NIS2: Êtes vous dans le champ d'application ?
La nouvelle loi belge sur la cybersécurité entre en vigueur. Consultez-la maintenant.
Les cybercriminels sont constamment à la recherche de nouvelles faiblesses à exploiter dans les applications, les logiciels, les serveurs et les appareils. Ces failles leur permettent d'accéder à un appareil et de l'utiliser à des fins malveillantes, comme le vol de données confidentielles. Afin de contrer ces tentatives, les fournisseurs s'efforcent de corriger chaque nouvelle vulnérabilité détectée afin de garantir la sécurité de leurs produits. Ces corrections sont mises à la disposition des clients par le biais d'une mise à jour. Une organisation doit donc maintenir ses logiciels et ses appareils à jour.
Il suffit d'une seule vulnérabilité dans un système, une application ou un appareil pour que les cybercriminels s'en emparent pour causer des dommages et accéder à l'environnement dans son ensemble. Il est donc crucial d'installer les mises à jour dès qu'elles sont disponibles pour garantir une cyberdéfense solide et s'assurer que la version du système utilisé est toujours prise en charge par le fournisseur.
Il existe deux types de mises à jour à gérer. L'on distingue les mises à jour qui visent à corriger les failles de sécurité pour s'assurer qu'un produit ne peut pas être compromis, et les mises à jour qui visent à améliorer un produit d'un point de vue fonctionnel. Ces deux types de mises à jour sont tout aussi importants et doivent être installés dès qu'ils sont disponibles.
Pour gérer efficacement le processus de mise à jour, une organisation doit définir une série de règles pour établir, entre autres, ce qui doit être mis à jour, à quelle fréquence, qui doit surveiller la disponibilité des nouvelles mises à jour et qui doit s'assurer qu'elles sont installées.
N'installez que les applications (systèmes d'exploitation, firmwares ou plugins) nécessaires pour assurer le bon déroulement de vos opérations et appliquez des correctifs ou mettez-les à jour dès que possible.
Les logiciels tiers, tels que les navigateurs, les extensions de programme et les middlewares doivent également être mis à jour régulièrement. Leur interactivité en fait un outil pratique pour les arnaqueurs.
Lorsque les collaborateurs travaillent sur leur appareil, ils ont tendance à ignorer les notifications de mise à jour pour ne pas interrompre leurs tâches ou perdre du temps à attendre la fin de la mise à jour. Les mises à jour prennent parfois du temps, et il est donc préférable de les planifier en dehors des heures de travail ou pendant des périodes moins
chargées. Ne planifiez pas les mises à jour majeures le vendredi soir, au cas où vous auriez besoin d’une assistance en cas de problème.
Les cybercriminels envoient de fausses notifications de mise à jour par le biais de messages publicitaires ou de fenêtres pop-up. Il est important de ne télécharger une mise à jour que depuis le site du fournisseur officiel pour éviter d'installer un virus à la place. Outre l'attention portée à la légitimité du site Internet, il convient également d'examiner ce qui est inclus dans la mise à jour afin d'éviter de cocher des cases pour des fonctionnalités inutiles telles qu'un module complémentaire de publicité.
N’installez que la version actuelle et prise en charge par le fournisseur du logiciel que vous choisissez d'utiliser. Il peut être utile d'attribuer un jour par mois à la vérification des correctifs.
Dans la mesure du possible et si le système le permet dans sa configuration, automatisez le téléchargement et l'installation des nouvelles mises à jour pour être sûr de toujours disposer de la dernière version, plus sûre, publiée par le fournisseur. En outre, vérifiez manuellement que la mise à jour fonctionne correctement.
Il existe également des programmes pouvant analyser les ressources et rechercher les mises à jour nécessaires, afin de vous donner un aperçu de ce qui doit être installé.
Il existe des produits qui peuvent analyser votre système et vous avertir lorsqu'il existe une mise à jour pour une application que vous avez installée. Si vous utilisez l'un de ces produits, assurez-vous qu'il vérifie les mises à jour pour chaque application que vous utilisez.
Afin de ne pas passer à côté d’une mise à jour cruciale, les organisations doivent surveiller la disponibilité des nouvelles mises à jour pour les appareils et les logiciels qu'elles utilisent sur les sites Internet des fournisseurs. Il est également important de déterminer à quel moment un produit n'est plus pris en charge par le fournisseur, car il sera déclaré en « fin de vie ». Le produit ne fera alors plus l’objet de nouvelles mises à jour, et sera donc vulnérable. Il est donc préférable d'anticiper la fin de vie d'un produit et de migrer les ressources nécessaires à temps. Enfin, il est également possible d'empêcher les collaborateurs d'installer des produits non pris en charge en établissant une liste blanche de tous les produits autorisés.
Il n'est pas toujours possible de migrer vers un autre produit ou un produit plus performant. Parfois, une organisation doit continuer à utiliser la version non prise en charge. Si ce scénario se produit, des contrôles de sécurité supplémentaires doivent être mis en place pour protéger le produit actuel. Un bon point de départ consiste à s'assurer que le produit en question est complètement isolé non seulement du reste du réseau de l'organisation, mais aussi de l'extérieur (c'est-à-dire sans aucune connexion à Internet).
Les impacts et les dépendances peuvent varier selon l'importance de la mise à jour. Dans la mesure du possible, les mises à jour doivent donc être testées avant leur mise en œuvre. Un environnement de test et une base de référence sont un bon moyen de valider les mises à jour dans un environnement isolé similaire à celui de la production. Cette méthode peut également aider à tester les scénarios de réparation ou les installations qui ont échoué.
Il est utile de sauvegarder les données et les systèmes avant d'installer une mise à jour afin de s'assurer qu'une version fonctionnelle est disponible en cas de problème. De même, il est préférable de faire une sauvegarde complète des serveurs avant de les mettre à jour. En effet, disposer d'une stratégie de rollback est très utile lors de la mise à jour de ces ressources communes, afin de pouvoir revenir à un serveur opérationnel le plus rapidement possible. En outre, la procédure de rollback doit être testée afin de réduire l'impact négatif que pourrait avoir une mise à jour.
Même avec un nombre limité de systèmes, le maintien d'un inventaire de tous les actifs disponibles permet à une organisation de gérer plus efficacement le processus de mise à jour. Cet inventaire doit toujours être mis à jour avec les actifs ajoutés ou supprimés afin de représenter la situation actuelle aussi précisément que possible. En outre, lorsqu'un nouveau dispositif est acquis, il doit être réinitialisé aux paramètres par défaut et toutes les mises à jour disponibles auprès du fournisseur doivent être installées avant d'être utilisées.
Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité.
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.