Pourquoi les mises à jour sont-elles un problème dans l’univers de la cybersécurité ?

Mises à jour et problématiques de cybersécurité | Stormshield

Ah les mises à jour… Les fameuses mises à jour à qui l’étiquette « contrainte » colle à la peau. Pourtant, les mises à jour nous veulent du bien. Et s’il est souvent difficile de faire le choix raisonnable de la sécurité informatique au détriment de la production, le sujet des mises à jour ne peut plus être repoussé à demain. Il doit, au contraire, entrer au cœur de la politique de sécurité des entreprises.

 

Pourquoi faire des mises à jour ? Les mises à jour sont-elles indispensables ? Est-ce que ça ne peut pas attendre encore un peu ? Ces questions là – et tant d’autres – se posent encore trop souvent au sein de nombreuses entreprises, pour qui hygiène numérique, protection informatique et bonnes pratiques de sécurité ne riment pas forcément avec mises à jour. Et encore moins avec priorité. La continuité de service des entreprises et leurs capacités de production restent leur objectif numéro un, le traitement des vulnérabilités informatiques arrivant souvent au second plan.

Mais si la production des entreprises ne doit pas s’arrêter, les cyberattaques ne connaissent pas de ralentissement non plus… Tant qu’il y aura des failles, il y aura des attaques. Et les mises à jour seront nécessaires pour colmater ces failles et contrer ces attaques ! Bien que leur efficacité et l’importance de les réaliser n’est plus à prouver, le chemin vers une acculturation reste semé d’embuches. Au sein des entreprises, un tourbillon d’impératifs et d’ambivalences les obligent à mener de front les exigences opérationnelles et la lutte contre les risques cyber qui pèsent sur leur activité.

 

Mises à jour négligées et systèmes vulnérables

Les bugs et vulnérabilités dont il est question ici, documentés et publiés par les acteurs de la cybersécurité, peuvent aller du petit bug à la vulnérabilité critique. Et si ces informations sont destinées aux entreprises, les attaquants en bénéficient tout autant… Les systèmes qui ne sont pas mis à jour sont donc particulièrement vulnérables aux cyberattaques. « Les attaquants mettent en place des systèmes de prise d’empreintes, à savoir des scans de réseaux et d’environnements qui permettent d’identifier les machines, pour détecter facilement et rapidement les postes attaquables, en l’occurrence ceux qui ne sont pas mis à jour », détaille Guillaume Boisseau, du Département des Professional Services de Stormshield. Indéniablement, les systèmes non mis à jour sont autant de possibilités pour les attaquants de perpétrer des actes malveillants. « Les attaquants vont développer leur attaque en profondeur au niveau d’un système d’information, surtout lorsque l’on a affaire à de vieux systèmes comportant des vulnérabilités bien connues et exploitées par des réseaux malveillants », ajoute Maxime Nempont, Technical Leader Sécurité chez Stormshield.

Quand il est question de postes non mis à jour, le ransomware Wannacry fait figure d’illustration parfaite de la vulnérabilité des postes. En mai 2017, le ransomware s’était répandu, grâce à une vulnérabilité sur les environnements Windows, au sein des systèmes qui n’avaient pas corrigé la faille de sécurité. Deux mois avant l’attaque, Microsoft avait pourtant publié le correctif de sécurité liée à cette faille, et alerté sur sa criticité. Résultat des courses : 150 pays ont été paralysés par la cyberattaque Wannacry, et les pertes financières se comptent aujourd’hui en milliards de dollars.

Wannacry est une photo de la réalité que l’on connaît aujourd’hui encore : de nombreuses entreprises n’identifient pas encore clairement l’enjeu qui se cache derrière le fait de réaliser ses mises à jour, et de les réaliser dans un temps le plus court possible, pour réduire la fenêtre de tir des attaquants.

Les mises à jour, c’est un peu comme un rendez-vous chez le dentiste : si vous faites des points de contrôle régulièrement, vous n’avez que des choses mineures à traiter à chaque fois. À l’inverse, si vous restez trop de temps sans vous faire soigner, les choses s’aggravent.

