Ce rapport de Verizon Business est intéressant à lire à plusieurs titres. On pourra certes se poser des questions sur la représentativité de l'échantillon étudié, mais même s'ils ne sont pas généralisables, ces résultats n'en perdent pas moins de leur intérêt. De toute manière, on sait bien que les généralisations sont généralement fausses. Donc...

Cette histoire de patch management mérite quelque attention. D'après les données publiées, les entreprises qui mettent un point d'honneur à se pourvoir en outils de déploiement de correctifs qui déchirent n'obtiendraient pas de meilleurs résultats que leurs camarades qui n'en ont pas. Vous avez bien compris. Ceux qui patchent consciencieusement et rapidement ne sont pas mieux protégés que leurs petits copains qui se contentent de le faire consciencieusement. En fait, il semblerait même que leurs résultats soient plus mauvais...

Les raisons de cette faillite ? Une première piste proposée serait la faible part de la menace que le patch management permet de couvrir. D'après le rapport, seuls 18% des incidents sont liés à des patches manquants. Et sur ce nombre, 10% concernent des failles connues et patchées depuis moins de six mois. Ce qui veut dire que patcher au plus vite permettrait de couvrir un peu plus de 1% de la menace. Beaucoup d'énergie dépensée pour un résultat pas forcément très significatif. Deuxième raison avancée, une trop grande confiance dans ce type d'outils. Les entreprises ayant déployées du patch management lourd se montreraient moins enclines ou moins efficaces que les autres à déployer des mesures préventives simples, mais pourtant efficaces, comme du filtrage de port en bordure de réseau. Tout simplement...

La dernière raison lancée en guise de conclusion et à peine effleurée me semble pourtant la plus intéressante à discuter : en sécurité, la taille ça compte. En effet, ce qui se montre être un moyen de défense simple et efficace devient compliqué et presque contre-productif quand on le passe à l'échelle du réseau d'entreprise. Manifestement parce que ça coûte cher, et que les ressources allouées à la gestion des patches manquent là où elles pourraient probablement avoir plus d'impact. Verizon nous parle de patcher plus intelligemment[1]. Je ne sais pas ce que vous pensez de cette phrase, mais je la trouve personnellement débile. Parce qu'elle concentre l'attention sur le patch management qui n'est pas le centre du problème.

Le fond du problème, c'est en effet de trouver le bon compromis entre cette gestion indispensable des correctifs de sécurité et les autres mesures disponibles afin d'obtenir le meilleur impact. Aussi bien en terme de rapidité que de couverture. L'exemple des ACLs est à ce titre excellent. Le déploiement de règles de filtrage sur les routeurs de bordure se fait très vite. C'est un processus simple, rapide et surtout maîtrisable[2]. Dans le même temps, l'impact de cette protection est important, aussi bien en terme de couverture que de degré de protection. Mais ceci requiert avant tout une bonne compréhension de la menace et de son environnement. Là où les vendeurs de patch management vous propose des solutions censée fonctionner à 0% d'utilisation cerveau. Et forcément, ça ne marche pas.

Autre point intéressant, la proportion des attaques internes par rapport aux attaques externes. Alors qu'on nous rabat les oreilles avec cette célèbre statistique qui veut que 80% des attaques viennent de l'intérieur, ce rapport montre le contraire. 73% des attaques viennent de l'extérieur et seulement 18% de l'intérieur[3]. Par contre, on a bien une espèce d'effet Pareto en ce que ces 18% d'attaques internes causent l'immense majorité des dégâts. Fait intéressant, 39% des attaques[4] mettent à profit un partenaire de la cible. Le réseau distant compromis qui se met à vous attaquer via un lien VPN n'a donc rien d 'un fantasme. Bien au contraire.

Enfin, quelques chiffres à méditer :

  • 75% des attaques ne sont pas détectées par la victime ;
  • 85% des attaques sont opportunistes, mais là encore, ce sont les 15% restants qui génèrent le plus de dégâts ;
  • 87% des attaques auraient pu être prévenues par la mise en place de mesures simples.


L'autre publication, celle de Bruce Schneier, s'inscrit complètement dans l'idée de gestion du risque. L'argument de Schneier se résume grosso modo en quelques mots : protéger son réseau Wi-Fi n'en vaut pas la peine. C'est très intéressant à lire, en particulier la partie sur la possible utilisation de son accès à des fins illégales qui pourraient le mettre au milieu de déboires juridiques interminables. Son argument majeur est que, bien qu'une telle éventualité puisse se révéler désastreuse, sa probabilité est tellement faible qu'il préfère ne pas la considérer. Au centre de cette argumentation, il y a le fait que pleins d'autres accès bien plus attractifs sont ouverts autour de chez lui.

C'est quelque chose qui me frappe quand je vais aux US. Peut-être parce que je n'y vais pas souvent. Le nombre impressionnant de points d'accès Wi-Fi ouverts permettant un accès Internet direct. Oui, oui, direct. En ville, on trouve facilement de quoi se connecter à Internet en Wi-Fi. Gratuitement. Malheureusement, la situation n'est pas franchement la même en France où les accès Wi-Fi ouverts sont très souvent synonymes de portails captifs. Du coup, pour un particulier, laisser son accès ouvert rend son utilisation par des tiers nettement plus probable. C'est principalement pour cela que je protège le mien. Car ce sont bien les gens qui s'en serviraient pour consulter et/ou alimenter des sites ignobles qui m'effraient. Et rien que l'idée que mon accès puisse leur fournir le moyen d'alimenter leurs déviances m'est détestable au plus haut point. Et ce d'autant plus que j'ai vu des exemples de traces de leurs activités sur des logs de honeypots Wi-Fi qui ne sont pourtant pas resté longtemps en ligne.

Est-ce pour autant une divergence de point de vue ? Non. Juste une appréciation différente du risque. Comme il l'écrit en conclusion, la sécurité est faite de compromis[5]. Certains en font que d'autres ne font pas, et inversement.

Les autres arguments présentés sont tout aussi intéressants, en particulier un qui rejoint mes idées sur la dépérimétrisation : dans la mesure où on utilise son laptop sur des réseaux publics très exposés, genre aéroport, gare ou conférence de sécurité, pourquoi avoir un réseau ouvert à la maison serait-il un problème ? Good point. D'ailleurs, à bien y réfléchir, n'est-ce pas cette manie à toujours vouloir disposer d'environnements supposés sécurisés, ces fameux périmètres, qui nous rend plus vulnérables lorsque nous en sortons ?

Il faudra vraiment que je pense à faire quelque chose de plus dense sur ce sujet...


En fait, si j'ai apprécié ces deux articles, c'est parce qu'ils illustrent chacun à leur manière un aspect crucial de la sécurité : le compromis. Le compromis dans l'acceptation du risque et sa couverture. Le compromis dans le choix des mesures de protection. Etc...

Notes

[1] "apply patches more comprehensively".

[2] Pour autant qu'on sache ce qu'on fait...

[3] Pour les 9% restants, ça doit venir de Mars...

[4] Pour ceux qui s'étonnent que 73+18+39 ne fasse pas 100, voir les commentaires du billet en référence.

[5] "Security is always a trade-off."