> Sécurité > Sécurité : les braves ne patchent jamais leurs systèmes…

Sécurité : les braves ne patchent jamais leurs systèmes…

Sécurité - Par Loïc Duval - Publié le 05 février 2018
email

Depuis l’invasion WannaCry, les experts ne cessent de rappeler que « patcher, c’est la première des règles de sécurité ». Quelle gabegie ! Quelle ignorance des contraintes qui pèsent sur les IT ! Sachez vous défendre et jetez un œil du côté des 7 meilleures mauvaises pratiques ...

Sécurité : les braves ne patchent jamais leurs systèmes…

A la vue les dégâts occasionnés par les ransomwares qui ont sévi, force est de constater que nombre de responsables informatiques semblent avoir mis en pratique, volontairement ou pas, nos « 15 conseils avisés pour mettre en péril votre entreprise » publiés il y a quelques mois.

Si une telle fidélité de nos lecteurs nous réjouit, il nous semble important, comme toujours en matière d’insécurité, d’enfoncer le clou et de revenir sur un élément clé de cette audacieuse stratégie de l’échec : l’importance de collectionner les vulnérabilités comme autant de joyaux du monde numérique actuel.

Dans les années 90, bien des hackers, développeurs et éminences de l’IT, se plaisaient à arborer un Tee-Shirt affirmant que les vrais héros n’utilisaient pas d’antivirus. Aujourd’hui un tel tee-shirt serait d’une affligeante banalité tant les antivirus ont maintes fois démontré leur incapacité à bloquer les attaques ciblées, les ransomwares et ces milliers de codes uniques qui ne figureront jamais dans leurs bases de signatures.

Il est désormais temps d’arborer au quotidien un autre tee-shirt bien plus révélateur des risques actuels et du courage nécessaire pour se préserver de toute forme de résolution : « Les braves ne patchent jamais leurs systèmes… ».

 

Encore faut-il être à la hauteur de cette bravitude affichée et mettre en œuvre les sept meilleures mauvaises pratiques

 

1 – N’écoutez pas les conseils « avisés » des experts

 De l’avis des auto-proclamés experts de la sécurité, « les dégâts engendrés par les derniers ransomwares témoignent avant tout de l’incapacité des entreprises à patcher les systèmes… ».

Ces experts oublient un peu vite qu’avec les contraintes actuelles d’ultra-productivité et l’exigence des directions métiers d’avoir un taux de disponibilité des machines très largement supérieur à 99,9999999999999999%, le problème n’est pas « l’incapacité des entreprises à patcher » mais bien plus exactement que, même avec la meilleure volonté du monde, « les entreprises sont dans l’incapacité de patcher leurs systèmes ».

Certains viendront évidemment rappeler que le Cloud apporte de nouvelles solutions en matière de disponibilité, mais vous pourrez toujours chasser d’un geste l’argument en rappelant que le Cloud revient à confier son patrimoine à d’autres, et qu’on ne peut pas faire confiance aux autres.

 

2 – Fuyez les solutions 

Face aux problèmes de détections des vulnérabilités et de déploiement des patchs, les solutions sont nombreuses. La simplicité affligeante avec laquelle des solutions SaaS comme celles de Qualys viennent repérer les failles présentes dans le SI, ou encore la réputation des nouvelles solutions d’analyse de vulnérabilité d’AlienVault (AlienVault USM) ou Tenable.io, voire l’accessibilité des dernières solutions Microsoft (Windows Defender Advanced Threat Protection et Azure Advanced Threat Analytics) ne doivent pas venir mettre en péril votre stratégie.

N’oubliez pas, en matière de sécurité comme d’insécurité, la réponse n’est jamais dans les solutions techniques, sinon quoi ça ferait longtemps que nos systèmes d’information ne craindraient plus rien !

Le fait que ces outils puissent quand même vous aider à comprendre les risques encourus est évidemment hors sujet. Comment pourriez-vous rester crédible en regardant la direction générale avec un regard implorant (façon Chat Potté dans Shreck) tout en affirmant « mais je ne savais pas » ?

 

3 – Vénérez le Dieu XP

Ah XP… Vénérable ancêtre et éternelle passoire de nos systèmes d’information… Officiellement, XP est mort et enterré. Il paraît même que les entreprises se ruent désormais sur Windows 10, un système qui se met à jour tout seul et s’auto-patche sans même votre accord ! Un scandale.

Heureusement, en pratique, XP est immortel. Au fin fond des couloirs, il reste toujours une vieille machine XP connectée au réseau à laquelle on ne touche pas parce que de vieux outils de production indispensables y sont reliés.

