![\"Mises](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1789619096-e1618564764543.jpg\" "\\"De")
<\/p>\n<\/p>\n
Ah les mises \u00e0 jour\u2026 Les fameuses mises \u00e0 jour \u00e0 qui l\u2019\u00e9tiquette \u00ab contrainte \u00bb colle \u00e0 la peau. Pourtant, les mises \u00e0 jour nous veulent du bien. Et s\u2019il est souvent difficile de faire le choix raisonnable de la s\u00e9curit\u00e9 informatique au d\u00e9triment de la production, le sujet des mises \u00e0 jour ne peut plus \u00eatre repouss\u00e9 \u00e0 demain. Il doit, au contraire, entrer au c\u0153ur de la politique de s\u00e9curit\u00e9 des entreprises.<\/strong><\/p>\n Pourquoi faire des mises \u00e0 jour\u00a0? Les mises \u00e0 jour sont-elles indispensables\u00a0?<\/strong> Est-ce que \u00e7a ne peut pas attendre encore un peu\u00a0? Ces questions l\u00e0 \u2013 et tant d\u2019autres \u2013 se posent encore trop souvent au sein de nombreuses entreprises, pour qui hygi\u00e8ne num\u00e9rique, protection informatique et bonnes pratiques de s\u00e9curit\u00e9 ne riment pas forc\u00e9ment avec mises \u00e0 jour. Et encore moins avec priorit\u00e9. La continuit\u00e9 de service des entreprises et leurs capacit\u00e9s de production restent leur objectif num\u00e9ro un, le traitement des vuln\u00e9rabilit\u00e9s informatiques arrivant souvent au second plan.<\/p>\n Mais si la production des entreprises ne doit pas s\u2019arr\u00eater, les cyberattaques ne connaissent pas de ralentissement non plus\u2026 Tant qu\u2019il y aura des failles, il y aura des attaques. Et les mises \u00e0 jour seront n\u00e9cessaires pour colmater ces failles et contrer ces attaques ! Bien que leur efficacit\u00e9 et l\u2019importance de les r\u00e9aliser n\u2019est plus \u00e0 prouver, le chemin vers une acculturation reste sem\u00e9 d\u2019embuches. Au sein des entreprises, un tourbillon d\u2019imp\u00e9ratifs et d\u2019ambivalences les obligent \u00e0 mener de front les exigences op\u00e9rationnelles et la lutte contre les risques cyber qui p\u00e8sent sur leur activit\u00e9.<\/p>\n <\/p>\n Les bugs et vuln\u00e9rabilit\u00e9s dont il est question ici, document\u00e9s et publi\u00e9s par les acteurs de la cybers\u00e9curit\u00e9, peuvent aller du petit bug \u00e0 la vuln\u00e9rabilit\u00e9 critique. Et si ces informations sont destin\u00e9es aux entreprises, les attaquants en b\u00e9n\u00e9ficient tout autant\u2026 Les syst\u00e8mes qui ne sont pas mis \u00e0 jour sont donc particuli\u00e8rement vuln\u00e9rables aux cyberattaques. \u00ab\u00a0Les attaquants mettent en place des syst\u00e8mes de prise d\u2019empreintes, \u00e0 savoir des scans de r\u00e9seaux et d\u2019environnements qui permettent d\u2019identifier les machines, pour d\u00e9tecter facilement et rapidement les postes attaquables, en l\u2019occurrence ceux qui ne sont pas mis \u00e0 jour<\/em>\u00a0\u00bb, d\u00e9taille Guillaume Boisseau<\/strong>, du D\u00e9partement des Professional Services de Stormshield. Ind\u00e9niablement, les syst\u00e8mes non mis \u00e0 jour sont autant de possibilit\u00e9s pour les attaquants de perp\u00e9trer des actes malveillants<\/strong>. \u00ab\u00a0Les attaquants vont d\u00e9velopper leur attaque en profondeur au niveau d\u2019un syst\u00e8me d\u2019information, surtout lorsque l\u2019on a affaire \u00e0 de vieux syst\u00e8mes comportant des vuln\u00e9rabilit\u00e9s bien connues et exploit\u00e9es par des r\u00e9seaux malveillants<\/em>\u00a0\u00bb, ajoute Maxime Nempont<\/strong>, Technical Leader S\u00e9curit\u00e9 chez Stormshield.