En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de boissons alcoolisées
    < 3 000 €
    > En savoir plus
  • Site internet de réservation dans le domaine du transport de personnes
    < 3 000 €
    > En savoir plus
  • Designer pour la création de maquettes et de visuels
    < 3 000 €
    > En savoir plus
elo_processus pointe_leaderboard

Avis d’expert d’Ivanti – Mises en garde avant le Patch Tuesday d’Octobre : il est temps de réviser les stratégies de correctifs

Global Knowledge_Docker_pavé

Ivanti partage dans cet avis d’expert ses prévisions pour le Patch Tuesday d’octobre, dans lesquelles il contextualise l’importance des mises à jour de façon générale et plus particulièrement au vu des évènements récents et de certaines vulnérabilités.

 

Les cyberattaques continuent à sévrir dans le monde entier et poursuive leur exploitation de la vulnérabilité EternalBlue v1SMB. Des annonces récentes parlent de l’introduction d’un cheval de Troie dans un système bancaire en Europe et au Japon, et de l’attaque d’un système de réservation d’hôtel complexe en Europe et au Moyen-Orient. Dans les deux cas, le but de l’attaque était de collecter des références d’authentification utilisateur (nom de connexion et mot de passe).

Aux Etats-Unis, la récente faille de sécurité Equifax fait les gros titres en matière de sécurité. Tous les détails n’ont pas encore été communiqués, mais il s’agissait clairement d’une faille dans un processus de sécurité, qui a affecté 145 millions de personnes. La vulnérabilité exploitée se trouvait dans l’application Apache Struts, utilisée par le portail Web de l’entreprise. Un correctif pour cette vulnérabilité a été publié le 6 mars ; le premier signalement d’un problème dans Equifax n’a eu lieu en interne qu’en mai. Equifax avait mis en place une stratégie d’application trimestrielle des correctifs, qui l’a clairement desservi.

Nous recommandons à chacun de réviser sa stratégie d’application des correctifs. Il faut se demander, au vu des événements récents, si l’on est prêt à accepter ces risques pour nos systèmes, critiques ou non. En appliquant les correctifs tous les trimestres, peut-on se permettre d’exécuter des systèmes sans correctif jusqu’à trois mois, en attendant le démarrage du cycle de correctifs suivant ? Ceux qui ont mis en place des contrôles pour limiter les risques doivent au moins penser aux conséquences. Les fournisseurs sont devenus bien plus efficaces pour réagir aux vulnérabilités de leurs logiciels. Maintenant, il en va de la responsabilité des professionnels de la sécurité : ils doivent s’assurer que nous appliquons les correctifs et protégeons nos systèmes au bon moment.

Pour conclure, il convient de s’attarder sur la vulnérabilité BlueBorne. Cette vulnérabilité, initialement signalée par la sécurité d’Armis, se trouve dans le protocole Bluetooth. Cela peut poser problème, parce que Bluetooth s’exécute avec un niveau de privilèges élevé pour se connecter efficacement à une large gamme de périphériques. Microsoft et Google ont publié des correctifs, mais il leur faudra peut-être du temps pour atteindre les périphériques finaux, il faut donc être conscients du problème. Apple iOS 10 n’est pas vulnérable. Il peut être judicieux d’envoyer un avertissement aux utilisateurs et de leur demander d’éteindre le Bluetooth sur leurs périphériques mobiles, sauf en cas de nécessité absolue.

 

Prévisions pour octobre :

  • Ce mois-ci, les mises à jour d’OS Microsoft habituelles sont à prévoir. Après la publication de YUGE pour Office le mois dernier (51 articles de base de connaissances) et la publication de .NET, nous espérons qu’il y aura peu de correctifs en dehors des mises à jour d’OS habituelles.
  • Mozilla vient de publier une nouvelle version majeure de Firefox (la semaine dernière), alors il n’y aura sans doute pas de nouvelle version la semaine prochaine.
  • L’histoire tend à se répéter, il faut donc s’attendre comme d’habitude à une mise à jour d’Adobe Flash.
  • Une mise à jour CPU d’Oracle. Ils publient des mises à jour tous les trimestres et c’est le premier mois de la période, donc Oracle va publier le mardi 17 octobre des mises à jour pour tous ses logiciels, y compris Java. Nous verrons peut-être également une annonce concernant le futur de la prise en charge de Solaris et SPARC. Oracle a supprimé début septembre un grand nombre de postes parmi son personnel, à la fois pour les logiciels et pour le matériel.

 

 

 

Avis d’expert d’Ivanti – Mises en garde avant le Patch Tuesday d’Octobre : il est temps de réviser les stratégies de correctifs
Notez cet article

Laisser un commentaire

Webinaire Signature électronique

Les services de signature électronique, cachet serveur et d’horodatage Universign confèrent une dimension juridique à tous types de documents électroniques : valeur légale, intégrité dans le temps, authenticité des auteurs et des signataires.

Assister au webinaire du 30 novembre

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles ou non : vers un marché numérique unique ?

      Le 13 septembre 2017, la Commission européenne a adopté la proposition de règlement fixant…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert d'Ivanti - Mises en garde avant le Patch Tuesday d’Octobre : il est temps de réviser les stratégies de correctifs

    Ivanti partage dans cet avis d'expert ses prévisions pour le Patch Tuesday d’octobre, dans lesquelles…

    > En savoir plus...
Etudes/Enquêtes
  • Le Canadien toujours content au travail, et d'être connecté

    Les Canadiens sont moins nombreux à trouver un bon équilibre entre le travail et la…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
Systancia_keynote nov_skycrapper