Si le nom de Pavlov vous dit quelque chose, il y a de fortes chances que vous ayez entendu parler de sa célèbre expérience. Pour résumer, Ivan Pavlov a réussi à associer la nourriture au son de la cloche, au point que la cloche elle-même déclenche une réponse chez le participant.
C’est une découverte intéressante, car elle prouve qu’avec un renforcement suffisant, une tendance se développe pour associer automatiquement une chose à une autre. C’est aussi ce que nous avons vu se produire avec la sécurité des logiciels IBM® au fil des ans : correctifs de sécurité = sécurité des logiciels IBM®.
Pensez-y : on annonce une vulnérabilité pour IBM® WebSphere et, presque instinctivement, vous vous demandez où et à quelle vitesse vous pouvez obtenir un correctif de sécurité. Bien sûr, il n’est pas surprenant que cela soit courant car c’est la responsabilité d’IBM de fournir les correctifs !
Mais les correctifs de sécurité ne sont pas le seul moyen pour votre entreprise de se protéger contre les vulnérabilités. En fait, il y a beaucoup de choses qu’une entreprise peut faire avec ses logiciels pour se protéger des vulnérabilités avant avant même qu’elles ne soient découvertes.
Chez Origina, nous mettons en œuvre une approche à plusieurs niveaux de la cybersécurité pour nos clients de l’assistance logicielle indépendante, afin qu’ils ne se contentent pas d’un patch de sécurité pour se sauver. Voyons pourquoi et comment nous le faisons.
Les correctifs de sécurité : Pas de solution miracle
Les clients potentiels nous disent souvent : « Comment Origina peut-elle assurer la sécurité de notre logiciel si elle ne peut pas écrire de correctifs de sécurité pour celui-ci ? » et c’est une question légitime.
Si nous pouvons bien sûr aider un client à installer les correctifs de sécurité auxquels il a droit – qui peuvent atténuer une nouvelle vulnérabilité selon sa nature – nous ne pouvons évidemment pas écrire un correctif de sécurité pour une toute nouvelle vulnérabilité, car cela reviendrait à enfreindre le code d’IBM. Mais cela ne signifie pas non plus qu’il n’y a rien à faire pour sécuriser un produit sans correctif de sécurité.
Prenons un peu de recul : qu’obtient-on avec un correctif de sécurité ? Vous pouvez penser qu’IBM protège vos logiciels, mais en réalité, c’est IBM qui protège ses propres logiciels contre les risques de sécurité. En d’autres termes, IBM ne publie pas ce correctif de sécurité parce qu’il sait que votre stratégie de sécurité en dépend. Elle publie le correctif de sécurité parce qu’elle veut corriger les défauts de son produit !
Il s’agit d’une distinction importante, car si votre stratégie de sécurité consiste à attendre qu’une autre entreprise publie un correctif de sécurité, vous risquez de constater que ses intérêts ne correspondent pas nécessairement aux vôtres. IBM peut mettre des mois à développer, tester et publier un correctif de sécurité – si elle le fait – et pendant ce temps, la vulnérabilité risque toujours d’être exploitée.
Cela ne veut pas dire que les correctifs de sécurité ne sont pas utiles, car ils le sont certainement. Les IBM® Fix Packs et les correctifs de sécurité sont les premiers éléments que nous recherchons lorsque nous découvrons une vulnérabilité dans l’application d’un client. Il est toutefois important de reconnaître qu’ils ne constituent pas la référence en matière de sécurité, mais plutôt une soupape de sécurité.
Une stratégie de sécurité efficace et bien exécutée vise à réduire ce que l’on appelle la surface d’attaque, c’est-à-dire le nombre de points d’entrée potentiels qu’un cybercriminel peut exploiter. En fermant la surface d’attaque, il y a moins de chances que vous ayez besoin d’un correctif de sécurité.
