MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
En effet, il s’agit du Patch Tuesday, cette journée des patchs de sécurité, inaugurée par Microsoft du temps de Windows 98 et consacrée aux mises à jour mensuelles et à l’état des lieux des principales vulnérabilités et menaces connues. En tant que responsable de la sécurité informatique (CISO, Chief Information Security Officer), c’est l’occasion de réunir mes équipes pour ajuster nos stratégies de défense et faire le point des dernières avancées de l’industrie de la cybersécurité.
Chaque deuxième mardi du mois, à 10h00 (PST), Microsoft publie ses derniers correctifs en date. Pour que les équipes puissent les appliquer dans de bonnes conditions, je recommande aux CISO de prévoir des plages de temps en ce sens les mercredi et jeudi qui suivent. Mais il faut savoir que les cybercriminels vont profiter des 72 heures qui suivent la publication des correctifs pour les analyser et les déconstruire afin d’identifier ou de créer des vulnérabilités. Et comme la 72ème heure tombe le vendredi, les hackers saisissent volontiers l’occasion de lancer des attaques pendant le week-end, en l’absence des équipes IT. C’est l’un des aspects négatifs du patch : en même temps qu’il améliore la qualité globale des plateformes et des systèmes, il crée possiblement des opportunités à saisir pour les cyber terroristes. Mieux vaut donc être toujours prêt à déployer des mises à jour et des patchs dans les jours qui suivent immédiatement le Patch Tuesday pour espérer garder une longueur d’avance sur les cybercriminels.
Notre point de départ est de désigner parmi nos équipes de sécurité des responsables de l’évaluation des risques. Ces professionnels analysent de très grands nombres de machines à la recherche de vulnérabilités, qui seront classées par ordre de priorité. Des graphiques et des tableaux sont générés pour bien organiser les choses. Si vous optez pour cette organisation dans votre entreprise, je vous recommande vivement de mettre en place un roulement et de déployer dans la même journée les correctifs concernant un même type de système.
Il y a quelques semaines, plusieurs correctifs ont été publiés pour des vulnérabilités révélées dans plusieurs produits Microsoft : une vulnérabilité dans Microsoft Support Diagnostic Tool (MSDT), connue et possiblement exploitée depuis plusieurs mois (Microsoft a publié des recommandations mais a mis du temps avant de publier un correctif approprié), plusieurs vulnérabilités du serveur Exchange et une vulnérabilité RCE (Remote Code Execution) dans PPTP. Le nombre total de vulnérabilités RCE corrigées cette fois-ci était de 31, un nouveau record. Plusieurs de ces produits sont utilisés chez Acronis, dont certains sont connectés à Internet. Quand nous prenons connaissance de vulnérabilités, nous vérifions quels sont les degrés d’exposition et de sensibilité et nous établissons les priorités de déploiement des correctifs au regard de l’exposition à Internet et de la sensibilité des données liées au système vulnérable.
Comme n’importe quelle entreprise mondiale, nous ne pouvons pas opérer un reboot sans que des équipes en service en pâtissent quelque part dans le monde. Nous faisons notre maximum pour que ces opérations perturbent le moins possible les charges de travail mais nous préférons que quelques membres de l’équipe subissent des conséquences momentanées du moment que l’immense majorité de nos systèmes et les autres équipes continuent de fonctionner en toute sécurité. Les CISO doivent admettre que des temps d’arrêt sont parfois inévitables et suggérer aux dirigeants de faire preuve de souplesse quant aux délais et aux exigences lors de ces intervalles. Sans oublier bien sûr de prévenir ceux qui vont être touchés par un prochain temps d’arrêt.
Les fournisseurs en général devraient également donner la priorité au Patch Tuesday chaque deuxième mardi du mois. L’objectif est d’alléger la charge qui pèse sur les équipes IT pour qu’elles puissent se concentrer sur le déploiement des correctifs, sachant qu’elles pourront traiter d’autres priorités le restant du temps. Le mieux est d’utiliser un outil capable d’inventorier les logiciels.
La tradition du Patch Tuesday est l’une des meilleures armes permettant de maintenir les systèmes à jour et de consolider les mesures de cyber défense. C’est l’occasion pour les CISO et leurs équipes de programmer les plages de maintenance et les temps d’arrêt afin de perturber le moins possible les systèmes et le fonctionnement de l’entreprise. Les équipes qui prennent des précautions et se préparent pour le Patch Tuesday veillent à protéger leurs systèmes et les maintenir en bon état de fonctionnement tout en gagnant en sérénité quant aux injonctions à corriger les vulnérabilités et mettre à jour l’infrastructure.
Il existe des agents de cyber protection pour automatiser le déploiement mensuel des correctifs à l’occasion du Patch Tuesday. Et surtout veillez à ce que vos systèmes soient prêts et à jour dans les 72 heures, avant le départ en week-end !