<\/p>\n Quand il est question de postes non mis \u00e0 jour, le ransomware<\/em> Wannacry fait figure d\u2019illustration parfaite de la vuln\u00e9rabilit\u00e9 des postes. En mai 2017, le ransomware<\/a> s\u2019\u00e9tait r\u00e9pandu, gr\u00e2ce \u00e0 une vuln\u00e9rabilit\u00e9 sur les environnements Windows, au sein des syst\u00e8mes qui n\u2019avaient pas corrig\u00e9 la faille de s\u00e9curit\u00e9. Deux mois avant l\u2019attaque, Microsoft avait pourtant publi\u00e9 le correctif de s\u00e9curit\u00e9 li\u00e9e \u00e0 cette faille, et alert\u00e9 sur sa criticit\u00e9. R\u00e9sultat des courses : 150 pays ont \u00e9t\u00e9 paralys\u00e9s par la cyberattaque Wannacry, et les pertes financi\u00e8res se comptent aujourd\u2019hui en milliards de dollars.<\/p>\n Wannacry est une photo de la r\u00e9alit\u00e9 que l\u2019on conna\u00eet aujourd\u2019hui encore : de nombreuses entreprises n\u2019identifient pas encore clairement l\u2019enjeu qui se cache derri\u00e8re le fait de r\u00e9aliser ses mises \u00e0 jour, et de les r\u00e9aliser dans un temps le plus court possible, pour r\u00e9duire la fen\u00eatre de tir des attaquants.<\/p>\n Les mises \u00e0 jour, c\u2019est un peu comme un rendez-vous chez le dentiste\u00a0: si vous faites des points de contr\u00f4le r\u00e9guli\u00e8rement, vous n\u2019avez que des choses mineures \u00e0 traiter \u00e0 chaque fois. \u00c0 l\u2019inverse, si vous restez trop de temps sans vous faire soigner, les choses s\u2019aggravent.<\/em><\/p>\n En mai 2019 cette fois-ci, Microsoft publiait une faille de s\u00e9curit\u00e9 sur l\u2019un de ses composants syst\u00e8me. Baptis\u00e9e \u00ab\u00a0BlueKeep\u00a0\u00bb, cette faille aurait pu avoir la m\u00eame ampleur que Wannacry si elle avait \u00e9t\u00e9 exploit\u00e9e \u00e0 grande \u00e9chelle. Si les chercheurs en cybers\u00e9curit\u00e9 ne peuvent pour l\u2019instant pas affirmer une exploitation de grande ampleur de BlueKeep par des attaquants, le risque a bien exist\u00e9. Car un mois apr\u00e8s la r\u00e9v\u00e9lation de la faille et la publication du correctif par Microsoft, pr\u00e8s d\u2019un million de syst\u00e8mes \u00e9taient toujours expos\u00e9s et vuln\u00e9rables. Soit autant de portes d\u2019entr\u00e9e possibles pour l\u2019\u00e9cosyst\u00e8me malveillant\u2026<\/p>\n \u00ab\u00a0Certaines entreprises ne r\u00e9alisent pas leurs mises \u00e0 jour car il leur manque des proc\u00e9dures pour apporter un cadre au bon d\u00e9roulement de celles-ci (comme l\u2019absence d\u2019environnements de test par exemple), et les mises \u00e0 jour s\u2019empilent, et le risque augmente. C\u2019est un peu comme un rendez-vous chez le dentiste\u00a0: si vous faites des points de contr\u00f4le r\u00e9guli\u00e8rement, vous n\u2019avez que des choses mineurs \u00e0 traiter \u00e0 chaque fois. \u00c0 l\u2019inverse, si vous restez trop de temps sans vous faire soigner, les choses s\u2019aggravent. C\u2019est un peu la m\u00eame chose avec les mises \u00e0 jour\u00a0!<\/em>\u00a0\u00bb, partage Guillaume Boisseau.