Flexera recommande une approche standardisée et en fonction des risques pour une meilleure gestion des vulnérabilités telles que Spectre et Meltdown

L’adoption d’une approche à trois axes permet aux DSI d’affecter le peu de ressources dont elles disposent afin de faire face à ces vulnérabilités critiques

Paris - 29 janvier 2018 - Flexera, l’éditeur qui réinvente l’achat, la vente, la gestion et la sécurisation des logiciels, présente ses recommandations pour une gestion standardisée et basée sur les risques des failles telles que Spectre et Meltdown. Cette approche à trois axes s’appuie sur l’expertise interne de l’entreprise en matière de gestion de vulnérabilités, ainsi que sur les notes de sécurité de l’équipe Secunia Research. Flexera recommande aux organisations de :

  • Déterminer d’abord la gravité des problèmes : déterminer la gravité réelle du risque lié aux failles Spectre et Meltdown à l’aide d’informations vérifiées
  • Hiérarchiser les risques : s’occuper d’abord des vulnérabilités connues en fonction de leur criticité, et non en fonction de leur médiatisation
  • Corriger les failles à l’aide d’une approche conservatrice : appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés

« L’inquiétude des entreprises vis-à-vis des failles Spectre et Meltdown est plus que légitime. Cependant, depuis leur révélation le 3 janvier dernier, l’équipe Secunia Research de Flexera a publié des dizaines de notes de sécurité sur d’autres vulnérabilités extrêmement critiques. Ces failles pourraient avoir un impact dévastateur sur les organisations si elles venaient à être exploitées », déclare Kasper Lindgaard, directeur de recherche et de la sécurité chez Flexera. « Plus de 17 000 vulnérabilités ont été révélées l’année dernière. Dans ce contexte, les organisations doivent être en mesure de répartir le peu de ressources dont elles disposent de façon optimale afin de minimiser les risques ? Elles doivent avoir accès à des informations vérifiées sur les vulnérabilités, puis adopter une approche rationnelle et basée sur des risques en matière de patches. Dans le cas contraire, elles sont condamnées à courir inlassablement après les menaces. »

Comprendre le véritable risque lié à Spectre/Meltdown

Les failles Spectre et Meltdown sont documentées dans trois entrées du dictionnaire CVE (CVE-2017-5754, CVE-2017-5753, CVE-2017-5715).  En dépit de l’ampleur et de la gravité potentielle du problème, les DSI ont besoin d’informations plus approfondies afin d’évaluer correctement les risques (au-delà de leur score dans le CVE). Ces renseignements doivent offrir un contexte sur les produits, et tenir compte des vecteurs d’attaque et de leur impact potentiel en matière de sécurité. Les équipes de sécurité pourront ainsi voir au-delà des spéculations classiques dans les médias.

À ce jour, l’équipe Secunia Research de Flexera a publié plus de 35 notes de sécurité liées à Spectre/Meltdown, la plupart obtenant des scores inférieurs à « modérément critique »” (notes allant de 1 à 3 sur un maximum de 5). Tout ceci indique donc que bien que ces failles soient importantes, d’autres plus critiques représentent donc un risque plus urgent si elles restent non patchées.

Classer les correctifs à appliquer par ordre de priorité

Une fois que les DSI connaissent précisément le risque pour leurs environnements, ils peuvent alors adopter une approche rationnelle et basée sur les risques.  Ils pourront ainsi les traiter par ordre de priorité et affecter le peu de ressources dont ils disposent de façon adéquate.

« En raison de leur ampleur, Spectre et Meltdown ont été au cœur de l’actualité des deux dernières semaines. Cependant, les DSI ne doivent pas pour autant se laisser déconcentrer, » poursuit Kasper Lindgaard.  « En identifiant d’abord les vulnérabilités les plus dangereuses et en hiérarchisant leurs efforts, ils seront en mesure de minimiser les risques efficacement et de façon rentable. »

Une approche conservatrice

Après ces deux premières étapes, les organisations devraient ensuite appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés. Grâce à des processus établis et à des outils adaptés pour mieux identifier les conséquences des menaces, elles pourront prévoir les impacts des patches en matière de performances et de compatibilité.

« Appliquer des correctifs est essentiel pour réduire l’angle d’attaque. Mais cela doit être fait prudemment et en anticipant leur impact potentiel sur les performances et la stabilité des systèmes. Les efforts de maîtrise des risques doivent être produits avec précaution et en se focalisant sur des modèles basés sur les risques. »

Suivre Flexera…

À propos de Flexera

Flexera repense la façon dont vous achetez, vendez, gérez et protégez vos logiciels. Nous considérons l'industrie du logiciel comme une chaîne d'approvisionnement et rendons la vente et l'achat de logiciels ainsi que les données sur les actifs technologiques plus rentables, plus sûrs et plus efficaces. Nos solutions de monétisation et de sécurité aident les vendeurs de logiciels à transformer leurs modèles commerciaux, à augmenter leurs revenus récurrents et à limiter les risques liés aux logiciels open source. Nos solutions de gestion des actifs logiciels (SAM) et des failles de sécurité optimisent l'achat de logiciels. Elles aident les entreprises à acquérir uniquement les logiciels et services cloud nécessaires, à gérer leurs actifs et à réduire les risques associés à la sécurité et à la conformité. En développant ces solutions et en accompagnant l'ensemble de la chaîne d'approvisionnement logicielle, Flexera a bâti le plus grand référentiel au monde en matière de connaissance du marché des actifs technologiques. En activité depuis plus de 30 ans, Flexera compte plus de 1 300 employés passionnés qui aident nos 80 000 clients à générer chaque année des millions d'euros de retour sur investissement. Consultez notre site Web : www.flexera.fr.

Pour plus d'informations, contactez :

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

*Toutes les marques commerciales tierces sont la propriété de leurs détenteurs respectifs.

*Toutes les marques commerciales tierces sont la propriété de leurs détenteurs respectifs.