Secu
Gestion des patchs de sécurité : rien ne sert de recruter
Par Best Practices, publié le 12 juin 2018
En matière de sécurité, on observe un paradoxe : les vulnérabilités pourtant connues, avec des correctifs disponibles, restent mal gérées. Il est tentant de recruter toujours plus d’experts pour faire face. Une fausse bonne idée… 48-57-64 : il ne s’agit pas d’une partie de la combinaison gagnante du prochain loto.
C’est l’illustration d’un double paradoxe qui caractérise les pratiques de sécurité. Le premier : les entreprises victimes de brèches de sécurité (48 % au cours des douze derniers mois, au niveau mondial, selon une étude Ponemon Institute-ServiceNow) avaient parfaitement les moyens de les colmater en amont, ou, du moins, de retarder l’issue quasi-fatale pour leurs données et leurs systèmes d’information. En effet, 57 % de ces entreprises victimes l’ont été par exploitation de failles pour lesquelles des patchs étaient disponibles. « Scanner les vulnérabilités réduit le risque de faille de 20 %, d’autant que la plupart des attaques réussies exploitent des vulnérabilités connues », assure Sami Smati, senior strategist chez ServiceNow France.
Selon Christian Hindre, directeur commercial de l’éditeur Flexera, « en 2017, 86 % des failles disposaient de patchs le jour de leur divulgation, ce qui montre clairement qu’avec des processus optimisés, il est possible d’appliquer ces correctifs avant que la probabilité que les vulnérabilités soient exploitées n’augmente. » Selon une étude Flexera, le nombre de failles enregistrées en 2017 a en effet augmenté de 14 % par rapport à l’année précédente (19 954, contre 17 147 en 2016).
Lire la suite sur Best Practices