<\/p>\n Le spectre de Wannacry semble revenir r\u00e9guli\u00e8rement : cette ann\u00e9e, une autre faille importante li\u00e9e au syst\u00e8me d\u2019exploitation Windows a \u00e9t\u00e9 d\u00e9tect\u00e9e<\/a>, sous le nom de SMBGhost. Une vuln\u00e9rabilit\u00e9 qui se trouvait sur le m\u00eame protocole que celui vis\u00e9 par Wannacry, et dont l\u2019exploitation aurait pu \u00eatre catastrophique.<\/p>\n Les attaques ciblant les syst\u00e8mes qui ne sont pas mis \u00e0 jour ont le vent en poupe, et ce n\u2019est pas pr\u00e8s de s\u2019arr\u00eater ; \u00e0 la fois simples \u00e0 r\u00e9aliser et bien document\u00e9es, elles cumulent des atouts auxquels les attaquants sont sensibles. La r\u00e9alisation des mises \u00e0 jour doit donc plus que jamais \u00eatre consid\u00e9r\u00e9e comme une priorit\u00e9 par toutes les entreprises<\/strong>, peu importe le secteur, et faire partie int\u00e9grante de la culture des organisations.<\/p>\n <\/p>\n Les mises \u00e0 jour logicielles, d\u2019applications ou encore d\u2019appareils se retrouvent, encore et toujours, au c\u0153ur d\u2019une dualit\u00e9 forte, avec ce double objectif de garantir la s\u00e9curit\u00e9 et de tenir compte des contraintes op\u00e9rationnelles inh\u00e9rentes \u00e0 toute activit\u00e9.<\/p>\n Car si les mises \u00e0 jour sont bien l\u00e0 pour corriger des bugs et patcher<\/em> des vuln\u00e9rabilit\u00e9s critiques, elles peuvent aussi apporter leur lot de contraintes aux entreprises. Dans l\u2019industrie et les r\u00e9seaux op\u00e9rationnels (OT), les mises \u00e0 jour sont particuli\u00e8rement redout\u00e9es car elles peuvent entra\u00eener des effets ind\u00e9sirables, comme un arr\u00eat prolong\u00e9 de la production. Et m\u00eame une fois la mise \u00e0 jour effectu\u00e9e, la reprise du syst\u00e8me est \u00e9galement un moment surveill\u00e9 de pr\u00e8s dans le monde industriel. Par effet de rebond, des impacts impr\u00e9vus peuvent entra\u00eener une baisse de la production impactant le chiffre d\u2019affaires. \u00ab\u00a0\u00c9valuer la n\u00e9cessit\u00e9 d\u2019une mise \u00e0 jour en faisant une analyse de risque et planifier celle-ci en mesurant l\u2019incidence sur la production sont donc des dimensions obligatoires \u00e0 prendre en compte dans l\u2019industrie<\/em>, souligne Florian Bonnet<\/strong>, Directeur du Product Management chez Stormshield. C\u2019est pour cela que les cycles de maintenance doivent faire l\u2019objet d\u2019une vraie pr\u00e9paration et programmation dans le monde industriel<\/em>\u00a0\u00bb.<\/p>\n Mais les contraintes ne se situent pas qu\u2019au niveau de l\u2019OT, et d\u2019une mani\u00e8re plus g\u00e9n\u00e9rale, les mises \u00e0 jour peuvent entra\u00eener des r\u00e9gressions et rendre un site web indisponible, ou encore faire perdre du temps aux utilisateurs, qui se voient contraints de red\u00e9marrer leurs \u00e9quipements et de cesser leurs t\u00e2ches bureautiques durant un certain temps. Ces m\u00eames mises \u00e0 jour qui peuvent aussi s\u2019av\u00e9rer contraignantes en raison des composants qu\u2019elles embarquent, et impacter directement des logiciels ou applications en cours de d\u00e9veloppement \u2013 au grand dam des d\u00e9veloppeurs\u00a0! \u2013 ou sur les applications d\u00e9j\u00e0 d\u00e9ploy\u00e9es sur le poste.<\/p>\n Que l\u2019on soit \u00e0 la t\u00eate d\u2019une usine de production de textile, d\u00e9veloppeur web, ou le commun des mortels assis \u00e0 son bureau, les mises \u00e0 jour sont donc le plus souvent subies, et peuvent g\u00e9n\u00e9rer inqui\u00e9tude et r\u00e9ticence quant \u00e0 leur mise en \u0153uvre. La question des mises \u00e0 jour est ainsi tout aussi complexe que paradoxale.