La gestion des mises à jour reste un irritant pour beaucoup d’équipes TI dans le processus de gestion de la cybersécurité. “Mettre à jour” est une des recommandations les plus fréquentes suite à un test d’intrusion ou un scan de vulnérabilités.
Bien que ce soient des recommandations faciles à mettre en place sur le papier, s’assurer que tous les équipements de son entreprise sont à jour, tout le temps, ne rien échapper, éviter les conséquences négatives potentielles de certaines mises à jour sur les opérations, etc., sont des défis de taille (et génèrent beaucoup de maux de tête…).
On ne parle même pas ici des mises à jour impossibles à faire, car le système en question ne supporte pas les nouvelles versions. Pour celles-ci, à moins de pouvoir investir des centaines de milliers de dollars pour renouveler les équipements, il faut penser à une stratégie différente pour gérer le problème.
Malheureusement, des patchs non appliqués sont parmi les causes les plus communes de compromission de domaine. Il faut donc prendre le taureau par les cornes et adresser ce problème.
Les mises à jour, ou patchs, sont conçues pour corriger les problèmes dans les logiciels existants, y compris les vulnérabilités qui peuvent être exploitées par les cybercriminels. En négligeant ces mises à jour, vous laissez une porte ouverte aux attaquants qui ont les outils et les connaissances pour pénétrer vos systèmes.
Quand une vulnérabilité est découverte sur un produit, l’information est massivement relayée et les cybercriminels cherchent à l’exploiter. Très souvent, des scripts sont créés (et distribués) pour exploiter ces vulnérabilités. Les bots partent même à la recherche de cette faille pour compromettre le maximum de systèmes.
C’est pour ça d’ailleurs que dés qu’une vulnérabilité 0-day est découverte, le fabriquant vire en course contre la montre pour patcher son système avant que la vulnérabilité ne soit exploitée massivement.
Dire “mettez à jour vos systèmes”, c’est vraiment limite comme conseil, donc nous allons donner les grandes lignes d’un bon plan de gestion de mises à jour.
La première étape d’une gestion efficace des mises à jour est de comprendre ce que vous avez. Cela implique de cataloguer tous les appareils, serveurs, routeurs, systèmes et logiciels qui font partie de votre réseau. Cet inventaire doit être régulièrement mis à jour pour refléter au mieux la réalité. Cela vous évitera d’oublier une mise à jour importante pour la simple bonne raison que le dispositif à mettre à jour était inconnu au bataillon.
Idéalement, cet inventaire doit comprendre une évaluation du système d’exploitation, des applications clés et des microprogrammes de chaque appareil, et refléter la manière dont une modification apportée à un appareil pourrait affecter l’ensemble des opérations.
Tous les systèmes ne sont pas créés égaux en matière de risques de sécurité. Certains, comme les systèmes qui contiennent des données sensibles, devraient être prioritaires pour les mises à jour. Il est crucial d’évaluer et de classer vos systèmes en fonction du risque. Le département TI étant souvent débordé, cela permet de mettre les efforts à la bonne place s’il faut prioriser les actions à prendre. Les mises à jour des systèmes critiques devraient se retrouver au top de la liste (bien plus haut que Bertrand qui a oublié son mot de passe mettons).
Une bonne structure aide à être constant et à éviter les oublis surtout quand le département TI roule à 300 à l’heure. Déterminer les critères critiques en matière de correctifs et les calendriers de correctifs à privilégier. Même si, dans l’idéal, chaque système devrait être corrigé avec les versions les plus récentes, cela n’est pas toujours réaliste.
La direction et les experts fonctionnels doivent travailler ensemble pour déterminer quels sont les correctifs les plus critiques (non la responsabilité des mises à jour n’incombe pas uniquement aux amis TI). De nombreux systèmes d’exploitation et progiciels importants peuvent être configurés pour être mis à jour automatiquement.
