Les attaques ‘zero-day’ visent des vulnérabilités pour lesquelles aucun correctif de sécurité public n’existe. Dans la mesure où ces menaces peuvent encore évoluer, elles sont à la fois plus dangereuses et plus difficiles à contrer. Leur singularité est telle que les organisations peuvent avoir une faille hautement exploitable sans même s’en rendre compte. Cette typologie de menaces, plus coûteuse à mettre en œuvre pour les assaillants, n’en demeure pas moins utilisée.
8 millions d’euros ! C’est le prix de vente annoncé pour une vulnérabilité de type ‘zero-day’ d’Apple en août 2022]. Vous l’aurez compris : aussi exorbitant soit-il, ce prix reste donc acceptable pour les acteurs malveillants. Leur business criminel est suffisamment lucratif pour leur permettre de rentabiliser leur investissement.
Dans la course incessante à laquelle assaillants et organisations se livrent, comment les entreprises peuvent-elles disposer d’une longueur d’avance ?
Les attaques ‘forever-day’ : une autre source d’inquiétude
L’absence d’un correctif accessible au public désavantage les entreprises face aux vulnérabilités de type ’zero day’. Il en va de même pour les vulnérabilités ‘forever-day’ qui apparaissent lorsque les logiciels ou les systèmes d’exploitation concernés ne sont plus pris en charge par le développeur, ou lorsque le matériel a un cycle de vie court et programmé.
Ces failles exploitables, que l’on peut notamment trouver avec certains appareils IoT, ne seront jamais corrigées par le fournisseur ! Elles constituent pourtant une porte d’entrée aux systèmes et données de l’organisation, voire plus. Je pense notamment aux dispositifs médicaux et industriels qui exposent les patients et la chaîne de production, et pour lesquels les fabricants interdisent l’application de correctifs logiciels par un tiers afin de préserver l’intégrité de leurs appareils. Certains vont même jusqu’à en faire une condition de vente : si un client tente d’appliquer lui-même un correctif de sécurité, il pourrait se voir invalider sa garantie.
L’enjeu pour une organisation n’est-il pas d’être capable de surveiller en permanence les activités suspectes à l’intérieur de ses réseaux afin de pouvoir prévenir et agir en cas d’attaque, tout en étant protégée ?
L’alternative du patch virtuel
Les patchs virtuels, développés et publiés par les acteurs du marché, souvent plusieurs mois avant la disponibilité des patchs publics, permettent aux organisations de bénéficier d’une solution temporaire permettant d’atténuer les risques d’exploitation associés à ces nouvelles vulnérabilités. Ces correctifs, capables de protéger les systèmes sans toucher au code du logiciel, sont un atout en matière de sécurité prédictive. Ils peuvent être appliqués sans qu’il soit nécessaire de redémarrer l’intégralité du système et ils éliminent les exploitations potentielles des failles de sécurité applicatives ou systèmes identifiées par les assaillants.
Par leur agilité, les correctifs virtuels représentent également une solution de sécurité adaptée aux technologies opérationnelles (OT) de plus en plus exposées aux attaques. Gartner anticipe d’ailleurs une recrudescence des attaques sur ces réseaux OT, qui s’explique par le fait que certains systèmes OT n’ont pas été considérés et pris en charge depuis plus de 20 ans !
Un fait qui implique de prendre réellement la mesure de l’environnement dans lequel l’entreprise évolue pour avoir la capacité d’évaluer les possibles vulnérabilités et potentielles portes d’entrée.
Contextualiser le risque de cybersécurité : un impératif
La clé d’une gestion avancée des correctifs de sécurité consiste à abandonner la notation simpliste de criticité et à évaluer plutôt le risque dans le contexte des besoins de l’entreprise et de l’environnement réel de menaces. Une approche qui permet de prendre de meilleures décisions à appliquer immédiatement.
Toutefois, à mesure que les organisations migreront vers des modèles SaaS pour leurs applications, la contrainte de suivre le rythme des correctifs diminuera. Les applications SaaS ne nécessitent que peu, voire pas du tout, de gestion et aucune maintenance de la part du client. En effet, c’est le fournisseur qui est chargé de l’application des correctifs de fonctionnalités et des correctifs de sécurité. Lorsqu’une vulnérabilité est découverte, elle est corrigée dans le cloud et appliquée automatiquement à l’ensemble des utilisateurs.
En attendant de migrer vers un modèle SaaS, l’organisation doit garder à l’esprit que déployer de bons correctifs peut néanmoins, temporairement, mettre son système hors service. Elle doit donc avoir établi une stratégie d’action qui impliquerait la possibilité de revenir à des versions logicielles antérieures – un point à étudier au préalable avec ces fournisseurs. Cette possibilité peut s’avérer déterminante dans certains cas pour éviter la situation de crise à laquelle SolarWinds a été confronté en 2021 après que des mises à jour infectées aient été diffusées à son insu.
La technologie continue de progresser, tout comme la sophistication des cyberattaques. Les vulnérabilités de type ‘zero day’ et ‘forever-day’ demeureront une réalité. Toutefois, les avancées des solutions de sécurité alimentées par les dernières technologies telles que l’IA et les stratégies proactives de gestion des risques portées par les organisations offrent des voies prometteuses pour une meilleure cyber-résilience. En restant informées, en investissant dans des mesures préventives et en encourageant une culture de sensibilisation à la sécurité, les organisations se donnent les moyens de mettre en place des défenses solides et d’assurer leur pérennité dans un monde numérique de plus en plus challengeant.
____________________________
puis