<\/p>\n <\/p>\n Mais alors, faut-il faire ou ne pas faire ses mises \u00e0 jour\u00a0?<\/strong> Mettre \u00e0 jour ou ne pas mettre \u00e0 jour\u00a0? Telle est la question\u00a0! Et pas des moindres\u00a0: en fonction des contraintes op\u00e9rationnelles et des environnements de travail (environnements de production, applications utilis\u00e9es, etc.), les mises \u00e0 jour peuvent s\u2019av\u00e9rer tr\u00e8s complexes, voire impossibles. \u00ab\u00a0Il y a un travail \u00e0 r\u00e9aliser en amont d\u2019une mise \u00e0 jour, pour \u00eatre capable de d\u00e9terminer si elle peut \u00eatre susceptible d\u2019impacter le poste ou l\u2019environnement de travail. Pour les environnements sensibles et les syst\u00e8mes critiques par exemple, il est n\u00e9cessaire d\u2019envisager un univers de pr\u00e9-production, dans le cas o\u00f9 la mise \u00e0 jour entra\u00eenerait un dysfonctionnement du syst\u00e8me \u2013 ou une modification de son fonctionnement<\/em>\u00a0\u00bb, explique Guillaume Boisseau.<\/p>\n Il faut donc partir du principe que, dans le monde merveilleux des mises \u00e0 jour, proc\u00e9dures de contr\u00f4le et anticipation sont les ma\u00eetre-mots, y compris dans le cas de mises \u00e0 jour automatis\u00e9es (pc, tablettes, etc.), pour lesquelles il faut aussi \u00eatre capable de v\u00e9rifier la fiabilit\u00e9 et de limiter les risques. \u00ab\u00a0Dans l\u2019IT, activer les mises \u00e0 jour automatiques est possible dans l\u2019optique des postes de travail ou de la bureautique car elles peuvent toujours \u00eatre diff\u00e9r\u00e9es et r\u00e9alis\u00e9es \u00e0 un moment plus propice<\/em>\u00a0\u00bb, explique Florian Bonnet. Et de compl\u00e9ter \u00ab\u00a0au niveau des serveurs IT ou dans l\u2019OT en revanche, il n\u2019est pas envisageable d\u2019automatiser des mises \u00e0 jour car nous sommes sur des syst\u00e8mes plus critiques pour lesquels les cons\u00e9quences des mises \u00e0 jour doivent \u00eatre parfaitement ma\u00eetris\u00e9es<\/em>\u00a0\u00bb.<\/p>\n Effectivement, dans certains cas, les mises \u00e0 jour sont impossibles \u00e0 r\u00e9aliser telles quelles, et demandent le d\u00e9ploiement d\u2019architectures de haute disponibilit\u00e9 \u2013 voir de jumeaux num\u00e9riques ou autres plateformes de virtualisation \u2013 pour les tester. Dans l\u2019OT, cet environnement de test est donc indispensable pour \u00e9valuer les risques d\u2019une mise \u00e0 jour et \u00e9viter de perturber le syst\u00e8me op\u00e9rationnel.<\/p>\n D\u2019autres sc\u00e9narios rendent impossible les mises \u00e0 jour, comme \u00ab\u00a0lorsqu\u2019une mise \u00e0 jour entra\u00eene une incompatibilit\u00e9 de l\u2019application avec un ancien syst\u00e8me d\u2019exploitation, ou encore lorsqu\u2019il s\u2019agit de syst\u00e8mes en fin de vie, pour lesquels la mise \u00e0 jour et la migration sur un nouveau syst\u00e8me deviennent trop co\u00fbteux<\/em>\u00a0\u00bb, pr\u00e9cise Maxime Nempont. Partant de ce constat, il n\u2019est pas difficile d\u2019imaginer que les entreprises vont d\u2019abord \u00eatre r\u00e9ticentes aux mises \u00e0 jour plut\u00f4t que l\u2019inverse \u2013 malgr\u00e9 les enjeux de s\u00e9curit\u00e9 informatique. Les \u00e9diteurs jouent alors un r\u00f4le cl\u00e9, \u00e0 la fois de conseil et de facilitateur, pour accompagner les entreprises dans la r\u00e9alisation de leurs mises \u00e0 jour et imaginer des moyens de contournement lorsque celles-ci s\u2019av\u00e8rent impossibles. Leur objectif\u00a0? D\u00e9velopper les syst\u00e8mes de mises \u00e0 jour les plus simples possibles<\/strong> et faire en sorte que les entreprises puissent en b\u00e9n\u00e9ficier.