\u00ab Nous patchons r\u00e9guli\u00e8rement \u00bb est une affirmation qui, dans de nombreuses PME, est consid\u00e9r\u00e9e comme la preuve d’une bonne s\u00e9curit\u00e9 informatique. Et en effet : le patching est important. Mais il ne repr\u00e9sente qu’une partie de l’\u00e9quation. Ceux qui pensent que les mises \u00e0 jour r\u00e9guli\u00e8res suffisent \u00e0 elles seules n\u00e9gligent une grande partie de la surface d’attaque.<\/p>\n
Cet article montre pourquoi la gestion des correctifs est certes n\u00e9cessaire, mais pas suffisante, et comment le scan de vuln\u00e9rabilit\u00e9s apporte le compl\u00e9ment d\u00e9cisif.<\/p>\n
Les patches comblent les vuln\u00e9rabilit\u00e9s connues dans les logiciels. Lorsque Microsoft, Apache ou un autre \u00e9diteur publie une mise \u00e0 jour de s\u00e9curit\u00e9, celle-ci corrige une ou plusieurs CVEs document\u00e9es. C’est essentiel et doit \u00eatre fait de mani\u00e8re fiable.<\/p>\n
Mais les patches ne traitent qu’un type sp\u00e9cifique de vuln\u00e9rabilit\u00e9 : les erreurs de codage logicielle. Or, de nombreux probl\u00e8mes de s\u00e9curit\u00e9 parmi les plus critiques dans les r\u00e9seaux de PME ne sont pas des bugs logiciels, mais des erreurs de configuration, et il n’existe aucun patch pour cela.<\/p>\n
Les erreurs de configuration ne r\u00e9sultent pas de logiciels d\u00e9fectueux, mais d’une mise en place ou d’une maintenance inad\u00e9quate. Exemples typiques :<\/p>\n
Pour aucune de ces vuln\u00e9rabilit\u00e9s, un patch ne sera jamais publi\u00e9. Elles ne peuvent \u00eatre corrig\u00e9es que par des modifications de configuration d\u00e9lib\u00e9r\u00e9es, et pour cela, il faut d’abord les conna\u00eetre.<\/p>\n
M\u00eame si une PME pratique un patching exemplaire, il existe un d\u00e9lai in\u00e9vitable entre la publication d’une vuln\u00e9rabilit\u00e9 et l’installation du patch. Ce d\u00e9lai, le Patch Gap, est un risque r\u00e9el.<\/p>\n
Le d\u00e9roulement typique :<\/p>\n
En pratique, il s’\u00e9coule donc 2 \u00e0 4 semaines entre la divulgation d’une vuln\u00e9rabilit\u00e9 et sa correction, m\u00eame dans les PME bien organis\u00e9es. Pour les syst\u00e8mes moins prioritaires ou les processus de mise \u00e0 jour complexes (par exemple les applications m\u00e9tier devant \u00eatre test\u00e9es apr\u00e8s une mise \u00e0 jour du syst\u00e8me d’exploitation), cela peut prendre des mois.<\/p>\n
Parall\u00e8lement, les \u00e9tudes montrent que les attaquants sont de plus en plus rapides. Le d\u00e9lai moyen entre la publication d’une CVE et la premi\u00e8re tentative d’exploit observ\u00e9e est inf\u00e9rieur \u00e0 15 jours. Pour les vuln\u00e9rabilit\u00e9s hautement critiques, les attaques automatis\u00e9es commencent souvent en quelques heures.<\/p>\n
Pendant le Patch Gap, deux \u00e9l\u00e9ments sont d\u00e9cisifs :<\/p>\n
Un scanner de vuln\u00e9rabilit\u00e9s qui v\u00e9rifie r\u00e9guli\u00e8rement l’infrastructure rend ces deux aspects possibles : il identifie automatiquement les syst\u00e8mes concern\u00e9s et fournit la base pour des mesures compensatoires cibl\u00e9es.<\/p>\n
Une r\u00e9alit\u00e9 souvent n\u00e9glig\u00e9e : tous les patches install\u00e9s ne sont pas efficaces. Il existe de nombreux sc\u00e9narios o\u00f9 un patch a \u00e9t\u00e9 install\u00e9, mais la vuln\u00e9rabilit\u00e9 persiste :<\/p>\n
La seule m\u00e9thode fiable pour v\u00e9rifier l’efficacit\u00e9 r\u00e9elle d’un patch est un nouveau scan de vuln\u00e9rabilit\u00e9s apr\u00e8s l’installation.<\/p>\n
