L’augmentation des failles alimente la nécessité pour les RSSI de repenser la gestion des vulnérabilités

Lucas Morel

Les pics de découverte de vulnérabilités assistées par l’IA mettront davantage l’accent sur les pratiques de gestion des correctifs, ce qui renforcera le besoin de correctifs « juste à temps » et d’autres stratégies défensives en temps réel basées sur les risques.

Les experts en sécurité appellent les entreprises à réviser leurs stratégies de gestion des vulnérabilités et à adopter des correctifs « juste à temps » en réponse au rythme croissant d’exploitation des vulnérabilités.

Les attaquants se tournent vers l’IA pour augmenter le taux d’exploitation des vulnérabilités et de compromission de la chaîne d’approvisionnement, de sorte que les formes traditionnelles de gestion des vulnérabilités ne suivent plus le rythme.

Frontière sauvage

Les outils Frontier AI tels que Claude Mythos ont signalé un changement structurel en matière de cybersécurité, faisant rapidement apparaître des vulnérabilités à grande échelle – une évolution qui, comme le soulignent les organisations gouvernementales d’assurance de la sécurité telles que le National Cyber ​​Security Centre du Royaume-Uni, est susceptible de conduire à une augmentation du nombre de correctifs.

Shane Fry, CTO chez RunSafe Security, fournisseur de cybersécurité, affirme que l’application de correctifs en tant que stratégie de sécurité est en crise depuis des années et que la découverte de vulnérabilités accélérée par l’IA l’a simplement poussée à bout.

Certains experts affirment que l’application de correctifs virtuels – une technique qui consiste à bloquer les tentatives d’exploitation au niveau d’une couche de sécurité plutôt que de réparer le code vulnérable – représente une bonne stratégie d’atténuation, mais Fry a des réserves quant à cette approche.

« Même si les correctifs virtuels joueront un rôle à l’avenir, leur efficacité est limitée et laisse les équipes de sécurité courir après une lacune qu’elles ne pourront jamais combler », déclare Fry.

Au lieu de cela, les équipes de sécurité doivent s’orienter vers des approches axées d’abord sur l’atténuation, qui empêchent les attaquants d’exploiter les bogues des logiciels.

« La suppression immédiate de classes entières d’exploits atténue le manque de correctifs et permet aux correctifs de devenir stratégiques plutôt que réactifs », affirme Fry.

« Assumer l’autonomie »

Le modèle conventionnel de gestion des correctifs a été conçu dans un monde où la découverte des vulnérabilités se faisait à vitesse humaine : un chercheur humain trouve une faille, la signale, un CVE est attribué, les fournisseurs envoient un correctif, les entreprises le testent et le déploient – ​​un processus qui peut prendre des semaines.

La découverte de vulnérabilités basée sur l’IA fait sortir ce modèle de l’eau.

« Si l’IA offensive peut identifier, valider et exploiter des vulnérabilités sans autorisation humaine, un délai médian de mise à jour de 43 jours, comme indiqué dans le DBIR de Verizon, est le moindre de vos problèmes », affirme Rik Ferguson, vice-président du renseignement de sécurité chez Forescout. « Un système d’IA n’attend pas qu’une preuve de concept circule sur GitHub ou qu’un score CVSS atterrisse dans un tableau de bord. Il trouve la faille, confirme l’exploitabilité et bouge. »

Ferguson préconise un changement d’approche vers ce qu’il décrit comme « Assumer l’autonomie ».

« La question est de savoir quels contrôles compensatoires mettre en place entre la découverte et la correction, et comment limiter ce qu’un attaquant peut faire avec l’accès qu’il a déjà acquis », explique Ferguson.

L’application de correctifs juste à temps s’inscrit dans cette philosophie et constitue un objectif souhaitable, mais peut être difficile à atteindre en pratique, en particulier pour les nombreuses entreprises qui ont des difficultés avec la gestion des actifs.

« L’application de correctifs juste à temps est en principe une bonne idée : priorisez et déployez les correctifs à mesure que les informations d’exploitation émergent plutôt que d’attendre la fenêtre planifiée », explique Ferguson. « Mais pour y parvenir, il y a certaines exigences concrètes : une visibilité continue des actifs, savoir précisément ce que vous avez, où ils se trouvent et quel est leur statut d’exposition actuel. »

Par exemple, ajoute Ferguson, « vous ne pouvez pas corriger juste à temps une vulnérabilité dans un appareil dont vous ignoriez qu’il se trouvait sur votre réseau ».