Si les correctifs de sécurité jouent un rôle dans la fermeture de ces voies d’accès, leur rôle est minime par rapport à certaines des autres tactiques qui peuvent être utilisées. Ces techniques ne remplaceront pas un correctif de sécurité, mais elles complèteront grandement ce qu’un correctif de sécurité accomplit : protéger votre entreprise contre les risques de sécurité.
L’approche multicouche d’Origina en matière de cybersécurité
Origina intègre la sécurité dans la conversation sur le support et la maintenance des logiciels dès le premier jour grâce à son examen de la transition des services. En prenant le temps d’identifier les risques de sécurité courants – et les menaces pour les performances et la stabilité ! – qui n’ont pas été résolus, les équipes techniques peuvent commencer à sceller la surface d’attaque avec des recommandations de meilleures pratiques.
Grâce au durcissement des produits, les entreprises peuvent configurer les applications IBM de la manière la plus sûre possible. Les vulnérabilités sont souvent composées de risques de sécurité courants qui sont facilement modifiés, comme les niveaux d’accès des utilisateurs ou les ports ouverts, et le durcissement des produits vise à éliminer ces risques de l’équation. En fait, le durcissement des produits peut réduire jusqu’à 85 % des risques de sécurité !
Nous aidons également nos clients à tirer parti du pare-feu d’application web open-source ModSecurity. Lorsqu’ils sont correctement mis en œuvre et exploités, nous avons réussi à atténuer des vulnérabilités qui existaient toujours après l’application d’un correctif de sécurité. L’outil s’appuie sur les signatures communes que les cybercriminels laissent lorsqu’ils lancent une attaque. En reconnaissant cette signature et en empêchant l’utilisation abusive de ce point d’entrée, les entreprises peuvent efficacement appliquer un « patch virtuel » contre les menaces de sécurité émergentes.
Lorsqu’une vulnérabilité ou un risque de sécurité est identifié dans l’environnement d’un client, nous examinons les correctifs de sécurité auxquels il a droit et que nous avons téléchargés avant qu’il ne devienne client d’Origina. Mais comme vous pouvez le constater, il y a beaucoup de travail à faire avant !
Nous vérifierons d’abord la collection de Fix Packs et de correctifs de sécurité à laquelle le client a droit. S’il n’y a pas de solution, nous nous tournerons vers ce que l’on appelle une « solution de contournement » pour atténuer la vulnérabilité. Il s’agit de correctifs spécifiques à un produit qui impliquent que nos experts indépendants Global IBM® examinent la manière dont la vulnérabilité est exploitée et mettent en œuvre des changements dans la manière dont l’application est utilisée ou fonctionne pour empêcher un cybercriminel de l’exploiter. Si ces mécanismes de défense échouent, nous chercherons à développer, à tester et à mettre en œuvre un code indépendant, qui offre les mêmes avantages qu’un correctif de sécurité sans que nous ne violions les droits d’auteur d’IBM.
Si vous souhaitez en savoir plus sur notre approche de la sécurité, vous trouverez un excellent webinaire à ce sujet ici.
Les correctifs de sécurité : Toute la stratégie, ou une partie ?
Les correctifs de sécurité sont un élément extrêmement important d’une stratégie de sécurité bien maintenue et ils doivent toujours être pris en compte lorsqu’on envisage de protéger une application. Mais ils ne peuvent pas être considérés comme la seule ligne de défense, car il existe d’autres options permettant de prévenir l’éventualité d’une vulnérabilité affectant une entreprise.
Chez Origina, nous intégrons les correctifs de sécurité dans une vision d’ensemble. Ils ne sont pas une solution miracle, une carte de sortie de prison, mais l’un des éléments d’une infrastructure sécurisée.
Regardez notre webinaire pour en savoir plus sur la manière dont nous assurons la sécurité ou lisez notre guide sur le support des logiciels tiers pour obtenir plus d’informations sur les risques et les avantages du support indépendant des logiciels IBM®.
