À la suite de l'attaque WannaCry, le monde entier a découvert qu'un patch mis à disposition deux mois plus tôt aurait pu permettre d'éviter le problème. En effet, seuls ceux qui ne l'avaient pas déployé avaient été les victimes de cette attaque.

Beaucoup d'entreprises en ont ainsi fait la dure expérience : une période d'exposition (ou « fenêtre de risque ») inacceptable subsiste entre la découverte d'une vulnérabilité logicielle et le moment où un patch est finalement installé avec succès.

En 2016 17 147 failles ont été découvertes au sein de 2 136 produits de 246 éditeurs : 81 % d'entre elles ont bénéficié de correctifs le même jour. Cependant, les entreprises mettent en moyenne 186 jours à installer complètement ces patches. Une telle fenêtre de risque offre aux pirates de nombreuses opportunités de mener des attaques pouvant coûter cher à leurs victimes.

Aujourd'hui, Flexera, l'éditeur qui réinvente l'achat, la vente, la gestion et la sécurisation des logiciels, ferme enfin cette fenêtre.Le nouveau Software Vulnerability Manager est en effet le premier produit à redonner toute son importance au processus de correction des failles.

Les entreprises peuvent ainsi limiter leur exposition aux risques en identifiant rapidement, en hiérarchisant et en patchant les vulnérabilités servant de point d'entrée aux pirates. Les PDG s'évitent alors bon nombre de tracas.

« La déconnexion entre équipes de production et de sécurité est un excellent exemple de manque d'alignement, et montre à quel point la chaîne d'approvisionnement de logiciels peut être accablée de dysfonctionnements. En l'absence des technologies et de l'alignement nécessaires, les entreprises courent des risques inacceptables, comme l'attaque WannaCry l'a montré au monde entier », déclare Jim Ryan, CEO de Flexera Software.

« Avant Software Vulnerability Manager, il se passait énormément de temps entre le moment où les équipes de sécurité identifiaient et établissaient la priorité de dangereuses failles logicielles, et celui où les équipes de production les corrigeaient. Mais avec notre nouvelle solution, ces deux équipes peuvent désormais rester sur la même page, collaborer et réduire le délai nécessaire pour éliminer les risques que présentent ces vulnérabilités. »

Du point de défaillance au SecOps

Les attaques telles que WannaCry confirment que la correction des failles reste un des points de défaillance des programmes de gestion des vulnérabilités. Software Vulnerability Manager utilise les informations fournies par l'équipe Secunia Research de Flexera pour permettre aux organisons d'assurer un suivi continu, d'identifier et de patcher les logiciels à risque avant d'être victimes de coûteuses fuites de données.

Elle comble les lacunes des programmes traditionnels de gestion des vulnérabilités, et crée un lien entre les équipes de sécurité et de production afin d'assurer un passage de relais en douceur de l'identification à la correction de problèmes, réduisant ainsi considérablement la période d'exposition.

« L'attaque WannaCry a envoyé un message clair aux DSI et aux RSSI du monde entier en démontrant la nécessité de traiter immédiatement les vulnérabilités pour assurer la sécurité de leur entreprise », déclare Tom Canning, vice-président des solutions et de la stratégie de Flexera Software.

« Pour les équipes de sécurité et de production, le moment est venu de travailler main dans la main, plus efficacement et avec un meilleur rendement en partageant les responsabilités et en mettant en commun les processus et outils nécessaires pour ne pas sacrifier la sécurité sur l'autel de la disponibilité et des performances. Avec Software Vulnerability Manager, ces deux équipes peuvent mettre en place des initiatives SecOps afin d'être des moteurs de leur entreprise.

Cette solution est la seule à offrir rapidement des conseils sur les vulnérabilités, des évaluations précises, ainsi que des patches de sécurité, tout cela sur une seule et même plateforme. »