Guillaume Boisseau, Département Professional Services de Stormshield

En mai 2019 cette fois-ci, Microsoft publiait une faille de sécurité sur l’un de ses composants système. Baptisée « BlueKeep », cette faille aurait pu avoir la même ampleur que Wannacry si elle avait été exploitée à grande échelle. Si les chercheurs en cybersécurité ne peuvent pour l’instant pas affirmer une exploitation de grande ampleur de BlueKeep par des attaquants, le risque a bien existé. Car un mois après la révélation de la faille et la publication du correctif par Microsoft, près d’un million de systèmes étaient toujours exposés et vulnérables. Soit autant de portes d’entrée possibles pour l’écosystème malveillant…

« Certaines entreprises ne réalisent pas leurs mises à jour car il leur manque des procédures pour apporter un cadre au bon déroulement de celles-ci (comme l’absence d’environnements de test par exemple), et les mises à jour s’empilent, et le risque augmente. C’est un peu comme un rendez-vous chez le dentiste : si vous faites des points de contrôle régulièrement, vous n’avez que des choses mineurs à traiter à chaque fois. À l’inverse, si vous restez trop de temps sans vous faire soigner, les choses s’aggravent. C’est un peu la même chose avec les mises à jour ! », partage Guillaume Boisseau.

Le spectre de Wannacry semble revenir régulièrement : cette année, une autre faille importante liée au système d’exploitation Windows a été détectée, sous le nom de SMBGhost. Une vulnérabilité qui se trouvait sur le même protocole que celui visé par Wannacry, et dont l’exploitation aurait pu être catastrophique.

Les attaques ciblant les systèmes qui ne sont pas mis à jour ont le vent en poupe, et ce n’est pas près de s’arrêter ; à la fois simples à réaliser et bien documentées, elles cumulent des atouts auxquels les attaquants sont sensibles. La réalisation des mises à jour doit donc plus que jamais être considérée comme une priorité par toutes les entreprises, peu importe le secteur, et faire partie intégrante de la culture des organisations.

 

Concilier cybersécurité et impératif opérationnel : entre Graal très convoité et éternel paradoxe

Les mises à jour logicielles, d’applications ou encore d’appareils se retrouvent, encore et toujours, au cœur d’une dualité forte, avec ce double objectif de garantir la sécurité et de tenir compte des contraintes opérationnelles inhérentes à toute activité.

Car si les mises à jour sont bien là pour corriger des bugs et patcher des vulnérabilités critiques, elles peuvent aussi apporter leur lot de contraintes aux entreprises. Dans l’industrie et les réseaux opérationnels (OT), les mises à jour sont particulièrement redoutées car elles peuvent entraîner des effets indésirables, comme un arrêt prolongé de la production. Et même une fois la mise à jour effectuée, la reprise du système est également un moment surveillé de près dans le monde industriel. Par effet de rebond, des impacts imprévus peuvent entraîner une baisse de la production impactant le chiffre d’affaires. « Évaluer la nécessité d’une mise à jour en faisant une analyse de risque et planifier celle-ci en mesurant l’incidence sur la production sont donc des dimensions obligatoires à prendre en compte dans l’industrie, souligne Florian Bonnet, Directeur du Product Management chez Stormshield. C’est pour cela que les cycles de maintenance doivent faire l’objet d’une vraie préparation et programmation dans le monde industriel ».

Mais les contraintes ne se situent pas qu’au niveau de l’OT, et d’une manière plus générale, les mises à jour peuvent entraîner des régressions et rendre un site web indisponible, ou encore faire perdre du temps aux utilisateurs, qui se voient contraints de redémarrer leurs équipements et de cesser leurs tâches bureautiques durant un certain temps. Ces mêmes mises à jour qui peuvent aussi s’avérer contraignantes en raison des composants qu’elles embarquent, et impacter directement des logiciels ou applications en cours de développement – au grand dam des développeurs ! – ou sur les applications déjà déployées sur le poste.

