Quotidiennement, de nouvelles failles de sécurité sont annoncées pour de nombreux équipements, applications ou systèmes d'exploitation.
Tout professionnel dans la sécurité des systèmes d'information se doit de suivre cette "actualité" afin d'ajuster en conséquence le niveau de sécurité de ses systèmes : Lors qu'une vulnérabilité est annoncée pour un système utilisé, une étude d'impact devrait être effectuée afin de préciser si des actions spécifiques doivent ou non être lancées (ajustement d'une règle de filtrage, déploiement d'un correctif, modification d'une configuration, ....).
Ces informations sont librement accessibles sur des sites opérés par des sociétés commerciales comme Secunia, Securinfos.info ; des sites gouvernementaux comme le CERT-US, le CERT Australien, le CERTA ou encore le CERT-IST pour finir sur une touche plus francophone.
L'un des problèmes fréquemment auprès de comptes clients est la collecte des informations : Elle n'ont ni la volonté ni les moyens de passer quotidiennement en revue une batterie de sites et d'identifier quelles nouvelles annonces sont intéressantes ; et donc éligibles à une étude d'impact.
Au delà de la collecte de l'information de veille, de multiples challenges
Seul un petit nombre de sociétés ont définit un processus de veille sécurité pour l'ensemble de leurs activités informatiques. Outre la collecte d'information, les challenges sont multiples : Besoin de personnes compétentes dans le domaine de la sécurité pour comprendre le "verbiage technique & sécuritaire" des bulletins ; le temps que celles-ci ont de disponible à consacrer à cette activité et enfin la "motivation" des opérationnels pour passer à l'action et mettre en œuvre ce qui doit l'être.
Pour plus de détails sur le processus de patch management
Ce bulletin n'ayant pas vocation à s'étendre sur le sujet et à décrire le processus complet, j'encourage nos lecteurs les plus intéressés à consulter les bulletins d'Alexandre Lauga :
Security Patch Management [1/3]: effet de mode ou besoin réel?
Security Patch Management [2/3]: problématique et écueils à éviter
Security Patch Management [3/3]: le processus idéal
Cassandra : Un service gratuit pour recevoir les alertes qui vous intéressent
Pour ceux ne souhaitant pas souscrire à un service de veille sécurité payant, le service Cassandra est un service en ligne opéré par l'université de Purdue : Ce service vous permet de recevoir les alertes de sécurité concernant uniquement certains types d'équipements ou logiciels pour lesquels vous êtes intéressés.
Ce service gratuit s'appuie sur les bulletins de vulnérabilités émis par la société Secunia ainsi que sur les informations issues du CERT-US organisées dans la base nationale des vulnérabiltés (NVD, National Vulnerability Database) du gouvernement Américain. Il s'agit donc ici de sources sérieuses dans leur domaine.
Mon conseil
Je vous invite ne serait-ce qu'à créer un compte pour tester le système : Le service est un spartiate et difficilement comparable avec les "bells & wingles" de ses concurrents commerciaux mais il reste tout à fait efficace.
Le mot de la fin
Bonne veille et bon patch ! Vous êtes bien sur au courant qu'un code d'exploitation a été publié pour la faille SMB MS 975497 "Vulnerabilities in SMB Could Allow Remote Code Execution" concernant Microsoft Vista et Microsft 2008 Serveur ? Sans jouer les Cassandres, il y a de fortes chances que cela chauffe sur le Net : Tout est réuni pour un vers/worm.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens