Cyber : on y va tout droit

Jeudi 15 février dernier, CVE Fortinet avec un score de 9,6.
Mercredi 21 février dernier, CVE VMware avec un score de 9,6.
Idem, CVE Exchange avec un score de 9,8.
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs, c’est du jamais-vu.

Entendons-nous : gérer des vulnérabilités, patcher même en urgence, les équipes infra et cyber sont rompues à cet exercice depuis des lustres. Là n’est pas le sujet de cet article.

Il y a d’une part l’accumulation des failles de sécurité en un temps très court, et surtout sur des composants majeurs : on n’est pas en train de parler d’un obscur éditeur de blog ou d’une DB open source serbo-croate. Un firewall, l’éditeur principal de produits de virtualisation et la messagerie, excusez du peu.

À quelques mois des JO, une telle accumulation a de quoi interroger. Et il ne faudrait pas que l’on voie se répandre, au sein des équipes d’experts (infra et cyber), une forme plus ou moins larvée de résignation, comme celle qui s’abat sur les individus qui, depuis des années, alertent sur la gestion parfois grand-guignolesque de la cyber (l’obsolescence n’est qu’une source de vulnérabilité parmi beaucoup d’autres). Et qui finissent par lâcher : « Il faut que l’on se fasse attaquer une bonne fois pour toutes pour que tout le monde comprenne que l’on ne peut pas rester dans cet état. » J’entends ce raisonnement de plus en plus souvent, aussi bien dans le public que dans le privé, et il s’agit d’un signal de type faible qu’il convient selon moi de considérer avec attention et inquiétude.

Il y a aussi les effets indirects de l’obsolescence. Être obsolescent au sens des DSI, ce n’est pas « ne plus fonctionner » (vision comptable), mais « ne plus être en mesure de rendre le service attendu ». Or, si une version obsolète (autrement dit, qui n’est plus maintenue par l’éditeur) peut tout à fait fonctionner sans poser de soucis, le jour où l’on voit débouler des CVE de ce genre, on comprend que les économies consistant à ne pas vouloir migrer vers une version supportée (et donc qui n’est pas obsolète) vont se payer au quintuple. Les DSI le savent depuis longtemps, c’est juste que des CVE majeures de ce niveau le rappellent au bon souvenir de chacun : quand vous avez une version à jour, un « simple » patch peut suffire (très lourd à passer dans certains cas), mais quand en plus vous traînez une version obsolète, c’est double effet Kiss Cool pour la montée de version plus le patch. On est en train, dans pas mal d’endroits, d’accumuler de la dette technique au-delà du gérable.

Il y a une différence fondamentale entre la dette d’un État et la dette technique. La première peut théoriquement être reportée à l’infini : tant que vous trouvez des gens pour prêter, votre dette peut atteindre 100 % de votre PIB, 150 %, 300 %, 500 %, etc. Emprunter coûte de plus en plus cher, mais le système peut durer un bon moment. Et cerise sur le gâteau : vous pouvez faire défaut sur votre dette (c’est ce qu’a fait la Russie à la suite de la révolution de 1917 et la France plusieurs fois dans son histoire). Plus personne ne veut vous prêter pendant quelques décennies, mais que sont quelques décennies à l’échelle d’une nation de plusieurs siècles d’existence ? La dette technique, au contraire, vous ne pouvez pas la repousser à l’infini (essayez d’installer une version 1.0 d’Oracle sur une version 1.0 de MS-DOS sur un PC 8086) et vous ne pouvez jamais l’ignorer (essayez de jeter aux oubliettes l’existence d’une CVE pour voir).

En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs :
Pour les infra, c’est l’enfer.
Pour les métiers, c’est une journée de plus à danser sur le bord du volcan.
Pour les équipes cyber, c’est juste en train de devenir un jour normal de semaine.

Souriez, il fait moche.

---

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.