Que l’on soit à la tête d’une usine de production de textile, développeur web, ou le commun des mortels assis à son bureau, les mises à jour sont donc le plus souvent subies, et peuvent générer inquiétude et réticence quant à leur mise en œuvre. La question des mises à jour est ainsi tout aussi complexe que paradoxale.

 

La question de l’impact des mises à jour

Mais alors, faut-il faire ou ne pas faire ses mises à jour ? Mettre à jour ou ne pas mettre à jour ? Telle est la question ! Et pas des moindres : en fonction des contraintes opérationnelles et des environnements de travail (environnements de production, applications utilisées, etc.), les mises à jour peuvent s’avérer très complexes, voire impossibles. « Il y a un travail à réaliser en amont d’une mise à jour, pour être capable de déterminer si elle peut être susceptible d’impacter le poste ou l’environnement de travail. Pour les environnements sensibles et les systèmes critiques par exemple, il est nécessaire d’envisager un univers de pré-production, dans le cas où la mise à jour entraînerait un dysfonctionnement du système – ou une modification de son fonctionnement », explique Guillaume Boisseau.

Il faut donc partir du principe que, dans le monde merveilleux des mises à jour, procédures de contrôle et anticipation sont les maître-mots, y compris dans le cas de mises à jour automatisées (pc, tablettes, etc.), pour lesquelles il faut aussi être capable de vérifier la fiabilité et de limiter les risques. « Dans l’IT, activer les mises à jour automatiques est possible dans l’optique des postes de travail ou de la bureautique car elles peuvent toujours être différées et réalisées à un moment plus propice », explique Florian Bonnet. Et de compléter « au niveau des serveurs IT ou dans l’OT en revanche, il n’est pas envisageable d’automatiser des mises à jour car nous sommes sur des systèmes plus critiques pour lesquels les conséquences des mises à jour doivent être parfaitement maîtrisées ».

Effectivement, dans certains cas, les mises à jour sont impossibles à réaliser telles quelles, et demandent le déploiement d’architectures de haute disponibilité – voir de jumeaux numériques ou autres plateformes de virtualisation – pour les tester. Dans l’OT, cet environnement de test est donc indispensable pour évaluer les risques d’une mise à jour et éviter de perturber le système opérationnel.

D’autres scénarios rendent impossible les mises à jour, comme « lorsqu’une mise à jour entraîne une incompatibilité de l’application avec un ancien système d’exploitation, ou encore lorsqu’il s’agit de systèmes en fin de vie, pour lesquels la mise à jour et la migration sur un nouveau système deviennent trop coûteux », précise Maxime Nempont. Partant de ce constat, il n’est pas difficile d’imaginer que les entreprises vont d’abord être réticentes aux mises à jour plutôt que l’inverse – malgré les enjeux de sécurité informatique. Les éditeurs jouent alors un rôle clé, à la fois de conseil et de facilitateur, pour accompagner les entreprises dans la réalisation de leurs mises à jour et imaginer des moyens de contournement lorsque celles-ci s’avèrent impossibles. Leur objectif ? Développer les systèmes de mises à jour les plus simples possibles et faire en sorte que les entreprises puissent en bénéficier.

Mais ce sont d’abord les entreprises elles-mêmes qui doivent mesurer l’importance des mises à jour et leur applicabilité. Car ne pas réaliser ses mises à jour, c’est s’exposer aux cyberattaques, pour qui les systèmes vulnérables sont une porte d’entrée très convoitée.

 

Avoir la « culture de la mise à jour »

Si les entreprises sont globalement de plus en plus sensibles à la question des mises à jour, elles peuvent néanmoins rencontrer des difficultés dans l’évaluation ou la compréhension des risques liés à la non-réalisation de celles-ci. Par ailleurs, toutes les entreprises n’ont pas à l’esprit qu’elles peuvent être la cible d’une cyberattaque. C’est le cas dans l’OT, où la culture cyber n’est pas encore très développée. Pourtant, comme le rappelle Florian Bonnet, « la question n’est plus de savoir si l’on va être attaqué, mais quand », et d’ajouter : « l’acculturation à la mise à jour passe aussi par une acculturation à l’écosystème cyber d’une manière générale, en suivant l’actualité, en réalisant une veille… ». Il y a donc une prise de conscience à avoir, et les éditeurs sont là pour l’accompagner.