Et surtout, il y a tous ces appareils, caisses enregistreuses, afficheurs publics, robots, propulsés à jamais par Windows XP Embedded et qu’ils seraient bien trop couteux de remplacer. Windows XP Embedded, c’est Windows XP avec tous ses trous. Un vrai bonheur d’autant qu’ils ne sont pas patchables. Vraiment, Windows XP est vénérable…

 

Téléchargez gratuitement cette ressource

Guide Secure SD-WAN pour les Responsables Réseaux

Guide Secure SD-WAN pour les Responsables Réseaux

Analystes et experts affirment que le SD-WAN optimal pour une entreprise dépend de ses besoins en matière de performances applicatives, de ses priorités en termes de sécurité et de ses compétences en informatique. Découvrez dans ce Guide Thématique Fortinet, les meilleures méthodes et solutions pour mettre en place un réseau SD-WAN avancé, sur site et dans le Cloud.

4 – Écoper plutôt que prévenir 

Patcher les systèmes, verrouiller les vulnérabilités, c’est devenir proactif. C’est Prévenir plutôt que Guérir. Mais où est le fun ?

En outre, si plus rien ne passe, si vous ne pouvez prouver votre utilité en ramant à réparer les dégâts et en écopant les conséquences des failles et fuites, qui saura votre rôle, qui comprendra votre importance, qui verra votre indispensable utilité ?

Prévenir ne sert de toute façon à rien. Même le site de Microsoft l’affirme en clair  : « Even the best endpoint defenses will be breached eventually, as cyberattacks become more sophisticated and targeted ». Tout le monde est d’accord pour affirmer qu’une bonne approche de la sécurité consiste à considérer que l’on est ou que l’on sera compromis quoi qu’il en soit. Il faudra donc écoper quoiqu’il arrive…

 

5 – On ne change pas une équipe qui perd 

Les menaces évoluent sans cesse. Les techniques des cybercriminels se renouvellent en permanence et se montrent de plus en plus inventives et sournoises. La preuve : certains commencent déjà à mettre en œuvre des processus d’Intelligence Artificielle pour mieux contrer l’Intelligence Artificielle embarquée dans les nouveaux SIEM et outils de surveillance des activités réseau.

C’est une course sans fin ! Pourquoi dès lors courir ? Pourquoi chercher sans cesse à se former et enrichir les équipes informatiques ? Comment lutter face à des IA malveillantes sans s’appeler soi-même Terminator ? Les IT ont déjà tellement de boulot à maintenir l’infrastructure à flot et à réparer les dégâts occasionnés par les ransomwares !

En plus, les directions générales sont persuadées que les IT sont des freins coûteux qui les empêchent d’avancer et que la solution est de s’en débarrasser en passant tout dans le Cloud.

Il y a des équilibres et des habitudes qu’il vaut mieux ne pas changer. La sagesse populaire ne rappelle-t-elle pas que « le mieux est l’ennemi du bien » ?

 

6 – Prendre le bouillon, c’est si bon

Rappelons-le, plus de 63% des intrusions sont dues à des identifiants utilisateurs compromis. Alors le problème urgent n’est certainement pas dans la correction des vulnérabilités et le déploiement des patchs de sécurité.

Surtout qu’il faut patcher non seulement les systèmes – tous les systèmes y compris des Android mobiles tout troués et des Mac dont les utilisateurs sont convaincus qu’ils ne risquent absolument rien – mais aussi les logiciels, les BIOS des serveurs, les équipements réseaux, etc.

La tâche est ardue. Et elle est surtout inutile puisque, après tout, l’utilisateur sera à jamais le maillon faible…

 

7 – Faites de votre un SI, un musée des failles numériques

Rétro-gaming, Rétro-computing… La mode est à la préservation des merveilles de notre patrimoine numérique, de notre histoire numérique. Or les bugs font partie intégrante de cette histoire. Les « tuer » en les « patchant », n’est-il pas finalement faire bien peu cas de cette histoire ?

N’est-il pas de votre devoir de les préserver ? Soyez l’équivalent numérique du conservateur des monuments historiques ! Sachez préserver votre patrimoine de bugs et vulnérabilités ! Faites de votre SI un musée de ces merveilleuses erreurs commises par des développeurs dont on ne respecte jamais suffisamment le travail.

Un dernier point pour terminer. Certains esprits malins pourraient, bien sûr, voir dans ces conseils une manière ironique de dénoncer des pratiques répandues et répréhensibles. En prendre le contrepied pourrait dès lors améliorer significativement la sécurité de son entreprise. Mais est-ce bien là votre objectif ?

Souvenez-vous, les braves ne patchent jamais leurs systèmes…

 

Sécurité - Par Loïc Duval - Publié le 05 février 2018