Suite au ransomware ayant touché l’hôpital universitaire de Düsseldorf, voici un commentaire plus détaillé qui revient sur l’un des principaux enseignements : l’importance de maintenir ses logiciels à jour. Il est rédigé par Christophe Lambert, Directeur Technique Grands Comptes EMEA chez Cohesity.
Il y a quelques jours, une attaque ransomware a frappé l’hôpital universitaire de Düsseldorf. À ce jour la vénérable institution reste largement paralysée et n’est toujours pas en mesure d’accueillir de nouveaux patients. Cette attaque pourrait bien être l’une des premières à avoir coûté la vie d’une personne, une conséquence particulièrement intolérable de l’avidité des cybercriminels.
Sur le plan technique, les prémisses de l’enquête pointent vers l’utilisation d’une faille logicielle par les attaquants pour introduire le malware dévastateur. Ce nouvel épisode, particulièrement sombre de la guerre contre le ransomware met en lumière un aspect crucial de la cybersécurité : l’importance d’une hygiène impeccable sur les mises à jour.
Conséquence de leur complexité croissante, il est virtuellement impossible de garantir qu’un logiciel ne comporte aucune faille lors de sa mise sur le marché. Une maintenance minimale est nécessaire pour assurer la robustesse d’un code tout au long de son cycle de vie. Dans un monde idéal, lorsqu’une faille est découverte par un éditeur ou un fabricant, il s’empresse de la corriger et de mettre ce correctif à disposition. De leur côté, les utilisateurs effectuent une veille et déploient sans tarder les correctifs poussés par leurs fournisseurs lorsqu’ils sont pertinents pour leur infrastructure.
Malheureusement dans les faits il n’en est rien. Dans son Cyber Attack Trends 2020 mid-year repport, l’équipe de recherche de Check Point révèle que 80 % des attaques observées au cours du premier semestre 2020 ont exploité des vulnérabilités signalées et enregistrées en 2017 et avant, et plus de 20 % des attaques ont exploité des vulnérabilités découvertes il y a sept ans au moins. Interrogés sur ce point, les responsables informatiques évoquent en premier lieu un manque de temps, puis la faible automatisation des procédures et enfin des problèmes de droits d’administrateurs qui freinent les bonnes volontés.
Pour être parfaitement traitée, la problématique des mises à jour doit faire partie des réflexions menées en amont, dès la phase de sélection des solutions qui composent l’infrastructure. L’objectif recherché doit être un minimum de ressources consommées et d’impact sur les opérations. Plusieurs considérations doivent être prises en compte pour maximiser les chances d’obtenir ce résultat :
L’éditeur de la solution considérée est-il solide ? Sera-t-il en mesure d’assurer la maintenance de son produit pendant toute la durée de son utilisation ? Est-ce qu’il investit dans ses équipes de support et de sécurité ? Est-ce que cette solution est en développement actif ? Pour le cas d’une solution open source, est-ce que la communauté est conséquente ? Adossée à une grosse structure ?
Si cette première série de questions ne vous amène pas à écarter la solution considérée, la question des licences doit vous aider à affiner votre sélection. Combien de temps aurez-vous accès à ces mises à jour ? Est-ce que cela entraînera un surcoût ?
Enfin, considérez la partie technique. De quelle manière les mises à jour seront applicables ? Est-ce qu’un degré d’automatisation est possible ? Est-ce qu’elles impliquent une intervention sur site ? Des temps d’arrêt ? Est-ce que vous disposez en interne des compétences requises ? Serez-vous en mesure de détecter, recenser et corriger les failles dans l’intégralité de votre SI, jusque dans vos sauvegardes et vos archives ?
Dans un contexte d’évolution permanente des menaces et de complexité des systèmes, la mise en place de procédures strictes de correction des failles est devenue l’une des pierres angulaires d’une position de cybersécurité robuste. Comme de nombreux aspects de la sécurité, elle doit être prise en compte très en amont de la création d’une architecture.
Les commentaires sont fermés.