Qu'on se le dise, les systèmes qui ne sont pas régulièrement mis à jour sont fortement exposés aux cyberattaques. Dans ce contexte, le ransomware WannaCry fait figure d'illustration parfaite de la vulnérabilité des postes.
En mai 2017, il s'était répandu à l'échelle mondiale grâce à une vulnérabilité sur les environnements Windows au sein de systèmes qui n'avaient pas colmaté la faille de sécurité, alors même qu'un correctif existait depuis plusieurs mois. Cet événement a impacté des milliers d'entreprises et organisations. Le spectre de WannaCry semble revenir régulièrement : cette année, une autre faille importante liée au système d'exploitation Windows a été détectée, sous le nom de SMBGhost. Une vulnérabilité qui concernait le même protocole que celui visé par WannaCry, et dont l'exploitation aurait pu être catastrophique.
Faire converger cybersécurité et impératif opérationnel
Les mises à jour sont au cœur d'une dualité forte, avec le double objectif de garantir la sécurité tout en tenant compte des contraintes opérationnelles propres à chaque organisation. En effet, si les mises à jour existent pour corriger des bugs et vulnérabilités, elles apportent parfois aussi leur lot de contraintes. Dans le secteur industriel et OT, elles peuvent par exemple entraîner des effets indésirables, comme un arrêt prolongé de la production. Leur impact peut donc s'avérer être majeur, les cycles de maintenance associés à l'application des correctifs doivent, de ce fait, être préparés et programmés avec la plus grande attention. De manière plus générale, en dehors de l'industrie, certaines mises à jour peuvent générer des régressions, rendre un site web indisponible ou impacter la productivité des utilisateurs pendant un certain temps. Au regard de ces éléments, le sujet des mises à jour est aussi complexe que paradoxal.
Faut-il donc réaliser ses mises à jour ?
Cette question est stratégique et fait débat au sein des entreprises. Tout d'abord, il faut cartographier les contraintes opérationnelles et les environnements de travail de l'organisation. N'oublions pas que les mises à jour peuvent s'avérer très complexes, voire impossibles dans certains cas. Contrôle et anticipation sont donc deux éléments à prendre en compte pour limiter les risques.
Comme nous l'avons vu, automatiser les mises à jour de simples postes de travail liés à des usages bureautiques traditionnels ne peut être appliqué dans le cadre d'un environnement industriel critique. Pour ce contexte, il est nécessaire de concevoir un environnement de test pour évaluer les impacts d'une mise à jour et ainsi éviter de perturber le système opérationnel. De plus, certaines mises à jour peuvent entrainer une incompatibilité de l'application avec un ancien système, rendant impossible l'application du correctif. Il existe également d'anciennes applications métier qui ne tournent que sur des systèmes d'exploitation obsolètes. Dans ce cas, les éditeurs doivent accompagner les entreprises dans la réalisation de leurs mises à jour et imaginer des moyens pour isoler les systèmes impactés et filtrer au maximum leurs communications pour réduire le risque, en attendant une prochaine migration. N'oublions pas que ne pas réaliser ses mises à jour revient à exposer largement son système d'information à des cyber attaques.
Promouvoir la culture de la mise à jour
Si le caractère critique des mises à jour se diffuse de plus en plus dans les entreprises, certaines ont encore du mal à percevoir clairement les risques liés à la non-réalisation de celles-ci. Encore trop d'entre elles pensent qu'elles ne peuvent pas être concernées par une cyber attaque. C'est le cas dans les domaines de l'OT, où la culture cyber n'est pas encore suffisamment développée. Il est donc stratégique que les éditeurs et les fournisseurs accompagnent leurs clients pour faire adopter cette culture.
La pédagogie des éditeurs et équipementiers est au cœur du processus d'acculturation et de sensibilisation des entreprises. Pour simplifier ce processus, il peut être par exemple utile de présenter des cas concrets ou de communiquer sur des exploitations réelles de vulnérabilités critiques. En plus de sensibiliser, les éditeurs et fournisseurs doivent aussi accompagner les processus de mises à jour et être précis lorsqu'ils délivrent une nouvelle version corrective pour aiguiller le client : il faut pouvoir identifier clairement s'il s'agit d'un correctif de bug ou d'un patch de vulnérabilité. L'éditeur doit en quelque sorte justifier les mises à jour qu'il propose et bien présenter les risques associés pour rassurer une entreprise, car, d'une manière ou d'une autre, les clients seront toujours tentés de prioriser la production avant le reste.
Les responsables IT jouent aussi un rôle essentiel dans cette démarche. En effet, les mises à jour et les procédures associées (fréquence des mises à jour, activation de mises à jour automatiques ou non, etc.) sont de la responsabilité des départements IT, et doivent être pilotées et centralisées à leur niveau, et non au niveau des utilisateurs. Les équipes IT sont les mieux placées pour répondre correctement à la problématique des mises à jour, pour évaluer leur criticité, pour éduquer quant à leur nécessité et pour fournir les bons moyens de supervision nécessaires à leur déroulement.
Au regard de ces éléments, il est donc conseillé de diffuser cette culture de la mise à jour pour permettre aux entreprises de mener à bien cette étape sans altérer leurs capacités de production. C'est à cette condition qu'elles pourront s'appuyer sur des environnements, matériels et applications sécurisés, toujours à jour et bénéficiant des derniers correctifs de sécurité.