LastPass Labs est la base de contenu de l’équipe TIME (Threat Intelligence, Mitigation, and Escalation) de LastPass. L’analyse approfondie des derniers développements en matière de sécurité, la veille technologique ainsi qu’un regard acéré sur les cybermenaces sont nos principaux objectifs.
La cybersécurité est une nécessité pour toutes les entreprises, des plus grandes multinationales aux start-ups individuelles. Et si certaines d’entre elles jouissent de gros budgets entièrement dédiés à la cybersécurité, d’autres doivent composer avec des ressources limitées et ainsi établir des priorités pour obtenir un maximum de résultats. Outre la mise en place de contrôles stricts des e-mails avec la recherche et le blocage des messages malveillants ainsi que la sensibilisation et la formation des employés pour diminuer le risque d’attaques par ingénierie sociale, la gestion des vulnérabilités est un pilier central de tout programme de cybersécurité de base et génère un retour sur investissement immédiat. Les exploitations fructueuses de vulnérabilités font partie des premières causes de cyberincidents. En effet, dans son rapport M-Trends 2023, Mandiant indique que 36 % des investigations concernant des intrusions ont révélé l’exploitation d’une vulnérabilité.
La compréhension de l’infrastructure technologique en présence et la connaissance des appareils compris dans le réseau grâce à la gestion des actifs sont fondamentales dans plusieurs cadres de cybersécurité, notamment celui de l’Institut national américain des normes et de la technologie (National Institute of Standards and Technology, ou NIST). Connaître leur inventaire technologique permet aux entreprises de toutes tailles de savoir rapidement si elles sont en proie à de nouvelles vulnérabilités et d’opter pour la bonne stratégie de correction. On ne peut pas protéger de ce dont on ignore la présence. Il est extrêmement important d’identifier la présence de vulnérabilités au sein de son environnement et de les corriger au plus vite. D’après le rapport d’information sur les vulnérabilités 2022 de Rapid7, plus de la moitié des vulnérabilités étudiées ont été exploitées dans les sept jours ayant suivi leur divulgation publique, soit 12 % de plus qu’en 2021 et 87 % de plus qu’en 2020.
Si la plupart des gens associent les vulnérabilités aux grands éditeurs de logiciels, la dépendance aux logiciels open source complexifie encore l’environnement de menaces de vulnérabilités. Selon une étude d’OpenUK, 90 % des entreprises utilisent des logiciels open source, ce qui augmente les risques pour la sécurité des chaînes d’approvisionnement au-delà des préoccupations standards concernant les systèmes d’exploitation et/ou les logiciels propriétaires. Par ailleurs, Gartner estime que 45 % des entreprises du monde entier devraient voir leur chaîne d’approvisionnement logicielle attaquée au moins une fois d’ici 2025. L’utilisation généralisée de logiciels open source crée des dépendances difficiles à identifier si elles ne sont pas suivies de près. Par exemple, un an après sa première divulgation et bien qu’il s’agisse de l’une des vulnérabilités les plus exploitées en 2022, la vulnérabilité Apache Log4j (CVE-2021-44228) était encore retrouvée dans 5 % des codebases audités par Synopsys, d’après son rapport sur l’analyse des risques et la sécurité open source de 2023.
Enfin, la popularisation des programmes de travail à domicile et de « bring your own device » (BYOD, ou apportez votre équipement personnel de communication, en français) a étendu la surface d’exposition de la plupart des entreprises bien au-delà des frontières traditionnelles de telles infrastructures. De ce fait, les organisations doivent tenir compte des vulnérabilités potentielles échappant à leur contrôle direct. Il est essentiel de mettre en place des politiques d’application de correctifs rigoureuses ainsi que de former et de communiquer avec les employés pour renforcer les frontières élargies de l’environnement d’une entreprise.
Les mesures à prendre
- Établissez des politiques et des procédures de gestion des vulnérabilités et des correctifs alignées sur les priorités de votre entreprise et les bonnes pratiques du secteur. Des politiques claires indiquant la marche à suivre face à de nouvelles vulnérabilités accélèrent et facilitent la correction.
- Si possible, investissez dans des outils permettant la détection automatique des actifs et des vulnérabilités et/ou des problèmes susceptibles de les affecter.
- Dressez un inventaire complet des actifs des logiciels propriétaires de votre environnement, mais aussi des éventuelles dépendances open source entre vos applications. Les nomenclatures logicielles peuvent vous permettre d’identifier les éléments open source essentiels à vos opérations et d’agir rapidement en cas de nouvelle vulnérabilité.
- Lorsque cela est possible, activez la mise à jour automatique de vos logiciels pour traiter les vulnérabilités au plus vite. Si des tests sont nécessaires pour écarter toute perturbation des opérations causée par les mises à jour, effectuez-les dans les plus brefs délais.
- Le nombre de vulnérabilités divulguées chaque année peut être impressionnant. Par exemple, plus de 25 000 vulnérabilités ont été révélées en 2022. Classez ces vulnérabilités par ordre de priorité pour les corriger en fonction de leur gravité et de leur exploitation active, ou non, par les auteurs des menaces. Pour ce faire, vous pouvez vous appuyer sur le catalogue des vulnérabilités exploitées connues que l’Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, ou CISA) a créé et met à jour régulièrement (le catalogue est accessible ici). Cette liste, accessible gratuitement par tous, peut constituer une ressource clé pour distinguer les véritables menaces et ainsi déterminer l’ordre de priorité dans l’application de correctifs. De plus, le Forum des équipes d’intervention et de sécurité en cas d’incident (Forum of Incident Response and Security Teams, ou FIRST) a élaboré un système de score de prévision d’exploitation (ou EPSS pour Exploit Prediction Scoring System) pouvant également faciliter la hiérarchisation des vulnérabilités à corriger en fonction de la probabilité de leur exploitation.
- Il peut aussi être très utile de développer une méthodologie de hiérarchisation personnalisée pour agir rapidement et efficacement face à de nouvelles vulnérabilités. Un tel modèle dépendrait d’un ensemble d’éléments externes, tels que le score CVSS et la preuve de l’exploitation active d’une vulnérabilité, et d’éléments internes comme le caractère essentiel et/ou l’accessibilité en externe, ou non, des actifs impactés.
- Instaurez des politiques claires pour la mise à jour des appareils BYOD et communiquez leurs règles aux employés. Attirez l’attention de ces derniers sur les nouvelles vulnérabilités pouvant toucher ces appareils (notamment les téléphones portables et les ordinateurs personnels) pour qu’ils soient en mesure de les corriger rapidement.