Cybersécurité des logiciels : fragilité permanente ou amélioration continue ?
Chaque semaine les agences gouvernementales et les éditeurs informatiques publient des correctifs sur des logiciels qui structurent l’activité des entreprises et des administrations. Et constituent autant de portes d’entrée possibles pour des pirates à la recherche de moyens d’action. Une organisation sans équivalent dans aucune autre industrie.
Les rappels de produits défectueux sont fréquents dans les achats du quotidien. Pour neutraliser leurs effets, les commerçants apposent des affichettes indiquant les références en cause et invitent les consommateurs à les rapporter au magasin pour un échange ou un remboursement. Et la plus large publicité possible, via souvent le recours aux médias, sert de prévention du grand public pour qu’il évite ou cesse d’utiliser lesdits produits.
Rien de tel dans le monde du logiciel où les failles documentées font l’objet de communications spécifiques : en les portant à la connaissance d’esprits indélicats, cela risquerait de leur désigner des points de faiblesse au cœur d’entreprises ou de collectivités qui s’appuient sur ces solutions numériques pour conduire leurs activités.
Le législateur a pris soin de rédiger l’article L-2321-4 du Code de la Défense pour exonérer de poursuite la personne qui prendrait l’initiative de signaler une vulnérabilité technique à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Le lanceur d’alerte ayant pu par le passé être suspecté un peu vite d’être un(e) maître chanteur. De quoi dissuader alors le plus sincère des esprits civiques.
La recherche de vulnérabilités, un sport collectif
Les milliers de lignes de codes nécessaires à la conception et au pilotage des automates, programmes ou chaine de production des entreprises sont par nature faillibles. Et à ce jeu, qui cherche trouve. Ainsi, lors des journées de "Pwn2Own Vancouver 2022", grand-messe consacrée depuis quinze ans à la recherche de failles informatiques, les participants ont mis à jour mi-mai seize nouvelles vulnérabilités non connues à ce jour (dites "Zero Day") affectant des produits aussi populaires que Windows 11 ou Microsoft Teams. Ou un système de communication de la voiture Tesla Model 3.
Montant total des gains pour les concurrents ? Plus d’un million de dollars en primes pour les hackers éthiques à l’origine des découvertes. La règle est connue de tous : suite à l’identification de ces failles, les entités concernées ont quatre-vingt-dix jours pour publier des correctifs.
Et le 23 mai 2022, c’est l’Agence de Cybersécurité des infrastructures des Etats-Unis (CISA) qui révèle avoir ajouté 21 nouveaux items à son catalogue des vulnérabilités connues et exploitées. Ici, Les systèmes et services concernés émanent de Cisco, Android, Apple, Microsoft, Google, Mozilla, WebkitGTK, Meta Platforms et Adobe.
Les versions obsolètes, gouffre béant dans la défense des entreprises
Cette liste témoigne des faiblesses structurelles qui potentiellement minent des infrastructures numérisées qui sont omniprésentes dans nos organisations modernes. Et on ne parle ici que des solutions maîtrisées et gérées par leurs concepteurs. Viennent s’ajouter en matière d’insécurité numérique les générations successives de logiciels laissés en déshérence par leurs éditeurs, qui déposent le bilan ou interrompent les mises à jour.
C’est ce qu’on appelle "l’obsolescence", que certaines entreprises utilisatrices perçoivent comme une obligation de fait de souscrire à la nouvelle version mise en vente. Avec souvent des dépenses supplémentaires, notamment justifiées par des formations, des matériels et d’indispensables adaptations techniques. Une situation pointée du doigt fin 2021 par le CIGREF, une association professionnelle rassemblant près de 150 directrices/eurs des systèmes d’information des principales sociétés et administrations en France.
Se pose alors la question de la capacité à sécuriser de ces équipements délaissés qui rendent toujours le service attendu mais dont le coût de remplacement serait inabordable financièrement pour juste assurer la conduite normale des activités. De l’importance d’investir le champ de l’innovation technologique pour concilier la prise en compte d’organisations techniques disparates avec le meilleur niveau opérationnel de protection contre la menace. C’est le défi quotidien de bien des équipes de cybersécurité dans les environnements industriels.
Nicolas Arpagian, Directeur de la stratégie en cybersécurité de Trend Micro
Auteur de "La Cybersécurité", Presses Universitaires de France (2022)
Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction
Cybersécurité des logiciels : fragilité permanente ou amélioration continue ?
Tous les champs sont obligatoires
0Commentaire
Réagir
