mercredi 30 avril 2014

Black April

Avril 2014 aura été un mois particulièrement éprouvant pour les administrateurs et responsables sécurité informatique auxquels je tiens ici à manifester mon respect pour leur réactivité et leurs (très longues) nuits à investiguer/corriger leurs Systèmes d'Information (ceux avec qui je travaille se reconnaitront, je sais bien qu'on vient vous chercher des noises quand il y a un problème et que vous recevez rarement les compliments adéquats quand tout va bien).

Nous avons en effet subi^Wassisté  à un cumul de publications de vulnérabilités diverses ciblant toutes les technologies, tous les systèmes, tous les environnements. Bref un "black april" comme je l'ai maintes fois entendu depuis le début du mois.

 

7 et 8 avril - Heartbleed, Patch Tuesday et dernière mise à jour Windows XP


Avec la publication de la vulnérabilité OpenSSL (CVE-2014-0160 aka "Heartbleed") le 7 avril 2014 et la publication du Patch Tuesday Microsoft le 8 avril (et je n'oublie pas le bulletin de sécurité Adobe Flash le 8 avril 2014 également), la fin de support standard de Windows XP me semble momentanément avoir été éclipsée.

 

14 / 15 avril - (Le très attendu et trimestriel) Critical Patch update Oracle mais pas que...


Avec la correction de vulnérabilités dans de nombreux produits Oracle (Database, Fusion, WebLogic, Mysql) et les mises à jour de Solaris ou de Java, la mi-avril a clairement sonné comme un nouveau coup de tocsin pour des équipes déjà surchargées par les plans d'actions relatifs aux analyses liées à Heartbleed (publication le 14 avril du bulletin VMWARE, mises à jours quotidiennes du bulletin Cisco depuis le 9 avril, mises à jour OpenBSD les 7 et 12 avril pour OpenSSL).

 

26 - 29 avril - Microsoft SA2963983 pour Internet Explorer 6 à 11


La publication du SA 2963983 le 26 avril par Microsoft (non fixé au 30 avril) et un nouveau bulletin Adobe Flash le 29 avril permet finalement de constater que tous les processus de gestion des vulnérabilités devraient inclure la notion de contournement. Autant le déploiement de Flash peut ainsi (paradoxalement) paraître simple pour les administrateurs, autant les mesures de protection/contournement pour réduire l'exposition face aux vulnérabilités Internet Explorer paraissent compliquées (autrement que d'imposer l'usage temporaire d'un autre navigateur qui peut sembler simple et de bon aloi mais qui peut être ardu à implémenter sur certains SI).

 

Et maintenant ?


Mon avis personnel est que ce mois d'avril 2014 peut représenter un moment charnière pour de nombreux confrères, qu'ils apportent conseil et expertise ou qu'ils soient en charge de la sécurité de leurs organisations et entreprises.

Nous pouvons nous servir de ces évènements pour inception-ner la confiance des Directions Générales dans le paradigme d'une confiance dans les processus organisationnels et techniques de réaction "rapide" aux alertes et incidents (réduction des dommages et pertes) en l'opposant drastiquement aux mesures de prévention dont nous (en tant que professionnels) connaissons les limites (que eux ne connaissent qu'en terme de coupes budgétaires).

Il ne reste plus qu'à convaincre le métier comme dirait l'autre.

Jess - @JessicaGallante

PS : @NathPlanteur : juste merci :)

Aucun commentaire:

Enregistrer un commentaire

Votre avis ?