Les vulnérabilités techniques sont des faiblesses dans les systèmes d’exploitation ou les logiciels. L’exploitation d’une vulnérabilité pourrait permettre à un attaquant (ex. Hacker) ou un programme malveillant d’élever ses privilèges d’accès afin de réaliser des actions malveillantes.
Il s’avère donc important d’appliquer, dans le meilleur délai possible, les correctifs de sécurité (mises à jour logicielles) pour éliminer les vulnérabilités existantes.
Pour les particuliers, il est recommandé d’appliquer automatiquement les correctifs de sécurité, lorsque c’est possible (ex.: Windows). Pour les différents logiciels, on peut utiliser un outil gratuit (ex. Secunia PSI) qui vérifie et installe les mises à jour disponibles sur votre ordinateur. Également, il faut prévoir les mises à jour des autres composantes (ex. votre routeur Internet).
Pour les entreprises, il est recommandé d’implanter une gestion efficace des vulnérabilités par l’entremise d’une directive et procédure qui devraient inclure les actions suivantes :
- Suivre les nouvelles vulnérabilités qui sont découvertes régulièrement (ex.: par l’abonnement à des listes de distribution ou la recherche dans des bases de données de vulnérabilités : NVD- National Vulnerability Database).
- Évaluer le niveau de criticité des vulnérabilités selon différents critères (ex. guide CVSS-2) afin de prioriser les correctifs à appliquer.
- Employer des outils de diffusion ou de déploiement automatisé des correctifs (ex.: SMS).
- Tester les correctifs ou les mesures visant à réduire l’exposition aux vulnérabilités sur un groupe restreint d’ordinateurs, préalablement.
- Tenir à jour un registre des vulnérabilités et des correctifs appliqués.
- Valider l’application des correctifs par l’entremise d’un inventaire logiciel (ex.: SCCM) ou via un logiciel de balayage des vulnérabilités (ex.: Nessus ou Secunia VIM).
- Sensibiliser et former l’équipe responsable de la gestion des vulnérabilités aux outils et procédure.
Finalement, il est important de savoir que :
- Les vulnérabilités des logiciels populaires (ex.: Adobe Reader, Flash, Quicktime), sont généralement aussi importantes à corriger que celles de Windows.
- Un produit non supporté (ancienne version) ne reçoit plus de correctifs de sécurité, donc il est habituellement vulnérable. Par exemple, Windows XP ne sera plus supporté par Microsoft à partir d’avril 2014.
Pour connaitre les versions supportées des produits (les distributeurs fournissent encore des mises à jour), vous pouvez consulter les sites de Microsoft, Oracle ou Adobe.
Voir également d’autres références en gestion des vulnérabilités :
- ISO/IEC 27002 : section 12.8- Gestion des vulnérabilités techniques
- NIST 800-40 Creating a Patch and Vulnerability Managerment Program
- Common Vulnerability and Exposure
Par Patrick Paradis, conseiller en sécurité