produits ou d’appareils, les versions et les niveaux de correctifs, ce qui signifie que les administrateurs système peuvent être alertés de tout problème de gestion des correctifs et prendre la meilleure décision pour l’entreprise. Les équipes chargées de la sécurité peuvent, par exemple, mettre en place une politique qui stipule : « Si la version 2.3 d’Apache en cours d’exécution ne correspond pas à la version 2.3.35 ou 2.5.17, signaler la connexion ». Sachant cela, l’équipe chargée de la sécurité peut décider soit de segmenter l’application jusqu’à ce qu’elle soit corrigée (ce qui ne se produirait probablement que dans des cas extrêmes), soit d’accepter le risque de ne pas appliquer le correctif et d’en expliquer les raisons à l’entreprise.²
Les outils de gestion des correctifs peuvent évidemment aider les entreprises à contrôler ce qui se passe dans leurs divers écosystèmes de réseaux, mais ils ne peuvent pas empêcher les logiciels de communiquer si un programme malveillant s’introduit dans le système avant qu’un correctif ait été appliqué ou même développé. En isolant et en contenant les ressources critiques dans un réseau Zero Trust, les entreprises peuvent identifier une vulnérabilité non corrigée avant qu’elle ne soit exploitée. En outre, la gestion des correctifs ne peut être utile que si un correctif est disponible ! Pour les attaques de type zero-day et d’autres situations où il n’est pas possible d’appliquer un correctif, comme celles mentionnées au début de cet article, les entreprises doivent « concevoir des systèmes comme si les menaces zero-day étaient toujours présentes et qu’aucun correctif n’était disponible », écrit Adrian Sanabria, fondateur de Security Weekly Labs, dans un article de blog sur l’exploit Apache Struts. Le réseau Zero Trust permet de renforcer les systèmes indépendamment du niveau des correctifs tout en offrant aux entreprises un moyen plus intelligent de contrôler les correctifs qui pourraient leur éviter de devenir le prochain Equifax. Zero Trust fournit le contrôle précis d’un environnement réseau distribué que les équipes chargées de la sécurité réclament, tout en permettant aux entreprises d’aller de l’avant sans introduire de risques inutiles ou non gérés.
1. Selon Kenna Security et Cyentia Institute, si 23 % des vulnérabilités publiées sont associées à un code d’exploitation, moins de 2 % des vulnérabilités publiées ont été réellement exploitées, ce qui fait de la remédiation traditionnelle un processus particulièrement inefficace, coûteux et extrêmement long.
2. Il est important de souligner que, selon le rapport Kenna/Cyentia « Prioritization to Prediction », il est difficile de prédire quels CVE signalés constitueront des exploits et continueront à poser des problèmes, même dans un environnement Zero Trust. De plus, certains CVE sont exploités avant même d’être publiés, ce qui diminue l’effet de la remédiation quel qu’en soit le procédé.