<\/p>\n Mais ce sont d\u2019abord les entreprises elles-m\u00eames qui doivent mesurer l\u2019importance des mises \u00e0 jour et leur applicabilit\u00e9. Car ne pas r\u00e9aliser ses mises \u00e0 jour, c\u2019est s\u2019exposer aux cyberattaques, pour qui les syst\u00e8mes vuln\u00e9rables sont une porte d\u2019entr\u00e9e tr\u00e8s convoit\u00e9e.<\/p>\n <\/p>\n Si les entreprises sont globalement de plus en plus sensibles \u00e0 la question des mises \u00e0 jour, elles peuvent n\u00e9anmoins rencontrer des difficult\u00e9s dans l\u2019\u00e9valuation ou la compr\u00e9hension des risques li\u00e9s \u00e0 la non-r\u00e9alisation de celles-ci. Par ailleurs, toutes les entreprises n\u2019ont pas \u00e0 l\u2019esprit qu\u2019elles peuvent \u00eatre la cible d\u2019une cyberattaque. C\u2019est le cas dans l\u2019OT, o\u00f9 la culture cyber n\u2019est pas encore tr\u00e8s d\u00e9velopp\u00e9e<\/a>. Pourtant, comme le rappelle Florian Bonnet, \u00ab\u00a0la question n\u2019est plus de savoir si l\u2019on va \u00eatre attaqu\u00e9, mais quand<\/em>\u00a0\u00bb, et d\u2019ajouter\u00a0: \u00ab\u00a0l\u2019acculturation \u00e0 la mise \u00e0 jour passe aussi par une acculturation \u00e0 l\u2019\u00e9cosyst\u00e8me cyber d\u2019une mani\u00e8re g\u00e9n\u00e9rale, en suivant l\u2019actualit\u00e9, en r\u00e9alisant une veille\u2026<\/em>\u00a0\u00bb. Il y a donc une prise de conscience \u00e0 avoir, et les \u00e9diteurs sont l\u00e0 pour l\u2019accompagner.<\/p>\n La preuve par l\u2019exemple est une m\u00e9thode qui fonctionne plut\u00f4t bien selon Maxime Nempont, pour qui \u00ab\u00a0il faut prendre des cas concrets, communiquer sur des exploitations r\u00e9elles de vuln\u00e9rabilit\u00e9s critiques et faire comprendre que tout cela n\u2019est pas que th\u00e9orique<\/em>\u00a0\u00bb. En plus de sensibiliser, les \u00e9diteurs doivent aussi accompagner les processus de mises \u00e0 jour et \u00eatre pr\u00e9cis lorsqu\u2019ils d\u00e9livrent une nouvelle version corrective pour aiguiller le client\u00a0: il faut pouvoir identifier clairement s\u2019il s\u2019agit d\u2019un correctif de bug ou d\u2019un patch de vuln\u00e9rabilit\u00e9. \u00ab\u00a0L\u2019\u00e9diteur doit en quelque sorte justifier les mises \u00e0 jour qu\u2019il propose et bien pr\u00e9senter les risques associ\u00e9s pour rassurer une entreprise, car, d\u2019une mani\u00e8re ou d\u2019une autre, les clients seront toujours tent\u00e9s de prioriser la production avant le reste<\/em>\u00a0\u00bb, affirme Guillaume Boisseau.<\/p>\n La question n\u2019est plus de savoir si l\u2019on va \u00eatre attaqu\u00e9, mais quand.