Correctifs virtuels

Gunter Ollmann, directeur technique de Pen Testing en tant que société de services Cobalt, note que l’application de correctifs juste à temps est logique si et quand un correctif est disponible, mais ce n’est pas toujours possible.

« Le problème majeur réside dans la découverte de nouvelles vulnérabilités dans le code ou les systèmes que l’entreprise n’a ni le droit ni la capacité de corriger elle-même, et elle dépend de tiers pour développer le correctif ou le correctif – et est donc soumise à des redressements externes de SLA (accord de niveau de service) », explique Ollmann.

Dans de tels cas, les entreprises devront déployer des correctifs virtuels capables de bloquer ou de détourner les vecteurs d’exploitation du système vulnérable.

« Les entreprises ont désespérément besoin de déchiffrer rapidement une nouvelle vulnérabilité et de créer dynamiquement une ou plusieurs règles de blocage appropriées pour leurs défenses à plusieurs niveaux », explique Ollmann.

« Un contrôle au niveau de la couche réseau qui bloque l’exploitation d’une faille connue, pendant que vous travaillez sur le cycle de test et de déploiement du correctif réel, est un contrôle compensatoire », note Ferguson, qui prévient que les correctifs virtuels présentent de multiples inconvénients.

« Les correctifs virtuels nécessitent des signatures de détection précises, ils ne corrigent pas la vulnérabilité sous-jacente et ils peuvent créer un faux sentiment de fermeture qui retarde indéfiniment l’application correcte des correctifs », affirme Ferguson. « Le risque est que le temporaire devienne permanent. La vulnérabilité sous-jacente reste ouverte et le correctif virtuel devient la raison pour laquelle personne ne le revisite. »

Réduction des risques juste à temps

Douglas McKee, directeur de l’intelligence des vulnérabilités chez Rapid7, préconise ce qu’il décrit comme une réduction des risques juste à temps plutôt que des correctifs juste à temps en raison des difficultés pratiques de cette dernière.

« Dans le monde réel, en particulier dans les domaines de l’OT, des dispositifs médicaux et des systèmes critiques pour l’entreprise, il n’est pas toujours possible de mettre à jour les correctifs dès qu’un CVE tombe », affirme McKee. « Vous avez toujours besoin de tests, de fenêtres de maintenance, de plans de restauration et d’un propriétaire réel de l’actif. Cependant, l’ancien cycle mensuel d’analyse, de rapport et de correction ne survivra pas à ce rythme. »

Conseils pour moderniser la gestion des vulnérabilités

La surface d’attaque des entreprises s’est considérablement élargie ces derniers temps, et les modèles de gestion des correctifs n’ont pas suivi le rythme. En réponse, les stratégies de gestion des vulnérabilités des responsables de la sécurité doivent devenir davantage une fonction de surveillance continue et non un processus de tri et de remédiation.

La modernisation des approches d’entreprise en matière de gestion des vulnérabilités implique « une intelligence d’exploitation en temps réel intégrée à la priorisation, des contrôles compensatoires déployés lors de la découverte plutôt qu’au moment de la publication du correctif, et une visibilité sur l’ensemble des actifs que les outils conventionnels de gestion des correctifs n’ont jamais été conçus pour couvrir », explique Ferguson.

McKee de Rapid7 souligne que les équipes de sécurité doivent séparer les « vulnérables connus » des « réellement accessibles et exploitables dans mon environnement ».

Ce processus peut être réalisé grâce à une combinaison d’inventaire des actifs, de cartographie de l’exposition Internet, de suivi KEV, de renseignements sur les vulnérabilités, de propriété et de chemins de changement d’urgence.

« La priorisation basée sur des facteurs de risque tels que l’exposition du public, l’exploitation connue, le potentiel d’automatisation et l’impact technique est essentielle », conclut McKee.

Logiciel de gestion des correctifsSécuritéPratiques de sécuritéVulnérabilitésGestion des risques