Accueil » sooizinsights » Mises à jour et vulnérabilités

Mises à jour et vulnérabilités

Mises à jour et Vulnérabilités Le bernard l'hermite met à jour sa coquille, lorsqu'elle n'est plus adaptée à sa taille, ou lorsqu'elle est trop abimée, vulnérable

Le patch management, en Français la gestion des mises jour est un point à traiter avec attention pour sécuriser votre système d’information.

Cette procédure va viser à réduire les vulnérabilités matérielles et logicielles. Celles-ci pourraient profiter à un attaquant pour mettre à mal votre système numérique.

Découvrez dans cet article pourquoi il est crucial d’être à jour, et comment mettre en place une procédure efficace.

Comprendre les principes

Pourquoi mettre à jour ?

Les mises à jour permettent aux éditeurs de logiciels d’apporter de nouvelles fonctionnalités à leurs produits et de corriger des bugs.

En terme de cybersécurité, ce qui va nous concerner, ce sont surtout les correctifs de sécurité. C’est à dire les mises à jour qui corrigent des vulnérabilités.
Ce sont des failles dans le développement du produit. Elles permettent de détourner son utilisation afin de réaliser des actions malveillantes :

  • s’infiltrer dans un système,
  • exécuter du code à distance,
  • mettre un système hors service,
  • ou encore escalader ses privilèges : se faire passer pour un administrateur avec un compte utilisateur.

La menace de l’exploitation d’une vulnérabilité intervient principalement lorsque celle ci est découverte, puis publiée.
A ce moment il est important d’en prendre connaissance le plus tôt possible afin de la corriger.
Un patch n’est pas toujours disponible, mais il est souvent possible de contourner l’exposition de la vulnérabilité. Cela permet de minimiser la possibilité pour un acteur malveillant de s’en servir contre votre organisation. En fonction de la criticité de la vulnérabilité, une autre option peut-être d’accepter le risque, en connaissance de cause.

Que doit-t-on mettre à jour ?

  • Les matériels : ils contiennent bien souvent un micrologiciel ou firmware, qui lui aussi peut comporter des failles.
  • Les systèmes d’exploitation : le système d’exploitation qui fonctionne sur le matériel : Windows, Linux, iOS, Android…
  • Les pilotes matériels : ce sont les logiciels qui pilotent vos périphériques
  • Les logiciels : que ce soit les logiciels sur les serveurs, ou les logiciels sur les périphériques utilisateurs
  • Les plugins / extensions : qui viennent se greffer sur des logiciels afin de répondre à des besoins spécifiques
  • Les librairies : utilisées par les développeurs, pour ne pas réécrire complètement un certain nombre de fonctions « standards »
  • Les définitions de virus / listes IOC etc… : les logiciels de sécurité utilisent des bases qui nécessitent d’être régulièrement mises à jour

Mises à jour mineures et majeures

La nommage, et le versionning des applications est à la discrétion des éditeurs de logiciels.

Cependant, généralement des conventions sont respectées. Cette page Wikipedia détaille quelques bonnes pratiques du versionning dans le cycle de vie du logiciel.

Dans le cas général, on va souvent trouver un numéro de version, du type « 2.5.10 ». Dans cet exemple :

  • La version 2 est la version majeure. Le passage d’une version majeure à une autre intègre des modifications profondes et fortes dans le logiciel. Par exemple l’ajout de fonctionnalités, parfois la refonte de modules, voir du moteur de l’application etc…
  • Le .5 signifie que l’on est passés par .1, .2 jusqu’à .5 en ajoutant des fonctionnalités ou des correctifs moyennement importants
  • Le .10 signifie en général, qu’on en est au 10ème patch de corrections. Par exemple de sécurité, mais qui impactent de manière mineures le fonctionnement

« De manière générale, plus les modifications apportées par le nouveau correctif ou la nouvelle version sont importantes, plus le numéro qui changera sera à gauche. »

Cela implique plusieurs choses à prendre en compte dans sa politique de gestion des mises à jour :

  • Dans une licence logicielle, ou un contrat de maintenance, il faudra vérifier ce qui est inclus ou non en terme d’accès aux mises à jour. En général les mises à jour mineures sont intégrées aux contrats, ou même accessibles dès lors que l’on a acheté le logiciel. En revanche les mises à jour majeures peuvent impliquer un coût supplémentaire.
  • L’impact global (en disponibilité, sur les utilisateurs…) sera plus important lorsque l’on applique une mise à jour majeure que lors d’une mineure.

Durée de vie

Les versions majeures ont généralement une durée de vie limitée dans le temps.

En effet cela demanderait un effort trop conséquents aux éditeurs de maintenir en conditions de sécurité tout l’historique de versions.

Aussi, que ce soit pour les matériels, ou logiciels, on va trouver 2 notions, respectivement : EOL (End of Life) et EOS (End of support).

