En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d'intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Actualité des entreprises

Flexera recommande une approche standardisée et en fonction des risques

Publication: 29 janvier

Partagez sur
 
L’adoption d’une approche à trois axes permet aux DSI d’affecter le peu de ressources dont elles disposent afin de faire face à ces vulnérabilités critiques...
 

Flexera, l’éditeur qui réinvente l’achat, la vente, la gestion et la sécurisation des logiciels, présente ses recommandations pour une gestion standardisée et basée sur les risques des failles telles que Spectre et Meltdown. Cette approche à trois axes s’appuie sur l’expertise interne de l’entreprise en matière de gestion de vulnérabilités, ainsi que sur les notes de sécurité de l’équipe Secunia Research.

Flexera recommande aux organisations de :

1. Déterminer d’abord la gravité des problèmes : déterminer la gravité réelle du risque lié aux failles Spectre et Meltdown à l’aide d’informations vérifiées

2. Hiérarchiser les risques : s’occuper d’abord des vulnérabilités connues en fonction de leur criticité, et non en fonction de leur médiatisation

3. Corriger les failles à l’aide d’une approche conservatrice : appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés

« L’inquiétude des entreprises vis-à-vis des failles Spectre et Meltdown est plus que légitime. Cependant, depuis leur révélation le 3 janvier dernier, l’équipe Secunia Research de Flexera a publié des dizaines de notes de sécurité sur d’autres vulnérabilités extrêmement critiques. Ces failles pourraient avoir un impact dévastateur sur les organisations si elles venaient à être exploitées », déclare Kasper Lindgaard, directeur de recherche et de la sécurité chez Flexera. « Plus de 17 000 vulnérabilités ont été révélées l’année dernière. Dans ce contexte, les organisations doivent être en mesure de répartir le peu de ressources dont elles disposent de façon optimale afin de minimiser les risques ? Elles doivent avoir accès à des informations vérifiées sur les vulnérabilités, puis adopter une approche rationnelle et basée sur des risques en matière de patches. Dans le cas contraire, elles sont condamnées à courir inlassablement après les menaces. »

Comprendre le véritable risque lié à Spectre/Meltdown

Les failles Spectre et Meltdown sont documentées dans trois entrées du dictionnaire CVE (CVE-2017-5754, CVE-2017-5753, CVE-2017-5715). En dépit de l’ampleur et de la gravité potentielle du problème, les DSI ont besoin d’informations plus approfondies afin d’évaluer correctement les risques (au-delà de leur score dans le CVE). Ces renseignements doivent offrir un contexte sur les produits, et tenir compte des vecteurs d’attaque et de leur impact potentiel en matière de sécurité. Les équipes de sécurité pourront ainsi voir au-delà des spéculations classiques dans les médias.

À ce jour, l’équipe Secunia Research de Flexera a publié plus de 35 notes de sécurité liées à Spectre/Meltdown, la plupart obtenant des scores inférieurs à « modérément critique »" (notes allant de 1 à 3 sur un maximum de 5). Tout ceci indique donc que bien que ces failles soient importantes, d’autres plus critiques représentent donc un risque plus urgent si elles restent non patchées.

Classer les correctifs à appliquer par ordre de priorité

Une fois que les DSI connaissent précisément le risque pour leurs environnements, ils peuvent alors adopter une approche rationnelle et basée sur les risques. Ils pourront ainsi les traiter par ordre de priorité et affecter le peu de ressources dont ils disposent de façon adéquate.

« En raison de leur ampleur, Spectre et Meltdown ont été au cœur de l’actualité des deux dernières semaines. Cependant, les DSI ne doivent pas pour autant se laisser déconcentrer, » poursuit Kasper Lindgaard. « En identifiant d’abord les vulnérabilités les plus dangereuses et en hiérarchisant leurs efforts, ils seront en mesure de minimiser les risques efficacement et de façon rentable. »

Une approche conservatrice

Après ces deux premières étapes, les organisations devraient ensuite appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés. Grâce à des processus établis et à des outils adaptés pour mieux identifier les conséquences des menaces, elles pourront prévoir les impacts des patches en matière de performances et de compatibilité.

« Appliquer des correctifs est essentiel pour réduire l’angle d’attaque. Mais cela doit être fait prudemment et en anticipant leur impact potentiel sur les performances et la stabilité des systèmes. Les efforts de maîtrise des risques doivent être produits avec précaution et en se focalisant sur des modèles basés sur les risques. »

http://www.flexera.fr/

Suivez Industrie Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'Industrie Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: