Jean-Francois Beauzel

La gestion des mises à jour : Une ligne de défense négligée

Gestion des mises à jour: EternalBlue (MS17 – 010) est un exploit utilisant une faille de sécurité présente dans la première version du Protocole SMB.

Cette vulnérabilité a permis au ransomware ‘WannaCry’ de se propager. En cause, le fait que des utilisateurs Windows n’avaient toujours pas installé le correctif de sécurité publié le 14 mars 2017.

Cette cyber-attaque met en lumière une réalité simple : la gestion des mises à jour est encore trop souvent négligée.

C’est un élément récurrent que nous rencontrons sur le terrain, lors d’audits ou de projets.

Cette situation soulève une problématique : pourquoi subsiste-il autant de vulnérabilités non corrigées ?

Il existe bien des réponses, mais dans cet article je vais me focaliser sur trois sources majeures :

Le cas des postes de travail

Pour le cas des postes de travail, si les mises à jour systèmes sont généralement appliquées de manière régulière, les applications tierces mises en œuvre dessus le sont beaucoup moins.

A cela, deux raisons, la première étant encore trop souvent liée à la liberté laissée aux utilisateurs de déployer les applications qu’ils souhaitent.

La seconde, est généralement liée à une absence, ou une mise en œuvre défaillante des outils de mise à jour.

Bien entendu, à la base, il y a toujours une absence, ou une non-application, de politique et procédures de sécurité. Enfin nous sommes toujours confrontés à la gestion de l’obsolescence.

Si les postes sous Windows 7 sont, sans surprise, encore légion, il ne faut pas oublier les générations plus anciennes, et notamment Windows XP. Cela est d’autant plus vrai dans le monde industriel.

Le cas des serveurs

Dans le cas des serveurs, la situation se complique quelque peu. En effet, la raison majeure de non mise à jour de composants reste l’obsolescence. Et cela concerne toutes les couches, Systèmes d’exploitations, middlewares et applications. En cause ?

Tout simplement que de nombreux projets de mise en œuvre de solutions ne posent pas les bases de suivi de version.

Pourtant, les contrats sont bien présents, tout le monde s’assure que l’éditeur proposera bien les mises à jour pour la durée de vie initiale de la solution.

Hélas, il n’est que trop peu souvent prévu les cycles de mise à jour, et on ne compte plus les outils business que l’on ne peut surtout pas toucher, plantés au milieu des SI, et identifiés comme composants critiques.

Et puis au milieu de tout cela, des outils intégrés aux masters, ou utilisés par un admin, laissés à l’abandon.

Il est quand même rageant de se voir fournir une machine dédiée à la mise en œuvre d’une solution de sécurité, équipée d’un célèbre lecteur de fichiers PDF vieux de cinq ans.

Affligeant de constater que deux ans après une campagne de patch urgente et massive, ayant mobilisée de nombreuses ressources, on nous livre une machine vulnérable à EternalBlue.

Oui la mise à niveau des masters, et des composants installés par défaut, sont également trop souvent négligés.

La gestion des mises à jour: par où commencer ?

Alors que faire, surtout quand on se retrouve au pied du mur de l’existant.

Avant tout, il est nécessaire d’établir une politique de sécurité qui posera le cadre de l’attendu, et qu’il faudra ensuite décliner au niveau des procédures. Ensuite, traiter la nouveauté.

Introduire dans les cycles de vie produit, les cycles de mises à jour, se poser la question de la mise en œuvre de celles-ci.

Enfin le point primordial : identifier celui, ou celle, qui sera propriétaire de cette application, et donc garant de son maintien en condition opérationnelle et de sécurité.

Une fois que le nouveau est traité, l’existant pourra concentrer votre attention. Il faudra identifier les éléments obsolètes, qui devront faire l’objet d’un projet de remplacement. Appliquer les mises à jour de sécurité qui peuvent l’être sans montée de version logicielle. Enfin, planifier les montées de version des applications et de leurs middlewares. Pour vous aider dans tout cela, iDNA peut vous proposer du conseil et des outils adaptés.

Articles associés

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Le SIEM dans tous ses états

10 février 2022
Certains prédisent sa disparition, et brandissent les SOAR (Security Orchestration, Automation and Response) et XDR (eXtended Detection and Response) comme la solution à tous nos problèmes. Avant de parler des petits nouveaux, commençons par un rapide état des lieux. Les principaux reproches que l’on fait habituellement au SIEM sont qu’il est trop complexe, génère trop d’alertes, […]
Partager cet article
Derniers articles

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

L’évolution d’Abi chez AURA IT, l’histoire d’une alternance réussie

Depuis combien de temps fais-tu partie du Groupe iDNA ? Cela sera ma 4e année en septembre, j’y ai passé 3 ans en alternance qui ont débouché sur la signature de mon premier CDI chez AURA IT, entité du groupe iDNA !   Comment s’est passée ton alternance ? Elle s’est très bien passée, j’ai […]

Amine vole avec les aigles

Flying with eagles est un court métrage qui retrace en 52 minutes les coulisses du premier stage du match de l’équipe nationale tunisienne de football américain en Tunisie ! Équipe dont Amine est le co-fondateur, et président. À l’occasion de sa sortie, voici une petite interview de notre toute nouvelle « star » internationale du Foot US.   […]