Ce sont les dates à partir desquels les fournisseurs n’assureront plus les responsabilités de support et de mises à jour, il faudra alors faire une mises à jour majeure, qui impliquera souvent un coût supplémentaire direct :achat de licences / de matériel, et indirect : organiser ce changement majeur et le service associé.

Dans le meilleur des cas, ces dates sont annoncées dès la sortie de la version, au moins approximativement. Cela vous permet d’anticiper les contrôles à réaliser et éventuels budgets à anticiper.

Protéger ses données de l’exploitation de vulnérabilités

Le sujet est vaste, mais primordial pour la sécurité de vos données.

En effet, comme on l’a vu plus haut, les vulnérabilités touchent tous vos actifs numériques.

Ces actifs supportent soit des données, soit ce sont des portes d’accès à vos données. Il est donc primordial qu’ils ne soient pas vulnérables, au risque qu’un acteur malveillant utilise une faille pour consulter, modifier, ou voler vos données.

Dans un premier temps il va donc s’agir d’identifier les matériels et logiciels concernés, puis de planifier les mises à jour et correctifs de vulnérabilités. Il faudra ensuite vérifier que les actifs sont bien à jour pour détecter les éventuels problèmes et enfin les corriger pour améliorer la procédure.

Identifier les actifs

Comme indiqué plus haut, tous les composants numériques de votre système d’information sont concernés par cette procédure. En effet, ils sont tous susceptibles de comporter des vulnérabilités.

Si vous avez consulté et suivi les précédents guides sur la sauvegarde et l’authentification, vous avez déjà probablement un début d’inventaire de vos actifs : Les logiciels, Les emplacements de stockage, Les sources d’authentification.

Par ailleurs vous avez peut-être d’autres outils ou documents d’inventaire de vos actifs : un GLPI, un Active Directory, un plan d’adressage IP, des schémas… mais aussi des factures d’achat, des contrats…

Toutes ces sources d’informations vont vous permettre de dresser un inventaire d’actifs de la manière la plus exhaustive possible.

Ce que doit contenir l’inventaire

Dans cet inventaire, il conviendra de distinguer les actifs matériels, systèmes et les logiciels, qui n’ont pas les même contraintes en terme de mises à jour.
Pour simplifier il faudra regrouper ces actifs, en fonction de votre contexte. Vous aurez par exemple des catégories de type « Poste de travail », « Smartphone », « Imprimante », « Serveur », « Logiciel Bureautique », « Caméra », « Bornes WIFI » etc…
Egalement, pour chaque actif, il faudra chercher qui a la responsabilité de sa mise à jour. Est-ce l’utilisateur, le service informatique, ou un prestataire ?
Dans le dernier cas, il faudra bien vérifier ce qui est de la responsabilité du prestataire. La mise à jour du matériel, du système, du logiciel ? Par exemple sur un hébergement web, la mise à jour du WordPress et de ses extensions revient généralement à son utilisateur, et non pas au prestataire.
Enfin, vous pouvez indiquer la version, un numéro de série le cas échéant, un numéro de contrat prestataire, ainsi que la date de fin de vie ou de fin de support de votre actif.

Nota Bene

Une bonne pratique consiste à automatiser lorsque possible la tenue de tout ou partie de cet inventaire. Lorsque cela n’est pas possible, en cas de changement dans votre parc, il est important de réaliser sa mise à jour.

Cela peut sembler long et fastidieux, surtout si peu d’outils sont déjà en place. Dans ce cas, concentrez vous dans un premier temps sur les actifs les plus critiques. C’est à dire ceux qui sont accessibles depuis Internet : pare-feu, accès VPN/SSL, NAS publié, sites webs, FTPs, services Cloud…
Egalement, parfois un outil va permettre de réaliser l’opération sur un grand nombre d’actifs. Par exemple une protection de poste avancée (anti-virus) peut vous permettre de rapidement couvrir le parc de postes et serveurs et remonter un inventaire. Dans ce cas votre inventaire pourrait contenir une simple ligne « parc postes et serveurs » et référencer cet outil pour les détails.

Planifier les mises à jour et correctifs de vulnérabilités

A partir de cet inventaire, vous allez devoir définir un calendrier des mises à jour, vérifier que vos prestataires font correctement les mises à jour, et surveiller la publication de nouvelles vulnérabilités.

Lorsque cela est possible, il convient d’activer les mises à jour automatiques. Cependant, en fonction de l’impact que cela peut avoir sur la disponibilité des applications (redémarrage du logiciel ou du matériel), ou le risque que cela entraine lorsqu’il s’agit (en particulier) de mises à jours majeures, vous pouvez être amenés à devoir planifier leur mise à jour à la main, et en dehors des périodes de plus forte activité.
Une bonne pratique est également de tester une mise à jour avant de l’appliquer sur des équipements en productions. Pour simplifier le processus, on pourra tester la mise à jour sur une petite portion des actifs concernés avant de l’appliquer à l’ensemble du parc.