Les comparaisons de scans sont un outil puissant pour la gestion des correctifs. Le principe est simple : vous comparez les r\u00e9sultats d’un scan avant le patching avec un scan apr\u00e8s. Le r\u00e9sultat montre :<\/p>\n
Cette comparaison avant-apr\u00e8s rend le succ\u00e8s des mesures de patching mesurable et donne \u00e0 l’\u00e9quipe informatique un retour clair sur le travail qui a r\u00e9ellement port\u00e9 ses fruits.<\/p>\n
Une gestion efficace des vuln\u00e9rabilit\u00e9s combine la gestion des correctifs avec un scan r\u00e9gulier. Les deux disciplines se compl\u00e8tent :<\/p>\n
La gestion des correctifs assure que :<\/strong><\/p>\n Le scan de vuln\u00e9rabilit\u00e9s assure que :<\/strong><\/p>\n Pour conclure, un aper\u00e7u des situations que la gestion des correctifs seule ne couvre pas, et qui apparaissent r\u00e9guli\u00e8rement dans les scans de vuln\u00e9rabilit\u00e9s :<\/p>\n Aucun de ces probl\u00e8mes ne sera r\u00e9solu par un patch. Tous sont d\u00e9tectables par un scan.<\/p>\n Le patching est indispensable, mais ce n’est que la moiti\u00e9 du travail. Les erreurs de configuration, le Patch Gap et l’absence de v\u00e9rification des mises \u00e0 jour cr\u00e9ent des failles que les attaquants exploitent de mani\u00e8re cibl\u00e9e. Seule la combinaison d’une gestion rigoureuse des correctifs et d’un scan r\u00e9gulier des vuln\u00e9rabilit\u00e9s donne une image compl\u00e8te de sa propre posture de s\u00e9curit\u00e9.<\/p>\n ExposIQ offre avec plus de 35 moteurs de scan et 11’700 templates Nuclei une v\u00e9rification compl\u00e8te qui va bien au-del\u00e0 de la simple d\u00e9tection de CVEs : erreurs de configuration, identifiants par d\u00e9faut, logiciels en fin de vie et probl\u00e8mes DNS sont d\u00e9tect\u00e9s de la m\u00eame mani\u00e8re. Les comparaisons de scans montrent si vos patches ont r\u00e9ellement fonctionn\u00e9. Le tout h\u00e9berg\u00e9 en Suisse, conforme \u00e0 la nLPD, \u00e0 partir de CHF 99 par mois. En savoir plus sur exposiq.ch<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00ab Nous patchons r\u00e9guli\u00e8rement \u00bb est une affirmation qui, dans de nombreuses PME, est consid\u00e9r\u00e9e comme la preuve d’une bonne s\u00e9curit\u00e9 informatique. Et en effet : le patching est important. Mais il ne repr\u00e9sente qu’une partie de l’\u00e9quation. Ceux qui pensent que les mises \u00e0 jour r\u00e9guli\u00e8res suffisent \u00e0 elles seules n\u00e9gligent une grande partie … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"gestion correctifs pme","rank_math_title":"Gestion des correctifs pour PME : pourquoi les mises \u00e0 jour seules ne suffisent pas","rank_math_description":"Le patching est n\u00e9cessaire mais pas suffisant. De nombreuses vuln\u00e9rabilit\u00e9s sont des erreurs de configuration. Comment v\u00e9rifier l'efficacit\u00e9 de vos correctifs.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1161","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=1161"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1161\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=1161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=1161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=1161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
Recommandations pratiques pour les PME<\/h3>\n
\n
Les erreurs les plus courantes de l’approche \u00ab patching uniquement \u00bb<\/h2>\n
\n
Conclusion<\/h2>\n