<\/em><\/p><\/blockquote>\n La p\u00e9dagogie des \u00e9diteurs est donc au c\u0153ur du processus d\u2019acculturation des entreprises, mais pas que. Les responsables IT jouent aussi un r\u00f4le essentiel dans cette d\u00e9marche. En effet, les mises \u00e0 jour et les proc\u00e9dures associ\u00e9es (fr\u00e9quence des mises \u00e0 jour, activation de mises \u00e0 jour automatiques ou non, etc.) sont de la responsabilit\u00e9 des d\u00e9partements IT, et doivent \u00eatre pilot\u00e9es et centralis\u00e9es \u00e0 leur niveau, et non au niveau des utilisateurs. Les \u00e9quipes IT sont les mieux plac\u00e9es pour r\u00e9pondre correctement \u00e0 la probl\u00e9matique des mises \u00e0 jour et pour fournir les bons moyens de supervision n\u00e9cessaire \u00e0 leur d\u00e9roulement.<\/p>\n <\/p>\n Mais certains pays ont troqu\u00e9 la p\u00e9dagogie contre des mesures plus coercitives, \u00e0 l\u2019instar des \u00c9tats-Unis, qui se sont positionn\u00e9s fermement face \u00e0 la r\u00e9cente menace de Zerologon<\/a> \u2013 une faille de s\u00e9curit\u00e9 affectant les serveurs Windows dans les r\u00e9seaux d'entreprise. Cette faille, si elle est exploit\u00e9e, pourrait permettre \u00e0 un attaquant de prendre le contr\u00f4le de machines vuln\u00e9rables, notamment des contr\u00f4leurs de domaines. Dans ce contexte, le D\u00e9partement de la S\u00e9curit\u00e9 nationale des \u00c9tats-Unis<\/a> a pris un arbitrage ferme\u00a0: toutes les agences gouvernementales du pays devaient avoir appliqu\u00e9 la mise \u00e0 jour permettant de corriger cette faille avant le 21 septembre \u00e0 minuit, preuve \u00e0 l\u2019appui. Pour ne pas en arriver l\u00e0 et donner toutes ses chances \u00e0 la p\u00e9dagogie, le mieux reste donc encore de mettre les moyens sur l\u2019acculturation des entreprises, de les accompagner dans leur d\u00e9marche de compr\u00e9hension et de les rassurer sur leurs capacit\u00e9s \u00e0 rester productives, tout en ayant les bons r\u00e9flexes de s\u00e9curit\u00e9.<\/p>\n","protected":false},"excerpt":{"rendered":" Ah les mises \u00e0 jour\u2026 Les fameuses mises \u00e0 jour \u00e0 qui l\u2019\u00e9tiquette \u00ab contrainte \u00bb colle \u00e0 la peau. Pourtant, les mises \u00e0 jour nous veulent du bien. Et s\u2019il est souvent difficile de faire le choix raisonnable de la s\u00e9curit\u00e9 informatique au d\u00e9triment…<\/p>\n","protected":false},"author":54,"featured_media":199472,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1608],"tags":[4363],"business_size":[682,683,681],"industry":[695,689,703,2123,691,693,699,701,697],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1570,1565,1530],"class_list":["post-199503","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-paroles-experts","tag-la-cybersecurite-premiers-pas","business_size-eti","business_size-grande-entreprise","business_size-pme","industry-administrations-publiques","industry-banque-et-finance","industry-commerce-et-e-commerce","industry-datacenters-fr","industry-defense-et-organisations-militaires","industry-education-et-enseignement","industry-industrie-fr","industry-operateurs-et-mssp","industry-sante-et-etablissements-de-soin","listing_product-sds-fr","listing_product-ses-fr","listing_product-sns-fr"],"acf":[],"yoast_head":"\nMises \u00e0 jour n\u00e9glig\u00e9es et syst\u00e8mes vuln\u00e9rables<\/h2>\n
Guillaume Boisseau,<\/strong> D\u00e9partement Professional Services de Stormshield<\/pre>\n<\/blockquote>\n
Concilier cybers\u00e9curit\u00e9 et imp\u00e9ratif op\u00e9rationnel\u00a0: entre Graal tr\u00e8s convoit\u00e9 et \u00e9ternel paradoxe<\/h2>\n
La question de l\u2019impact des mises \u00e0 jour<\/h2>\n
Avoir la \u00ab\u00a0culture de la mise \u00e0 jour\u00a0\u00bb<\/h2>\n