On résiste toujours au changement, surtout quand on pense que les processus déjà en place sont efficaces et pertinents. C'est ce que de nombreuses entreprises pensent de leurs procédures de gestion des logiciels, jusqu'à ce qu'elles subissent une faille de sécurité ou un incident, et qu'elles se retrouvent à se demander où elles ont fait fausse route. 

En réalité, la plupar des programmes de gestion des correctifs sont construits sur des suppositions et des recommandations, plutôt que sur les faits concernant les vulnérabilités activement exploitées. La gestion des correctifs basée sur les risques est la solution du problème.

Cet article explique :

Problèmes de la priorisation habituelle

Les mises à jour de fonctions logicielles, les correctifs de sécurité ou de bug, les améliorations de performances et de nombreux autres types de mise à jour logicielle existent depuis la naissance de l'informatique. Les fournisseurs attribuent souvent un score de gravité (ou autre score) à chacun de ces éléments pour que leurs clients sachent ce que le fournisseur considère comme le plus important.

Malheureusement, ces notations ne sont associées à aucune norme du secteur, si bien que nous nous retrouvons à comparer et prioriser les mises à jour à déployer sur nos systèmes sur la base de recommandations. De plus, ces notations sont rarement mises à jour pour tenir compte du contexte des menaces actives, même lorsque les vulnérabilités évoluent. 

Non-prise en compte d'une vulnérabilité activement exploitée

Même si c'est mieux que rien, les scores de gravité des fournisseurs sont souvent inadaptés. Prenons l'exemple de la vulnérabilité Follina (CVE-2022-30190), publiée en mai 2022. Cette vulnérabilité de MSDT (Microsoft Windows Support Diagnostic Tool - Outil de diagnostic du Support Microsoft) permet code à distance.

Follina a été attaquée pendant plusieurs mois avant que Microsoft réagisse finalement en publiant plusieurs mises à jour. Ce qui est inquiétant, c'est que Microsoft a attribué à cette vulnérabilité un score CVSS v3 (Common Vulnerability Scoring System - Système de classement des vulnérabilités courantes) de 7,8 seulement, avec le niveau degravité Important. Si vous appliquez uniquement les correctifs associés au niveau de gravité Critique, vous passez à côté de celui-ci, ce qui crée une faille béante dans votre surface d'attaque. 

Pire encore, le score CVSS de Follina est resté à 7,8 même après la révélation de l'exploitation active de cette vulnérabilité pour distribuer le ransomware Bisamware. Les entreprises ayant négligé cette vulnérabilité étaient donc encore plus exposées au danger.

Ivanti Neurons for Vuln KB
Affichage de l'intelligence des menaces de ransomware associée à CVE-2022-30190 dans Ivanti Neurons for VULN KB

Lacunes de CVSS

Les scores de gravité sont « augmentés » des scores CVSS de FIRST. Chaque CVE reçoit un score CVSS, comme celui de 7,8 attribué à CVE-2022-30190 dans l'exemple ci-dessus.

L'un des principaux objectifs du calcul du score CVSS réel est de garantir la normalisation, pour que toutes les CVE soient notées de façon cohérente et puissent être correctement 

comparées. Plus le score CVSS d'une vulnérabilité et du correctif associé est élevé, plus il est essentiel de déployer ce correctif dans la plupart des environnements. 

Pour les mises à jour logicielles qui couvrent plusieurs CVE, la priorisation tient généralement compte du score CVSS le plus élevé. Mais cette valeur est-elle exacte ?

Dans un article récent, l'analyse des scores CVSS a montré qu'il existe un écart pour près de 20 % des scores CVSS (25 000). Cette analyse reposait sur une comparaison entre les 

scores enregistrés dans la base NVD (National Vulnerability Database - Base nationale des vulnérabilités) du NIST et ceux transmis par les fournisseurs eux-mêmes. 

Incohérences des gravités fournisseur

Un point important à garder en mémoire, c'est que les fournisseurs utilisent traditionnellement leur propre terminologie pour parler de la gravité (Critique, Important, par exemple). L'utilisation d'un score de gravité fournisseur fonctionne bien pour comparer tous les correctifs publiés par un même fournisseur, mais il ne permet pas toujours de comparer correctement les correctifs de plusieurs fournisseurs. En fait, certains utilisent une terminologie totalement différente. 

De même, la gravité fournisseur n'est pas toujours un indicateur positif. De nombreuses vulnérabilités Zero Day sont seulement classées Important par Microsoft alors qu'elles ont un score CVSS élevé. Vous comprenez donc pourquoi l'application de correctifs en se fiant à la gravité et au score CVSS pour la priorisation revient à utiliser des suppositions et des recommandations, et peut rendre votre environnement vulnérable. 

Pourquoi prioriser les exploitations actives au lieu d'utiliser une autre méthode ?

