Origina logo mobile

Si le nom de Pavlov vous dit quelque chose, il y a de fortes chances que vous ayez entendu parler de sa célèbre expérience. Pour résumer, Ivan Pavlov était capable d’associer la nourriture au son d’une cloche au point que la cloche même permettait d’obtenir un début de réponse du participant.

C’est un résultat intéressant car il prouve qu’avec assez de pratique, on a tendance à automatiquement associer une chose à une autre. On a pu également constater cela avec la sécurité des logiciels IBM® au fil des années : patchs de sécurité = sécurité des logiciels IBM®.

À bien y repenser, après une annonce de vulnérabilité de IBM® WebSphere, vous vous demandez, presque automatiquement, où et comment vous pouvez obtenir un patch de sécurité pour WebSphere. Bien entendu, sans surprise, c’est fréquent car IBM a la responsabilité de fournir des patchs.

Mais les patchs de sécurité ne sont pas la seule façon pour votre entreprise de se protéger contre les vulnérabilités. En réalité, pour les entreprises, il existe de nombreuses façons de se protéger des vulnérabilités à l’aide des logiciels avant même qu’elles ne soient découvertes.

Chez Origina, nous mettons en œuvre une approche de cybersécurité à plusieurs niveaux pour nos clients de tierce maintenance logicielle indépendante, afin qu’ils ne soient pas dépendants des patchs de sécurité comme solution unique. Passons nos méthodes en revue.

Les patchs de sécurité : ne sont pas le remède miracle

Nous entendons souvent la question suivante de la bouche de nos clients potentiels : « Origina peut-elle sécuriser nos logiciels sans écrire de patchs de sécurité ? » Et il s’agit là d’une question pertinente.

Bien sûr, nous pouvons aider un client à installer les patchs de sécurité auxquels il a droit, et cela peut atténuer une nouvelle vulnérabilité en fonction de ce qu’elle représente. Évidemment, nous ne pouvons pas écrire un patch de sécurité pour une toute nouvelle vulnérabilité car cela représenterait une enfreinte au code d’IBM. Mais, cela ne signifie pas non plus que nous ne pouvons rien faire pour sécuriser un produit sans le patch de sécurité.

Prenons un peu de recul : que vous apporte un patch de sécurité ? Vous pouvez l’envisager comme une façon pour IBM de protéger votre logiciel, mais en réalité, il s’agit plutôt d’IBM qui protège son propre logiciel des risques de sécurité. En d’autres termes, IBM ne publie pas le patch de sécurité en sachant que votre stratégie de sécurité en dépend. IBM publie le patch de sécurité car il veut consolider tout défaut présent dans son produit.

Il est important de faire cette distinction car si la base de votre stratégie de sécurité consiste à attendre qu’une autre entreprise publie un patch de sécurité, vous risquez de vous rendre compte que sa motivation ne correspond pas forcément à la vôtre. Le développement, les tests et la publication d’un patch de sécurité peuvent prendre plusieurs mois à IBM, si le patch venait à être publié, et pendant ce temps-là, la vulnérabilité court toujours le risque d’être exploitée.

Nous ne prétendons pas que les patchs de sécurité ne sont pas valables, car ils le sont. Les packs de correctifs et patchs de sécurité d’IBM® sont la première solution que nous chercherons si nous découvrons une vulnérabilité dans l’application de l’un de nos clients. Cependant, il est important de reconnaître qu’ils ne constituent pas le remède miracle en termes de sécurité, ils sont plutôt le clapet de sécurité.

Toute stratégie de sécurité efficace et bien exécutée aura pour but de réduire ce que l’on appelle la surface d’attaque, qui correspond avant tout à la quantité de points d’entrée potentiels exploitables par un cybercriminel. En limitant la surface d’attaque, la probabilité que vous ayez besoin d’un patch de sécurité est moindre.

Bien que les patchs de sécurité jouent un rôle important pour sceller ces points d’entrée, leur rôle est faible par rapport aux autres stratégies qui peuvent être utilisées. Ces techniques ne supplantent pas les patchs de sécurité mais complémentent grandement l’action des patchs de sécurité, qui est de protéger votre entreprise contre les risques de sécurité.