La preuve par l’exemple est une méthode qui fonctionne plutôt bien selon Maxime Nempont, pour qui « il faut prendre des cas concrets, communiquer sur des exploitations réelles de vulnérabilités critiques et faire comprendre que tout cela n’est pas que théorique ». En plus de sensibiliser, les éditeurs doivent aussi accompagner les processus de mises à jour et être précis lorsqu’ils délivrent une nouvelle version corrective pour aiguiller le client : il faut pouvoir identifier clairement s’il s’agit d’un correctif de bug ou d’un patch de vulnérabilité. « L’éditeur doit en quelque sorte justifier les mises à jour qu’il propose et bien présenter les risques associés pour rassurer une entreprise, car, d’une manière ou d’une autre, les clients seront toujours tentés de prioriser la production avant le reste », affirme Guillaume Boisseau.

La question n’est plus de savoir si l’on va être attaqué, mais quand.

La pédagogie des éditeurs est donc au cœur du processus d’acculturation des entreprises, mais pas que. Les responsables IT jouent aussi un rôle essentiel dans cette démarche. En effet, les mises à jour et les procédures associées (fréquence des mises à jour, activation de mises à jour automatiques ou non, etc.) sont de la responsabilité des départements IT, et doivent être pilotées et centralisées à leur niveau, et non au niveau des utilisateurs. Les équipes IT sont les mieux placées pour répondre correctement à la problématique des mises à jour et pour fournir les bons moyens de supervision nécessaire à leur déroulement.

 

Mais certains pays ont troqué la pédagogie contre des mesures plus coercitives, à l’instar des États-Unis, qui se sont positionnés fermement face à la récente menace de Zerologon – une faille de sécurité affectant les serveurs Windows dans les réseaux d'entreprise. Cette faille, si elle est exploitée, pourrait permettre à un attaquant de prendre le contrôle de machines vulnérables, notamment des contrôleurs de domaines. Dans ce contexte, le Département de la Sécurité nationale des États-Unis a pris un arbitrage ferme : toutes les agences gouvernementales du pays devaient avoir appliqué la mise à jour permettant de corriger cette faille avant le 21 septembre à minuit, preuve à l’appui. Pour ne pas en arriver là et donner toutes ses chances à la pédagogie, le mieux reste donc encore de mettre les moyens sur l’acculturation des entreprises, de les accompagner dans leur démarche de compréhension et de les rassurer sur leurs capacités à rester productives, tout en ayant les bons réflexes de sécurité.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Dans les infrastructures qui ont de fortes contraintes sur le déploiement des mises à jour, il est primordial de disposer de solutions de protection adéquates. Stormshield Endpoint Security offre une sécurité des postes de travail renforcée sans signatures. Ne nécessitant pas de mise à jour fréquentes pour bloquer les malwares mêmes inconnus, elle est particulièrement efficace contre les attaques qui exploitent les vulnérabilités des applications déployées dans ces infrastructures.
En cas d’intrusion, le déploiement de solutions de protection réseau limite la propagation de l’attaque au sein de l’infrastructure. Grâce à Stormshield Network Security, mitigez le risque en cas de retard dans l’application des mises à jour en segmentant vos réseaux sans modifier l’infrastructure opérationnelle existante, tout en bénéficiant du système de prévention d’intrusion (IPS) pour bloquer les attaques réseau connues et inconnues.

À propos de l'auteur

mm
Adrien Brochot
Product Manager, Stormshield

Arrivé dans les équipes de développement en 2011 lors d'un stage de 4e année, Adrien travaille depuis 2012 sur le produit Stormshield Endpoint Security. Il est en d'ailleurs le Product Manager. Cet épicurien curieux touche-à-tout se passionne autant pour les questions aérospatiales que le cinéma pop-corn et les (très) bonnes bières. Oh et accessoirement, il est également triple vainqueur du tournoi de badminton interne.