En matière de sécurité, il y a deux disciplines que chaque organisation devrait suivre : produire un code sécurisé et pratiquer une bonne cyber-hygiène. Au fur et à mesure que le développeur produit du code, il est impératif de détecter immédiatement les faiblesses de sécurité pour éviter de les traiter en aval. Pour la cyberhygiène, la gestion des correctifs restera la mesure proactive la plus importante que les organisations peuvent prendre pour protéger leur technologie. Les principes de décalage vers la gauche et vers la droite sont bien compris et discutés dans le cadre de la sécurité des applications ; nous devrions également les étendre à la gestion des appareils.
Voici pourquoi : les vulnérabilités non corrigées restent l'un des points d'infiltration les plus courants dans les cyberattaques d'aujourd'hui, qu'un exploit entraîne une violation de données ou la diffusion réussie d'un ransomware. Les incidents de sécurité causés par des vulnérabilités non corrigées continueront d'augmenter en raison du passage rapide au cloud nécessaire pour prendre en charge le lieu de travail partout où la pandémie a produit - et la gestion des correctifs, qui était déjà compliquée, ne fera que devenir beaucoup plus difficile. Pour illustrer, un enquête récente ont constaté que les correctifs de vulnérabilité continuent de faire face aux problèmes de ressources et aux problèmes de fiabilité de l'entreprise, 62 % des personnes interrogées affirmant que les correctifs prennent souvent le pas sur leurs autres tâches, et 60 % affirmant que les correctifs perturbent le flux de travail des utilisateurs.
De toute évidence, cela ne fonctionnera pas à long terme. Nous vivons maintenant dans un monde sans périmètre où la surface d'attaque et le rayon d'exposition se sont considérablement étendus. Cela est encore aggravé par le fait que la vitesse de militarisation de la vulnérabilité a considérablement augmenté. Dans le monde d'aujourd'hui, les entreprises doivent prendre en compte tous les domaines d'exposition potentielle, des API aux conteneurs, en passant par le cloud et tous les appareils qui accèdent au réseau à partir de différents emplacements. Comme vous pouvez l'imaginer, il n'y a aucun moyen de collecter, découvrir et analyser manuellement ce type de données dans le temps nécessaire pour déployer un correctif avant qu'une vulnérabilité non corrigée ne soit exploitée. Ce n'est tout simplement pas humainement possible.
Nous avons cependant fait des progrès, comme je l'ai indiqué dans mon article précédent [lien vers l'article actuel sur la gestion des correctifs basée sur les risques]. La gestion des correctifs a évolué pour être à un endroit où elle est basée sur le risque. C'est bien, mais cela ne suffira pas à mesure que les vulnérabilités évoluent et que l'infrastructure et les appareils informatiques continuent de s'étendre sur les réseaux. Pour cette raison, l'avenir de la gestion des correctifs dépendra de l'automatisation - ou de l'hyperautomatisation, pour être plus exact. Les organisations doivent être proactives et prédictives en temps réel, pour être en mesure d'identifier, de comprendre et de répondre aux modèles à la vitesse de la machine afin de suivre la sophistication des acteurs de la menace. S'il existe une vulnérabilité connue, un exploit connu et une solution connue, les équipes de sécurité doivent avoir la capacité d'appliquer une solution de manière proactive et prédictive avec très peu d'intervention humaine.
Aujourd'hui, tout le monde parle de MLOps (opérations d'apprentissage automatique), d'AIOps (opérations d'intelligence artificielle) et de DataOps (opérations de données). Ces pratiques commenceront à avoir moins d'importance à mesure que nous nous dirigerons vers l'efficacité opérationnelle grâce à l'hyperautomatisation. Nous devrions nous attendre à voir une convergence de la gestion des expositions et de l'analyse des menaces, où les organisations peuvent gérer les expositions de manière plus automatisée en utilisant des outils tels que l'intelligence artificielle et l'apprentissage automatique pour contrôler les renseignements sur les menaces à la vitesse de la machine avec très peu d'intervention humaine. Il y aura un composant humain dans la boucle, où l'automatisation effectuera la majeure partie du travail et de l'analyse et l'humain sera simplement l'arbitre final qui prendra l'action appropriée en fonction de l'analyse qui a été fournie.
Au cours des cinq prochaines années, nous verrons l'utilisation généralisée de l'hyperautomatisation dans la gestion des correctifs. L'année prochaine sera une année particulièrement bonne pour surveiller l'innovation dans l'automatisation, mais 2023 à 2025 sera la période où l'industrie passera de la gestion des correctifs basée sur les risques à l'hyperautomatisation. La récente transition vers la gestion des correctifs basée sur les risques s'est également déroulée sur une période de deux à trois ans entre 2018 et 2020. Vient ensuite l'automatisation, et nous n'en sommes pas trop loin. D'ici 2025, nous devrions voir davantage de contrôles de sécurité écrits sous forme de code et intégrés dans le logiciel, par exemple avec la politique en tant que code, la sécurité en tant que code et le développement en tant que code. De la même manière, nous verrons le correctif comme un code, l'exposition comme un code et l'énumération des vulnérabilités comme un code. L'expression « comme un code » sera le mot à la mode de la prochaine décennie. Et au fur et à mesure que cela deviendra le buzz, l'industrie verra de grands progrès dans l'intégration de l'automatisation dans le logiciel lui-même.
L'avenir de la gestion des correctifs sera axé sur l'automatisation, en particulier l'automatisation du processus d'analyse des vulnérabilités. Nous devons traiter la gestion des patchs comme nous traitons les soins de santé préventifs. La surveillance de la santé de nos environnements informatiques d'entreprise ne fera que croître en complexité, tout comme la surveillance de la santé de toute une population humaine pendant une pandémie, il est donc temps de commencer à penser à des outils comme l'automatisation.
