Secu
Un an après, 72% des entreprises restent exposées par la faille Log4Shell
Par Laurent Delattre, publié le 01 décembre 2022
Une nouvelle étude signée Tenable montre qu’un an après sa découverte bien trop d’entreprises n’ont toujours pas mis en œuvre les mesures nécessaires pour se débarrasser de la faille Log4Shell. Un nouveau signal du manque d’attention portée à la supply chain logicielle et du manque de rigueur des entreprises dans la gestion des failles de l’open source.
Chronique d’une mauvaise pratique qui se perpétue… Il y a un an, la faille Log4Shell (touchant la bibliothèque open source de gestion de logs Apache Log4j) bouleversait l’écosystème informatique. Une seconde onde de choc après le traumatisme de l’épisode Sunburst, un an plus tôt, ayant affecté les clients SolarWinds. Deux failles qui ont focalisé l’attention sur les risques de la supply chain logicielle mais qui, à en croire la dernière étude Tenable, n’ont pas suffi à faire évoluer les pratiques.
À l‘époque, Amit Yoran, CEO de Tenable, affirmait déjà que « la vulnérabilité d’exécution de code à distance d’Apache Log4j est la plus grande et la plus critique des vulnérabilités de la dernière décennie. Lorsque toutes les recherches seront terminées, nous apprendrons peut-être qu’il s’agit de la plus grande vulnérabilité de l’histoire de l’informatique moderne ».
De son côté, Renaud Deraison, CTO et fondateur de Tenable, voyait en Log4Shell « un moment comparable à Fukushima pour le monde de la cybersécurité informatique »
À LIRE AUSSI :
S’appuyant sur sa télémétrie et les données recueillies à partir de plus de 500 millions de tests, Tenable constate que, au 1er octobre 2022, 72 % des organisations restaient encore vulnérables à la faille Log4Shell.
Ces données mettent en évidence les difficultés de remédiation des vulnérabilités existantes, qui sont pourtant à l’origine de la majorité des violations de données.
L’étude met en exergue deux autres indicateurs inquiétants :
* Seulement 28 % des organisations dans le monde ont entièrement remédié à Log4Shell au 1er octobre 2022, soit une amélioration de 14 points par rapport à mai 2022.
Le chiffre illustre à lui non seulement la difficulté que représente la correction d’une faille présente sur une bibliothèque open source très largement utilisée en interne comme en externe (par les éditeurs) mais aussi le manque de réactivité des entreprises dans la correction des failles de sécurité. Or la réactivité est la clé d’une bonne cyberdéfense, car les attaquants sont eux toujours très réactifs dès qu’une faille est rendue publique ou qu’un correctif doit être rétro-ingéniéré…
* En octobre 2022, 29 % des actifs vulnérables présentaient des récurrences de Log4Shell après une remédiation complète.
Le chiffre illustre là encore un manque de gestion de la supply chain logicielle. Chassez la menace, elle reviendra par une autre voie… L’effort doit être continu et non ponctuel. Un « push » pour se défaire d’une faille comme Log4Shell ne suffit pas car la faille peut revenir par de nouveaux développements ou la réinstallation/mise à jour de produits non corrigés.
« La remédiation complète est très difficile à réaliser pour une vulnérabilité aussi omniprésente et il est important de garder à l’esprit que la remédiation des vulnérabilités n’est pas un processus qui règle tout “une fois pour toutes” » rappelle ainsi Bob Huber, Chief Security Officer de Tenable. « Bien qu’une organisation ait pu être entièrement remédiée à un moment donné, elle est susceptible de rencontrer à nouveau Log4Shell au fur et à mesure qu’elle ajoute de nouveaux actifs à ses environnements. L’éradication de Log4Shell est une bataille permanente qui demande aux organisations d’évaluer continuellement leurs environnements pour détecter cette faille, ainsi que d’autres vulnérabilités connues. »
À LIRE AUSSI :