Approche à plusieurs niveaux d’Origina en matière de sécurité

Origina intègre la sécurité dans l’entretien sur l’assistance et à la maintenance logicielles dès le premier jour à l’aide de son examen de transition de services en prenant le temps d’identifier les risques de sécurité fréquents et les menaces pour la performance et la stabilité qui ne sont pas résolues, les équipes techniques peuvent commencer à sceller la surface d’attaque à l’aide de recommandations de bonnes pratiques.

Grâce au durcissement des produits, les entreprises peuvent configurer les applications IBM de la façon la plus sécurisée possible. Les vulnérabilités sont souvent composées des risques de sécurité les plus fréquents qui sont faciles à corriger, comme les niveaux d’accès des utilisateurs ou les ports ouverts ; le durcissement des produits a pour but de supprimer ces risques. En réalité, le durcissement des produits peut réduire les risques de sécurité jusqu’à 85 % !

Nous aidons également nos clients à profiter du pare-feu d’applications web open source ModSecurity. Avec une implémentation et une exploitation correctes, nous avons su atténuer avec succès les vulnérabilités qui existaient toujours après l’installation d’un patch de sécurité. L’outil s’appuie sur des signatures fréquentes laissées par les cybercriminels lorsqu’ils lancent une attaque. En reconnaissant cette signature et en empêchant l’utilisation du point d’entrée, les entreprises peuvent bloquer presque toutes les menaces de sécurité émergentes.

Lorsqu’une vulnérabilité ou un risque de sécurité est identifié au sein de l’environnement d’un client, nous recherchons les patchs de sécurité auxquels le client à droit et que nous avons téléchargés avant qu’il devienne client d’Origina. Ainsi, comme vous pouvez le voir, une grande partie du travail a lieu en amont.

Tout d’abord, nous vérifions la collection de packs de correctifs et de patchs de sécurité auxquels le client a droit. Si nous ne trouvons pas de solution, nous cherchons une solution de contournement, c’est-à-dire une façon d’atténuer la vulnérabilité. Il s’agit de correctifs spécifiques à un produit qui demandent à nos experts IBM® mondiaux de comprendre comment la vulnérabilité est exploitée et d’apporter des modifications sur la façon d’utiliser ou d’exécuter l’application pour empêcher qu’un cybercriminel ne puisse l’exploiter. Si ces mécanismes de défense échouent, nous essayerons de développer, de tester et de mettre en œuvre du code indépendant qui fournit les mêmes avantages qu’un patch de sécurité, sans enfreindre les droits d’auteur d’IBM.

Pour en savoir plus sur notre approche en matière de sécurité, voici un très bon webinaire à ce sujet, ici.

Les patchs de sécurité : toute la stratégie ou juste une partie ?

Les patchs de sécurité représentent une part très importante d’une stratégie de sécurité bien gérée et ils devraient toujours être pris en compte dans la stratégie de protection d’une application. Il n’est cependant pas possible de dépendre des patchs de sécurité comme seule ligne de défense, car il existe d’autres options qui peuvent empêcher une vulnérabilité de nuire à une entreprise.

Chez Origina, nous intégrons les patchs de sécurité à notre stratégie globale. Un patch de sécurité n’est ni un remède miracle, ni une carte joker, mais l’un des éléments d’une infrastructure sécurisée.

Regardez notre webinaire pour découvrir comment nous mettons en œuvre la sécurité ou lisez votre guide sur la tierce maintenance logicielle pour obtenir plus d’informations sur les risques et les avantages d’une maintenance indépendante pour les logiciels IBM®.

ORIGINA SUR LES RÉSEAUX SOCIAUX

Table des Matières

Pour les derniers conseils technologiques Abonnez-vous à notre NEWSLETTER - THE UPTME

Origina Cyber Security

Wait! Don't forget to subscribe to our Newsletter- The Uptime for the latest technology tips!

Origina logo optimized

Join Us

Breaking Free: TPM’s, Software Licenses & the ‘Right to Repair’
-Above the Law Series

There has been considerable debate about legal protection of TPMs and the challenges of the right to repair under competition and copyright law. And the debate has moved into a direction that benefits enterprises like yours.