Bien sûr, cela ne permettra pas de gérer les mises à jour d’urgences (sorties après une 0-day par exemple) puisque malheureusement nous ne sommes pas encore capable de prédire la date de sortie des vulnérabilités* 🤓, mais ça va permettre de garder les mises à jour au coeur de vos processus TI.
Beaucoup de personnes ont la hantise d’appliquer les mises à jour de peur que ça vienne impacter le bon fonctionnement du système (legit).
Pour éviter cette problématique, il est préférable de créer un environnement de test qui reproduit le plus fidèlement possible l’environnement opérationnel ; par exemple, construisez un microcosme de l’intranet de votre entreprise. Il doit représenter chaque dispositif que l’inventaire a déterminé comme étant essentiel à la mission. Utilisez cette sandbox pour déterminer si un nouveau correctif logiciel ou micrologiciel peut avoir un impact sur les opérations, voire entraîner une perte de données ou d’accès à des systèmes clés.
Si l’environnement test n’est pas une option, testez le patch sur un petit échantillon de systèmes pour vérifier s’il y a des effets indésirables.
Avant le déploiement d’un patch, il faut mettre un place des systèmes de sauvegarde des informations relatives aux serveurs et aux appareils. C’est un point essentiel au cas où les systèmes devraient être restaurés à leur état antérieur si des problèmes imprévus surviennent pendant ou après la mise en place des correctifs. Ça peut éviter bien des complications (et ça permet de régler le problème de réticence à mettre à jour puisqu’on peut faire machine arrière en cas de problème).
Les propriétaires de systèmes et les responsables fonctionnels doivent examiner l’impact potentiel des patchs et décider s’il convient de les mettre en œuvre et/ou à quel moment. Toutes les personnes susceptible d’être affectées doivent être informées de la mise en œuvre des correctifs et de la manière de signaler les effets indésirables. Une bonne communication va vous éviter bien du trouble pendant le déploiement.
Déployez les mises à jour en dehors des heures de pointe, si possible, afin de réduire le risque opérationnel. Si le patch est un correctif d’urgence, on s’entend qu’il faut le déployer le plus vite possible.
Après le déploiement, il est important de vérifier que les mises à jour ont été correctement installées et fonctionnent comme prévu.
De façon globale, il est important que les rôles et responsabilités soient clairement définis et la gestion des mises à jour n’y coupe pas.
L’incident Equifax en 2017 est un excellent exemple puisque le CEO Richard Smith avait rejeté la faute sur son CIO qui n’avait pas transféré le courriel sur la vulnérabilité à l’équipe TI qui devait appliquer le patch manuellement. 400 employés Equifax avaient reçu ce courriel, le processus de gestion des mises à jour ne demandait pas au CIO de prendre action sur ce type de message. Comme souvent quand les rôles et responsabilités ne sont pas claires, personne n’a agi en pensant que quelqu’un d’autre le ferait. Nous connaissons tous la malheureuse fin de l’histoire.
Comme pour tout projet à haut risque, un responsable de projet doit être identifié et rendre compte à la direction générale des changements, des préoccupations et des progrès. La documentation est essentielle pour atténuer les risques et doit être revue régulièrement pour tenir compte de l’évolution des vecteurs et des acteurs de la menace.
Mettre en place ce processus reste long et complexe, surtout dans un contexte où le personnel TI n’est pas assez nombreux en entreprise pour assumer l’ensemble de leurs responsabilités. Cela dit, ça reste une priorité vu l’impact potentiel que ça peut avoir sur l’entreprise.
Il est important de remonter ce point aux équipes de direction pour qu’elles:
Au besoin, un scan de vulnérabilités du réseau interne va révéler ses milliers de vulnérabilités identifiées. Ça aide généralement à comprendre à quel point l’enjeu est critique.
Peace ✌️
Cyndie & Nicholas
* anecdote: nous avons déjà vu dans la liste des critères de sélection d’un outil de scan de vulnérabilités que celui-ci devait fournir la liste des vulnérabilités présentes et à venir. 😅😂 On a bien ri, mais si quelqu’un trouve effectivement un outil qui fait ça, contactez-nous please!! 😀