Même si les mises à jour de sécurité sont de la responsabilité d’un prestataire, ce sont vos données qui risquent d’être exposées en cas de problème. Il faut donc veiller à contrôler que les mises à jour soient bien appliquée.

Si vous faites du développement logiciel, ou des scripts, prenez bien compte les éventuelles bibliothèques utilisées dans votre planification.

Enfin, certaines vulnérabilités ne sont pas corrigées rapidement après leur publication. Les éditeurs proposent souvent des mesures de contournement à appliquer.
Il faut donc assurer une veille sur les vulnérabilités des actifs de votre parc. OpenCVE peut être un outil utile pour cela, ainsi que le CERT-FR par exemple. La sensibilisation de vos administrateurs et de vos utilisateurs peut également intervenir dans votre veille sur les vulnérabilités. Egalement, en fonction de vos enjeux, et des risques de certains services, il peut être opportun de s’appuyer sur des outils de scans de vulnérabilités.

Plus d’infos sur comment patcher dans cet article du MagIT : https://www.lemagit.fr/conseil/Vulnerabilites-lesquelles-patcher-quand

Vérifier les mises à jour et éventuelles vulnérabilités

Lorsque la procédure sera en place, il conviendra alors de vérifier son efficacité.

Vous devez donc établir un calendrier pour les opérations de contrôle. Vous pouvez intégrer dans ce calendrier :

  • Contrôle via une console d’administration (WSUS, console anti-virus, outil constructeur pour le matériel….)
  • Contrôle des mises à jour sous la responsabilité des prestataires
  • Contrôles manuels sur une partie du parc
  • Revue des rapports d’outils de scans de vulnérabilités
  • Revue de votre inventaire d’actifs, orienté sur les dates EOL / EOS
  • Des audits externes, de type pentests par exemple

En suivant ces étapes, vous devriez donc avoir réalisé votre inventaire des actifs, la politique de mises à jour, votre procédure de veille sur les vulnérabilités techniques avec le calendrier des contrôles.

Améliorer la procédure

Lorsque vous détecté un problème lors de vos contrôles, ou bien inopinément, il conviendra de journaliser cet incident.

Il faudra l’analyser afin d’en déterminer la cause, et déterminer, par exemple, pourquoi une équipement n’est pas à jour, ou encore, pourquoi une vulnérabilité n’a pas été identifiée afin d’améliorer votre procédure de gestion des mises à jours et des vulnérabilités.

Quelques exemples d’exploitation de vulnérabilités

Pour conclure

Quelque soit la taille de votre SI, la mise en place d’une procédure efficace de gestion des mises à jour et des vulnérabilités représente un travail non négligeable. Cependant, il est essentiel de bien le traiter afin de protéger vos données.

Les attaquants sont en veille sur les vulnérabilités, ils ont déjà des inventaires prêt à l’emploi des équipements visibles depuis Internet, avec leur version. Lorsqu’une vulnérabilité est publiée, ils peuvent rapidement automatiser des tentatives d’exploitation sur le parc qu’ils ont à disposition.
Egalement, ils mettent régulièrement à jour les ransomwares pour exploiter un maximum de failles connues. Cela leur permet d’accroitre leur efficacité une fois déployés sur le système d’information de la victime.

Le minimum vital est donc d’activer, dès que possible, les mises à jour automatiques. D’apporter une plus grande vigilance sur les services exposés sur Internet. De vérifier que vous utilisez des matériels et logiciels sous maintenance, si ce n’est pas possible d’isoler ces derniers dans un réseau bien distinct.

Références et Attributs

Références : 
ANSSI-GUIDE-TPEPME-Question3
ANSSI-GUIDE-HYGIENEv2-Mesure34 Mesure35 Mesure38
ISO27002-2022-A.6.8 A7.9 A7.13 A8.7 A8.8 A8.19 A8.29 A8.32
NIST-v1.1-PR.IP-2 PR.IP-12 PR.MA-1 DE.CM-4 DE.CM-8 DE.DP-5 RS.AN-5 RS.MI-3
CIS_Controls-v8-2 7 10 12 16 17 18
CCB-CyFun-PR.IP-2 PR.IP-12 PR.MA-1 DE.CM-4 DE.CM-8 DE.DP-5 RS.AN-5 RS.MI-3

Attributs : 
Type de mesure : #Préventive #Détective #Corrective 
Propriétés : #Confidentialité #Intégrité #Disponibilité
Concepts : #Protéger #Détecter
Capacités : #Sécurité_physique #Gestion_des_actifs #Sécurité_système_et_réseau #Protection_des_informations #Gestion_des_menaces_et_des_vulnérabilités #Configuration_sécurisée #Sécurité_des_applications
Domaines : #Protection #Résilience #Défense #Gouvernance_et_Écosystème

Restez Connecté – Abonnez vous à Notre Newsletter

Retour en haut