Communiqué de presse

Flexera recommande une approche standardisée et en fonction des risques pour une meilleure gestion des vulnérabilités telles que Spectre et Meltdown

L’adoption d’une approche à trois axes permet aux DSI d’affecter le peu de ressources dont elles disposent afin de faire face à ces vulnérabilités critiques

Paris - 29 janvier 2018 - Flexera, l’éditeur qui réinvente l’achat, la vente, la gestion et la sécurisation des logiciels, présente ses recommandations pour une gestion standardisée et basée sur les risques des failles telles que Spectre et Meltdown. Cette approche à trois axes s’appuie sur l’expertise interne de l’entreprise en matière de gestion de vulnérabilités, ainsi que sur les notes de sécurité de l’équipe Secunia Research. Flexera recommande aux organisations de :

  • Déterminer d’abord la gravité des problèmes : déterminer la gravité réelle du risque lié aux failles Spectre et Meltdown à l’aide d’informations vérifiées
  • Hiérarchiser les risques : s’occuper d’abord des vulnérabilités connues en fonction de leur criticité, et non en fonction de leur médiatisation
  • Corriger les failles à l’aide d’une approche conservatrice : appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés

« L’inquiétude des entreprises vis-à-vis des failles Spectre et Meltdown est plus que légitime. Cependant, depuis leur révélation le 3 janvier dernier, l’équipe Secunia Research de Flexera a publié des dizaines de notes de sécurité sur d’autres vulnérabilités extrêmement critiques. Ces failles pourraient avoir un impact dévastateur sur les organisations si elles venaient à être exploitées », déclare Kasper Lindgaard, directeur de recherche et de la sécurité chez Flexera. « Plus de 17 000 vulnérabilités ont été révélées l’année dernière. Dans ce contexte, les organisations doivent être en mesure de répartir le peu de ressources dont elles disposent de façon optimale afin de minimiser les risques ? Elles doivent avoir accès à des informations vérifiées sur les vulnérabilités, puis adopter une approche rationnelle et basée sur des risques en matière de patches. Dans le cas contraire, elles sont condamnées à courir inlassablement après les menaces. »

Comprendre le véritable risque lié à Spectre/Meltdown

Les failles Spectre et Meltdown sont documentées dans trois entrées du dictionnaire CVE (CVE-2017-5754, CVE-2017-5753, CVE-2017-5715).  En dépit de l’ampleur et de la gravité potentielle du problème, les DSI ont besoin d’informations plus approfondies afin d’évaluer correctement les risques (au-delà de leur score dans le CVE). Ces renseignements doivent offrir un contexte sur les produits, et tenir compte des vecteurs d’attaque et de leur impact potentiel en matière de sécurité. Les équipes de sécurité pourront ainsi voir au-delà des spéculations classiques dans les médias.

À ce jour, l’équipe Secunia Research de Flexera a publié plus de 35 notes de sécurité liées à Spectre/Meltdown, la plupart obtenant des scores inférieurs à « modérément critique »” (notes allant de 1 à 3 sur un maximum de 5). Tout ceci indique donc que bien que ces failles soient importantes, d’autres plus critiques représentent donc un risque plus urgent si elles restent non patchées.

Classer les correctifs à appliquer par ordre de priorité

Une fois que les DSI connaissent précisément le risque pour leurs environnements, ils peuvent alors adopter une approche rationnelle et basée sur les risques.  Ils pourront ainsi les traiter par ordre de priorité et affecter le peu de ressources dont ils disposent de façon adéquate.

« En raison de leur ampleur, Spectre et Meltdown ont été au cœur de l’actualité des deux dernières semaines. Cependant, les DSI ne doivent pas pour autant se laisser déconcentrer, » poursuit Kasper Lindgaard.  « En identifiant d’abord les vulnérabilités les plus dangereuses et en hiérarchisant leurs efforts, ils seront en mesure de minimiser les risques efficacement et de façon rentable. »

Une approche conservatrice

Après ces deux premières étapes, les organisations devraient ensuite appliquer des correctifs en s’assurant de les tester dans des environnements contrôlés. Grâce à des processus établis et à des outils adaptés pour mieux identifier les conséquences des menaces, elles pourront prévoir les impacts des patches en matière de performances et de compatibilité.

« Appliquer des correctifs est essentiel pour réduire l’angle d’attaque. Mais cela doit être fait prudemment et en anticipant leur impact potentiel sur les performances et la stabilité des systèmes. Les efforts de maîtrise des risques doivent être produits avec précaution et en se focalisant sur des modèles basés sur les risques. »

Suivez Flexera…

À propos de Flexera
Flexera aide les éditeurs de logiciels et les entreprises à optimiser l'utilisation et la sécurité de leurs applications, leur garantissant ainsi d'en tirer le meilleur parti. Nos solutions de gestion des licences, conformité, cybersécurité et installation de logiciels sont essentielles pour garantir la conformité continue des licences et l'optimisation des investissements logiciels, ainsi que pour vous protéger des risques et des frais liés à l'évolution constante des technologies. Plus de 80 000 clients accordent leur confiance à Flexera, leader du marché depuis plus de 25 ans, pour son savoir-faire et son expertise et pour les fonctions d'automatisation et l'intelligence incluses dans ses produits. Pour plus d'informations, consultez notre site Web à l'adresse : www.flexera.fr

Pour plus d'informations, contactez :

Flexera
John Lipsey
(224) 465-9139
jlipsey@flexera.com

* Toutes les marques commerciales tierces sont la propriété de leurs détenteurs respectifs.