in

Flexera publie un nouveau rapport sur les vulnérabilités au sein des applications de bureau les plus populaires

Le rapport révèle des risques importants, ainsi que la nécessité d’étendre le déploiement de correctifs aux applications non publiées par Microsoft

Flexera, l’éditeur qui réinvente l’achat, la vente, la gestion et la sécurisation des logiciels, présente les résultats d’une étude portant sur les vulnérabilités au sein des applications de bureau les plus populaires. Celle-ci s’inscrit dans le cadre de la série de rapports annuels Vulnerability Review publiés par l’équipe Secunia Research de Flexera. Cette nouvelle édition se focalise sur les applications les plus courantes sur postes de travail, ces dernières pouvant facilement être piratées via Internet. Le rapport met en évidence les principaux risques, afin que les équipes informatiques puissent s’organiser pour prévenir les attaques, et protéger à la fois les systèmes et les employés. En outre, en permettant de repérer les éléments les plus importants et nécessitant des mesures immédiates, ce document sert également de guide quant à l’application de correctifs de sécurité.

« Pour limiter les risques auxquels elles s’exposent, les entreprises doivent absolument améliorer leur gestion des correctifs. Cela passe par la mise en place d’un processus intelligent », déclare Kasper Lindgaard, directeur sénior de la recherche et de la sécurité chez Flexera.  « Pour ce faire, elles doivent être capables de distinguer les mises à jour de sécurité des autres, et de repérer les plus critiques. La mise en œuvre de processus dédiés et s’appuyant sur des technologies de premier plan leur offrira la visibilité et les informations nécessaires pour hiérarchiser ces mises à jour et prendre des mesures fermes. »

Des risques essentiellement extrêmes

Les données du rapport montrent la nécessité de prêter une attention particulière aux applications de bureau, la plupart de leurs vulnérabilités étant potentiellement extrêmement dangereuses. Lorsqu’une faille est détectée, l’équipe Secunia Research émet un bulletin évaluant sa criticité, décrivant le vecteur d’attaque, et déterminant le statut de la solution permettant de la corriger. Les chercheurs créent également des signatures et des patches testés pour simplifier les tâches de configuration et de déploiement. Ces informations permettent aux administrateurs d’identifier rapidement et de hiérarchiser les correctifs de sécurité critiques ; sans elles, il est difficile pour les équipes de production de gérer l’importante quantité de patches à installer.

Ainsi, en 2017, 83 % des bulletins de sécurité concernant les principales applications de bureau ont été classés comme « Extrêmement critiques » ou « Très critiques » (contre 17 % seulement pour l’ensemble des logiciels évalués).  Pire, ces applications sont extrêmement vulnérables à des attaques menées via Internet, ce qui en fait des cibles de choix :  94 % des failles repérées pourraient être exploitées via Internet, sans qu’aucune interaction avec, ou action de la part de l’utilisateur ne soit nécessaire.

Les mises à jour automatiques de Microsoft ne suffisent plus

Le rapport met également en garde les utilisateurs pensant à tort que les mises à jour automatiques de Microsoft les protégeront des risques.  En réalité, la majorité des vulnérabilités se trouvent au sein d’applications de bureau non éditées par Microsoft.  Ainsi, 65 % des failles repérées au niveau des 50 applications les plus courantes sur des postes de travail concernent des produits d’autres éditeurs.  Les résultats du rapport montrent donc clairement que pour réduire considérablement les risques pour leur entreprise, les équipes de sécurité doivent installer des correctifs pour l’ensemble de leurs applications.

« Trois étapes suffisent pour permettre aux organisations d’améliorer leur gestion des correctifs de sécurité :

1) fournir aux administrateurs des postes de travail des Indicateurs clés de performance en matière de sécurité, afin que l’installation des patches reste à un niveau de priorité élevé ;
2) créer un inventaire des applications de bureau pour faciliter l’installation des correctifs ;
3) créer un calendrier de hiérarchisation des vulnérabilités et de mise à disposition des patches, afin d’en assurer la supervision constante et l’application rapide. »

Le principal enseignement du rapport : avec les informations adéquates, les équipes informatiques peuvent prendre un temps d’avance sur les risques de sécurité grâce aux patches disponibles pour la quasi-totalité des vulnérabilités affectant les applications de bureau les plus populaires. Le rapport de Flexera constitue un excellent point de départ pour les aider à revoir leur stratégie de gestion des correctifs.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.