D'après la CISA (US Cybersecurity and Infrastructure Security Agency), une vulnérabilité activement exploitée est une vulnérabilité

« pour laquelle on a une preuve fiable de l'exécution d'un code malveillant par un acteur sur un système sans la permission du propriétaire de ce système ». En d'autres termes, une vulnérabilité activement exploitée est une vulnérabilité ayant été utilisée par un pirate pour réaliser une cyberattaque. 

Ainsi, pour limiter les risques d'une attaque visant votre entreprise, vous devez donner la priorité aux vulnérabilités activement exploitées, avant toutes les autres. C'est une bonne nouvelle, car la majorité des vulnérabilités n'est pas activement exploitée, et ne présente donc pas de danger pour votre entreprise. Vous pouvez identifier celles qui ont été exploitées via la gestion des correctifs basée sur les risques. 

Qu'est-ce que le RBPM (Gestion des correctifs basée sur les risques) ?

Voici la définition qu'en donne notre document « Le guide ultime pour la gestion des correctifs basée sur les risques » (Le guide ultime pour la gestion des correctifs basée sur les risques) :

« La gestion des correctifs basée sur les risques va au-delà de la gravité fournisseur et du score CVSS, afin d'identifier et de qualifier les vulnérabilités spécifiques les plus dangereuses pour une entreprise.

Extension de la gestion des vulnérabilités basée sur les risques, cette méthode ajoute le contexte de risques réel sur le terrain au processus de gestion des correctifs, en incorporant des mises à jour pour les vulnérabilités exploitées connues les plus importantes pour la sécurité d'une entreprise. »

Comment mon entreprise peut-elle adopter la gestion des correctifs basée sur les risques ?

Pour les entreprises qui souhaitent adopter une approche basée sur les risques pour la gestion des correctifs, le catalogue KEV (Known Exploited Vulnerabilities - Vulnérabilités exploitées connues) de la CISA constitue un bon point de départ. La CISA a fait un grand pas en avant pour faciliter la priorisation des vulnérabilités lorsqu'elle a mis en place la directive opérationnelle contraignante BOD 22-01 et son catalogue KEV.

Lors de sa publication initiale, ce catalogue contenait environ 200 vulnérabilités activement exploitées. Depuis, il a grossi pour atteindre presque 900 entrées. 

La CISA établit sa liste en sachant que les vulnérabilités qu'elle contient sont exploitées sur le terrain dans des attaques réelles. Cependant, cette liste a ses défauts, car elle exclut actuellement 131 vulnérabilités associées aux ransomwares.

Le catalogue KEV de la CISA est-il la seule ressource disponible pour la gestion des correctifs basée sur les risques ?

Les entreprises dont les pratiques de gestion des correctifs basée sur les risques sont plus matures ont recours à des méthodologies avancées d’évaluation des risques, à la place ou en complément des scores CVSS. Ces méthodologies affectent un score à chaque vulnérabilité identifiée dans l'environnement de l'entreprise, ce qui permet à cette dernière d'étendre son approche basée sur les risques au-delà du CISA KEV. 

De nombreux fournisseurs du marché de la gestion des vulnérabilités sur la base des risques ont développé des méthodologies de notation exclusives, dont les scores expriment le risque réel que présente chaque vulnérabilité. Pour ce faire, ils fournissent des évaluations de risque dynamiques qui accordent une pondération supplémentaire aux vulnérabilités activement exploitées. 

Par exemple, le système Ivanti Vulnerability Risk Rating (VRR - Score de risque de la vulnérabilité) attribue à Follina le score 10, qui représente la dangerosité de cette vulnérabilité de façon bien plus réaliste que son score CVSS de 7,8.

Ivanti's VRR rating of Follina.

Ivanti's VRR rating of Follina.
Différence entre les scores VRR et CVSS v3, et les niveaux de gravité de CVE-2022-30190, telle que présentée dans Ivanti Neurons for VULN KB

Pourquoi le moment est idéal pour adopter la gestion des correctifs basée sur les risques

Si vous avez l'impression d'avoir pris du retard dans les mises à jour système, ou si vous êtes submergé par les nouveaux systèmes et applications de votre entreprise, c'est le moment idéal pour adopter la gestion des correctifs basée sur les risques. 

Même si vous pensez avoir mis en place un programme solide basé sur les niveaux de gravité et les scores CVSS, il est temps de dépasser votre résistance au changement et d'entamer un nouveau processus, avant que votre entreprise ne soit dévastée par une fuite de données due à une vulnérabilité exploitée. 

Commencez par utiliser le CISA KEV pour prioriser vos mises à jour, et par réserver un budget à une solution de gestion des vulnérabilités et des correctifs basée sur les risques. Une fois les outils corrects mis en place, vous pourrez rapidement identifier les systèmes les plus en danger pour leur appliquer les correctifs en premier, puis descendre dans la liste pour garantir que vos systèmes sont sécurisés. 

Prêt à faire le premier pas ? Plongez-vous dans cet eBook. Vous y trouverez un guide unique pour implémenter un programme moderne de gestion des correctifs basée sur les risques.