Le National Institute of Standards and Technology (NIST) des États-Unis a révisé ses directives de gestion des correctifs d’entreprise pour la première fois en près d’une décennie.
Alors que la version précédente de 2013 visait à aider les organisations à déployer des technologies de gestion des correctifs, la nouvelle édition se concentre sur le développement de stratégies de gestion des correctifs.
Réalisé par le National Cybersecurity Center of Excellence (NCCoE) du NIST, Publication spéciale du NIST (SP) 800-40 révision 4 « repose sur l’hypothèse que […] les organisations auraient plus intérêt à repenser leur planification de la gestion des correctifs que leur technologie de gestion des correctifs ».
Néanmoins, le NIST a également publié une publication complémentaire démontrant comment les outils commerciaux peuvent aider les entreprises à mettre en œuvre ses directives révisées.
« Simplifier et opérationnaliser »
Les nouvelles directives axées sur la stratégie « abordent les facteurs communs qui affectent la gestion des correctifs d’entreprise et recommandent de créer une stratégie d’entreprise pour simplifier et opérationnaliser les correctifs tout en améliorant la réduction des risques ».
Ce faisant, les directives visent à combler le « fossé entre les propriétaires d’entreprise/mission et la gestion de la sécurité/technologie sur la valeur des correctifs », selon le NIST.
La publication d’accompagnement, NIST SP 1800-31est né d’une collaboration entre le NCCoE et certains des plus grands fournisseurs de technologies de cybersécurité.
Présentant des contributions de sociétés telles que Cisco, IBM et Microsoft, il décrit comment les technologies commerciales peuvent être déployées pour « mettre en œuvre les capacités d’inventaire et de correctifs dont les organisations ont besoin pour gérer les situations de correctifs de routine et d’urgence », ainsi que « mettre en œuvre des atténuations temporaires, l’isolement méthodes, ou d’autres alternatives au correctif ».
Le guide recommande également « des pratiques de sécurité pour protéger les systèmes de gestion des correctifs eux-mêmes ».
Leçon Equifax
Le NIST définit la correction des vulnérabilités de sécurité dans les micrologiciels, les systèmes d’exploitation ou les applications comme un « coût nécessaire pour faire des affaires ».
Lorsque la négligence de la gestion des correctifs entraîne de graves compromis, ces coûts sont sans aucun doute éclipsés par les coûts financiers et de réputation liés aux temps d’arrêt du système, aux violations de données et à d’autres conséquences néfastes.
Aucune organisation n’est plus consciente de ce fait qu’Equifax, qui a récemment finalisé un règlement pour les victimes d’une violation de données en 2017 qui a coûté à l’agence d’évaluation du crédit des années de chagrin et des millions de dollars jusqu’à présent.
La faille, qui a exposé les informations personnelles de plus de 163 millions d’individus, découlait d’une vulnérabilité Apache Struts pour laquelle un correctif était disponible depuis deux mois avant son exploitation par des cybercriminels.
Attaquants plus rapides
Que ce soit par manque d’efficacité, par souci de disponibilité du système ou pour diverses autres raisons, de nombreuses entreprises restent clairement lentes à corriger les systèmes, même si les attaquants continuent d’exploiter plus rapidement les vulnérabilités.
Une étude récente de la société de cybersécurité Rapid7, par exemple, a révélé que le délai moyen d’exploitation des vulnérabilités connues avait, d’année en année, chuté de 42 à 12 jours.
Alors que les principaux fournisseurs de technologies démontrent des améliorations significatives dans le déploiement des correctifs, le NIST espère que la mise à jour de ses conseils de gestion des correctifs encouragera également les entreprises à devenir plus agiles.
