Communiqué de presse

Flexera recommande une approche standardisée et en fonction des risques pour une meilleure gestion des vulnérabilités telles que Spectre et Meltdown

L’adoption d’une approche à trois axes permet aux DSI d’affecter le peu de ressources dont elles disposent afin de faire face à ces vulnérabilités critiques

Paris - 29 janvier 2018 - Flexera, l’éditeur qui réinvente l’achat, la vente, la gestion et la sécurisation des logiciels, présente ses recommandations pour une gestion standardisée et basée sur les risques des failles telles que Spectre et Meltdown. Cette approche à trois axes s’appuie sur l’expertise interne de l’entreprise en matière de gestion de vulnérabilités, ainsi que sur les notes de sécurité de l’équipe Secunia Research. Flexera recommande aux organisations de :

  • Déterminer d’abord la gravité des problèmes : déterminer la gravité réelle du risque lié aux failles Spectre et Meltdown à l’aide d’informations vérifiées
  • Hiérarchiser les risques : s’occuper d’abord des vulnérabilités connues en fonction de leur criticité, et non en fonction de leur médiatisation
  • Corriger les failles à l’aide d’une approche conservatrice : appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés

« L’inquiétude des entreprises vis-à-vis des failles Spectre et Meltdown est plus que légitime. Cependant, depuis leur révélation le 3 janvier dernier, l’équipe Secunia Research de Flexera a publié des dizaines de notes de sécurité sur d’autres vulnérabilités extrêmement critiques. Ces failles pourraient avoir un impact dévastateur sur les organisations si elles venaient à être exploitées », déclare Kasper Lindgaard, directeur de recherche et de la sécurité chez Flexera. « Plus de 17 000 vulnérabilités ont été révélées l’année dernière. Dans ce contexte, les organisations doivent être en mesure de répartir le peu de ressources dont elles disposent de façon optimale afin de minimiser les risques ? Elles doivent avoir accès à des informations vérifiées sur les vulnérabilités, puis adopter une approche rationnelle et basée sur des risques en matière de patches. Dans le cas contraire, elles sont condamnées à courir inlassablement après les menaces. »

Comprendre le véritable risque lié à Spectre/Meltdown

Les failles Spectre et Meltdown sont documentées dans trois entrées du dictionnaire CVE (CVE-2017-5754, CVE-2017-5753, CVE-2017-5715).  En dépit de l’ampleur et de la gravité potentielle du problème, les DSI ont besoin d’informations plus approfondies afin d’évaluer correctement les risques (au-delà de leur score dans le CVE). Ces renseignements doivent offrir un contexte sur les produits, et tenir compte des vecteurs d’attaque et de leur impact potentiel en matière de sécurité. Les équipes de sécurité pourront ainsi voir au-delà des spéculations classiques dans les médias.

À ce jour, l’équipe Secunia Research de Flexera a publié plus de 35 notes de sécurité liées à Spectre/Meltdown, la plupart obtenant des scores inférieurs à « modérément critique »” (notes allant de 1 à 3 sur un maximum de 5). Tout ceci indique donc que bien que ces failles soient importantes, d’autres plus critiques représentent donc un risque plus urgent si elles restent non patchées.

Classer les correctifs à appliquer par ordre de priorité

Une fois que les DSI connaissent précisément le risque pour leurs environnements, ils peuvent alors adopter une approche rationnelle et basée sur les risques.  Ils pourront ainsi les traiter par ordre de priorité et affecter le peu de ressources dont ils disposent de façon adéquate.

« En raison de leur ampleur, Spectre et Meltdown ont été au cœur de l’actualité des deux dernières semaines. Cependant, les DSI ne doivent pas pour autant se laisser déconcentrer, » poursuit Kasper Lindgaard.  « En identifiant d’abord les vulnérabilités les plus dangereuses et en hiérarchisant leurs efforts, ils seront en mesure de minimiser les risques efficacement et de façon rentable. »

Une approche conservatrice

Après ces deux premières étapes, les organisations devraient ensuite appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés. Grâce à des processus établis et à des outils adaptés pour mieux identifier les conséquences des menaces, elles pourront prévoir les impacts des patches en matière de performances et de compatibilité.

« Appliquer des correctifs est essentiel pour réduire l’angle d’attaque. Mais cela doit être fait prudemment et en anticipant leur impact potentiel sur les performances et la stabilité des systèmes. Les efforts de maîtrise des risques doivent être produits avec précaution et en se focalisant sur des modèles basés sur les risques. »

Suivez Flexera…

À propos de Flexera
Flexera réinvente l’achat, la vente, la gestion et la sécurisation des logiciels. Nous considérons l’industrie comme une chaîne d’approvisionnement, et contribuons à rendre l’achat et la vente de logiciels, ainsi que l’extraction de connaissances sur les actifs informatiques plus rentables, sécurisés et efficaces. Nos solutions de monétisation et de sécurité permettent aux éditeurs de transformer leurs modèles économiques, d’accroître leurs revenus récurrents et de minimiser les risques liés à l’open source. En outre, nos solutions de gestion des vulnérabilités et des actifs logiciels (SAM) évitent le gaspillage et tout facteur d’incertitude lié à l’achat de logiciels. Les entreprises achètent ainsi uniquement les logiciels et services cloud dont elles ont besoin et ne gèrent que ce qu’elles possèdent, ce qui leur permet de limiter les risques de conformité et de sécurité. En proposant ses solutions pour l’ensemble de la chaîne d’approvisionnement logicielle, Flexera a créé le référentiel de données le plus vaste et le plus complet sur les actifs informatiques. Celui-ci est au cœur de nos solutions et de l’ensemble de notre chaîne d’approvisionnement de logiciels. Flexera possède plus de 30 ans d’expérience et emploie plus de 1 200 salariés. Ceux-ci se distinguent par l’enthousiasme avec lequel ils aident nos 80 000 clients à générer chaque année des retours sur investissement de plusieurs millions de dollars. Rendez-vous sur www.flexera.fr

Pour plus d'informations, contactez :

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

* Toutes les marques commerciales tierces sont la propriété de leurs détenteurs respectifs.