Un mauvais régime de correctifs expose les entreprises à de graves problèmes

Lucas Morel

Selon un rapport de S&P Global Ratings, environ 70 % des organisations ne corrigent pas régulièrement les failles de leurs systèmes connectés à Internet.

La correction des vulnérabilités subit un coup dur alors que les équipes de sécurité sont confrontées à la lassitude face à un nombre croissant de vulnérabilités divulguées publiquement.

Selon une analyse de S&P Global Ratings, une division commune de S&P Global et de la société d’analyse des cyber-risques Guidewire, près des trois quarts des organisations corrigent occasionnellement ou rarement les vulnérabilités affectant leurs systèmes.

« Notre analyse suggère que certaines organisations que nous évaluons pourraient mettre du temps à remédier à des cyber-vulnérabilités très ciblées, augmentant ainsi le risque que les systèmes informatiques soient compromis », a déclaré Paul Alvarez, expert principal en cyber-risques chez S&P Global Ratings.

L’analyse, qui a utilisé l’analyse de GuideWire des systèmes informatiques connectés à Internet en 2023, a pris en compte les données de vulnérabilité de plus de 7 000 organisations des secteurs financier et des entreprises.

La remédiation est lente

L’analyse qui a observé les analyses de vulnérabilités de 2023 pour les systèmes situés dans la « surface d’attaque », qui fait référence aux systèmes informatiques connectés à Internet et plus faciles à exploiter, a révélé que 30 % des organisations ont corrigé ces vulnérabilités « occasionnellement ».

Plus de 40 % des organisations ont appliqué des correctifs « peu fréquents », ce qui indique que sept organisations sur dix étaient coupables d’une mauvaise correction des failles qui présentaient le maximum de risques.

La fréquence croissante des vulnérabilités découvertes rend difficile la détermination des éléments à corriger, selon le rapport. La priorisation traditionnelle basée sur le Common Vulnerability Scoring System (CVSS) peut également aggraver la sécurité en contribuant à retarder la remédiation.

La priorisation a peut-être été inadéquate depuis le début

Le système CVSS fournit un moyen standardisé de catégoriser les vulnérabilités qui prend en compte des facteurs tels que la manière dont elles peuvent être exploitées, la difficulté de l’exploit, les privilèges requis, l’interaction utilisateur requise et le degré d’impact de l’exploit.

Ce système pourrait manquer de certaines mesures supplémentaires qui pourraient être utiles pour une priorisation plus précise. Le rapport propose de considérer le système Exploit Prediction Security Score (EPSS), créé par un groupe de intervenants en cas d’incident et d’experts en sécurité appelé Forum of Incident Response and Security Teams (FIRST).

« EPSS collecte autant d’informations sur les vulnérabilités que possible, ainsi que les preuves des vulnérabilités exploitées », a expliqué Alvarez. « Cela inclut (mais sans s’y limiter) des informations sur les vulnérabilités elles-mêmes, la disponibilité du code d’exploitation, les mentions des vulnérabilités sur les réseaux sociaux et les données provenant d’outils de sécurité et de scanners offensants. »

L’EPSS travaille sur un modèle entraîné pour analyser toutes les informations collectées et générer des probabilités d’exploitation, a-t-il ajouté.

Les vulnérabilités observées dans l’analyse ont atteint en moyenne un score CVSS de 4,87 sur 10 lors de l’atterrissage à une moyenne EPSS de 0,33 (sur une échelle de 0 à 1). Bien que cela puisse rendre le système EPSS un peu moins indulgent, Alvarez a une explication différente.

« Étant donné que les scores CVSS et EPSS examinent les vulnérabilités différemment, il ne s’agit pas d’une comparaison de pommes avec des pommes », a-t-il déclaré. « Les scores CVSS ne prennent pas en compte les données réelles sur les menaces. Par conséquent, une vulnérabilité peut avoir un score CVSS élevé mais un score EPSS inférieur. C’est pourquoi les deux scores doivent être pris en considération lorsque l’on tente de donner la priorité à la correction des vulnérabilités.

L’âge de la vulnérabilité joue un rôle

Selon le rapport, les vulnérabilités plus anciennes sont exploitées de manière répétée en raison de leur probabilité de succès.

L’analyse a donc révélé une menace importante, avec 28 % des vulnérabilités détectées datant de 2016, il y a sept ans. Près de 75 % de ces vulnérabilités ont été révélées publiquement il y a sept ans ou plus, la plus ancienne remontant à plus de 24 ans.

Cette exploitation persistante de vulnérabilités vieillissantes souligne la nécessité cruciale d’une gestion rapide et efficace des vulnérabilités. De mauvaises mesures correctives, comme le révèle l’analyse, peuvent également signaler des faiblesses plus larges dans la gestion et la gouvernance globales, ajoute le rapport.