La rapidité de correction

Voici un article publié dans le site web Securisa.com le 3 septembre 2004:

Présentement, il y a régulièrement des correctifs de sécurité qui sont produits par les manufacturiers de logiciels. Ces correctifs sont rendus disponible très rapidement après la découverte d’une vulnérabilité. Dès leurs disponibilités, le coup de feu du signal de départ est donné pour leur application. Si la vulnérabilité qui vient d’être publié concerne un de vos système, vous faîtes partie des coureurs qui doivent se dépêcher à appliquer le correctif. Et vous n’êtes pas les seuls dans cette course, il y a aussi ceux qui exploitent ces vulnérabilités. Alors, vous devez faire vite!

Malheureusement, plusieurs entreprises ne sont pas des ‘sprinters’. Selon la firme Qualys, elles prennent 62 jours en moyenne pour corriger leurs systèmes internes et 21 jours pour corriger les systèmes accessibles depuis Internet. Ces grandes périodes de temps permettent justement aux hackers de réaliser leurs méfaits.

Les entreprises doivent donc se doter d’une stratégie pour accélérer le déploiement de correctifs. Certaines d’entre elles disposent d’une gestion centralisée de la sécurité. Ce type de gestion procure de nombreux avantages mais elle peut s’avérer lourde; trop lourde pour appriquer rapidement un correctif.

Fait encourageant: en 2003, un système accessible depuis Internet était corrigé en 30 jours (contrairement à 21 jours cette année). Attendons voir les résultats l’année prochaine…