Certaines vulnérabilités sont pardonnables, mais une mauvaise gestion des correctifs ne l'est pas

Par Phil Muncaster • 8 Avril 2025

Au début de l'année, le Centre national de cybersécurité du Royaume-Uni (NCSC) a fait appel à l'industrie du logiciel Il faut se ressaisir. Trop de « vulnérabilités fondamentales » se glissent dans le code, rendant le monde numérique plus dangereux, a-t-il affirmé. Le plan consiste à obliger les éditeurs de logiciels à améliorer leurs processus et leurs outils afin d'éradiquer définitivement ces vulnérabilités dites « impardonnables ».

Bien qu'ambitieux, le plan de l'agence mettra du temps à porter ses fruits, si tant est qu'il porte ses fruits. En attendant, les organisations doivent améliorer leurs correctifs. C'est là que la norme ISO 27001 peut contribuer à améliorer la transparence des actifs et à garantir que les mises à jour logicielles sont priorisées en fonction des risques.

Le problème des CVE

Software a mangé le monde Il y a de nombreuses années. Et il y en a plus que jamais aujourd'hui : ils gèrent des infrastructures critiques, nous permettent de travailler et de communiquer en toute fluidité, et offrent une infinité de possibilités de divertissement. Avec l'avènement des agents d'IA, les logiciels s'intégreront toujours plus aux processus critiques sur lesquels les entreprises, leurs employés et leurs clients comptent pour faire tourner le monde.

Mais comme il est (en grande partie) conçu par des humains, ce logiciel est sujet aux erreurs. Les vulnérabilités résultant de ces erreurs de codage constituent un mécanisme clé permettant aux acteurs malveillants de pénétrer les réseaux et d'atteindre leurs objectifs. Le défi pour les défenseurs des réseaux réside dans le fait qu'au cours des huit dernières années, un nombre record de vulnérabilités (CVE) ont été publiées. Le chiffre pour 2024 était sur 40,000Cela représente beaucoup de mises à jour de sécurité à appliquer.

Tant que le volume et la complexité des logiciels continueront de croître et que les chercheurs et les acteurs malveillants seront incités à identifier les vulnérabilités, le nombre annuel de CVE continuera d'augmenter. Cela signifie davantage de vulnérabilités à exploiter pour les acteurs malveillants.

Selon une estimation, L'an dernier, 768 CVE ont été signalés comme exploités. Si 24 % d'entre eux étaient des vulnérabilités zero-day, la plupart ne l'étaient pas. En réalité, même si les outils d'IA aident certains acteurs malveillants, exploiter les vulnérabilités plus rapidement que jamais auparavant, la preuve suggère également Les bugs hérités demeurent un problème majeur. L'étude révèle que 40 % des vulnérabilités exploitées en 2024 dataient de 2020 ou d'avant, et 10 % de 2016 ou d'avant.

Que veut faire le NCSC ?

Dans ce contexte, le plan du NCSC est logique. Bilan annuel 2024 déplore le fait que les fournisseurs de logiciels ne soient tout simplement pas incités à produire des produits plus sécurisés, arguant que la priorité est trop souvent accordée aux nouvelles fonctionnalités et au délai de mise sur le marché.

« Les produits et services sont produits par des entreprises commerciales opérant sur des marchés matures qui, à juste titre, privilégient la croissance et le profit plutôt que la sécurité et la résilience de leurs solutions. Ce sont inévitablement les petites et moyennes entreprises (PME), les associations caritatives, les établissements d'enseignement et le secteur public au sens large qui sont les plus touchés, car, pour la plupart des organisations, le coût est le principal facteur déterminant », souligne le rapport.

« En termes simples, si la majorité des clients privilégient le prix et les fonctionnalités à la « sécurité », les fournisseurs se concentreront sur la réduction des délais de mise sur le marché au détriment de la conception de produits qui améliorent la sécurité et la résilience de notre monde numérique. »

Au lieu de cela, le NCSC espère construire Un monde où les logiciels sont « sécurisés, privés, résilients et accessibles à tous ». Cela nécessitera de simplifier la mise en œuvre des « mesures d'atténuation de haut niveau » pour les fournisseurs et les développeurs grâce à des cadres de développement améliorés et à l'adoption de concepts de programmation sécurisée. La première étape consiste à aider les chercheurs à évaluer si les nouvelles vulnérabilités sont « excusables » ou « impardonnables » et, ce faisant, à créer une dynamique de changement. Cependant, tous ne sont pas convaincus.

« Le plan du NCSC a du potentiel, mais son succès dépend de plusieurs facteurs, tels que l'adoption et l'acceptation par l'industrie, ainsi que la mise en œuvre par les éditeurs de logiciels », prévient Javvad Malik, responsable de la sensibilisation à la sécurité chez KnowBe4. « Il repose également sur la sensibilisation des consommateurs et leur demande de produits plus sécurisés, ainsi que sur le soutien réglementaire. »

Il est également vrai que, même si le plan du NCSC fonctionnait, de nombreuses vulnérabilités « pardonnables » resteraient présentes et empêcheraient les RSSI de dormir. Alors, que peut-on faire pour atténuer l'impact des CVE ?

Une approche basée sur les normes

Malik suggère que la norme de sécurité des meilleures pratiques ISO 27001 est une approche utile.

« Les organisations alignées sur la norme ISO27001 disposeront d'une documentation plus solide et pourront aligner la gestion des vulnérabilités sur les objectifs de sécurité globaux », explique-t-il à ISMS.online.

Dray Agha, directeur principal des opérations de sécurité chez Huntress, affirme que la norme fournit un « cadre clair » pour la gestion des vulnérabilités et des correctifs.

« La norme ISO 27001 permet aux entreprises d'anticiper les menaces en appliquant des contrôles de sécurité réguliers, en priorisant les vulnérabilités à haut risque et en garantissant des mises à jour régulières », explique-t-il à ISMS.online. « Plutôt que de réagir aux attaques, les entreprises utilisant la norme ISO XNUMX peuvent adopter une approche proactive, réduisant leur exposition avant même l'intervention des pirates informatiques et empêchant les cybercriminels de pénétrer dans leur réseau en appliquant des correctifs et en renforçant l'environnement. »

Cependant, Agha soutient que l’application de correctifs à elle seule n’est pas suffisante.

« Les entreprises peuvent aller plus loin dans leur défense contre les cybermenaces en déployant une segmentation réseau et des pare-feu applicatifs web (WAF). Ces mesures constituent des couches de protection supplémentaires, protégeant les systèmes des attaques même en cas de retard de mise à jour des correctifs », poursuit-il. « L'adoption de modèles de sécurité Zero Trust, de systèmes de détection et de réponse gérés et de sandboxing peut également limiter les dégâts en cas de percée d'une attaque. »

Malik de KnowBe4 est d'accord, ajoutant que les correctifs virtuels, la détection des points de terminaison et la réponse sont de bonnes options pour renforcer les défenses.

« Les organisations peuvent également réaliser des tests d'intrusion sur les logiciels et les appareils avant leur déploiement en production, puis périodiquement par la suite. La veille sur les menaces peut être utilisée pour mieux comprendre les menaces et les vulnérabilités émergentes », explique-t-il.

Il existe de nombreuses méthodes et approches différentes. Les options n'ont jamais manqué ; les organisations doivent donc rechercher ce qui convient le mieux à leur profil de risque et à leur infrastructure.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster