WannaCry : Une leçon de base de cyber sécurité
|
GCompte tenu des attaques de grande envergure sur Home Depot, Target, Ashley Madison et d’autres ces dernières années, il est surprenant que tant d’organisations aient négligé une simple mise à jour de leurs logiciels. Bien qu’une augmentation de la vente de produits d’assurance cyber responsabilité après WannaCry soit probable, le secteur des assurances peut jouer un rôle clé dans la sensibilisation des consommateurs sur les principales mesures qu’ils peuvent adopter pour leur éviter de devoir déposer une réclamation.
Mais d’abord, il est important de comprendre pourquoi il est facile de négliger d’installer des correctifs et d’effectuer les mises à jour qui s’imposent.
La loi de la moindre résistance
Les gens s’en tiennent habituellement à ce qui est facile, et la tenue à jour des systèmes informatiques n’a rien de facile. Dans le cadre d’une étude menée conjointement par l’Université d’Édimbourg et l’Université de l’Indiana(2), seulement 21 % des participants ont déclaré avoir tiré une expérience positive de la mise à jour des logiciels. Les mises à jour de Windows constituent souvent une douloureuse nécessité, qui se répète à tous les mois. Parmi les plaintes particulières concernant l’installation de mises à jour, mentionnons :
- L’installation est trop longue
- Les mises à jour peuvent engendrer des problèmes de compatibilité avec un logiciel tiers
- Bien que les mises à jour et les correctifs soient habituellement gratuits, ce n’est pas le cas du personnel de TI qui en effectue l’installation
Par conséquent, certaines organisations peuvent retarder la mise à jour de leurs systèmes. Les problèmes de financement et de compatibilité représentent les deux facteurs invoqués pour expliquer la vulnérabilité du National Health Service (NHS) de la Grande-Bretagne à WannaCry.
La surcharge des mises à jour
Les mises à jour logicielles ne sont pas toujours simples – celle de Microsoft le 14 mars se composait de 18 installations individuelles, et même des professionnels de la TI et des experts en sécurité ont trimé dur pour déterminer lesquelles étaient vraiment nécessaires. Une entreprise de sécurité a publié un blogue sur les mises à jour les plus importantes, mais a oublié celle qui portait sur la vulnérabilité à WannaCry.
Et c’est seulement pour Windows. Les employés comptent souvent sur des programmes tiers pour faire leur travail, et la plupart d’entre eux sont également mis à jour de façon périodique. Au fur et à mesure que les cyber menaces évoluent, la gestion des mises à jour logicielles tout en veillant à ce que les systèmes informatiques fonctionnent comme prévu constitue un défi qui ne deviendra que plus complexe au fil du temps.
Le décalage
Un projet de recherche portant sur 8,4 millions d’ordinateurs a révélé qu’à partir du moment où la mise à jour d’un logiciel est diffusée, il faut à des utilisateurs possédant au moins une certaine expertise en informatique en moyenne 24 jours pour en effectuer l’installation. Dans le cas des profanes, il peut s’écouler jusqu’à 45 jours avant même que 50 % d’entre eux y parviennent.
Plus inquiétant encore, de nombreuses organisations (y compris le NHS de la Grande Bretagne) utilisent encore des versions anciennes de Windows, comme XP (versions que Microsoft ne prend plus en charge et pour lesquelles il ne propose plus de mises à jour), ce qui facilite encore davantage la tâche des pirates qui souhaitent les infecter.
La leçon de WannaCry
Nous apprenons à la dure que l’utilisation de logiciels mis à jour et corrigés représente un élément nécessaire de tout programme de cyber sécurité qui complète d’autres outils comme les pare feu, la gestion des mots de passe et la formation des employés (bon nombre de ces éléments sont abordés en détail dans les ressources offertes sur CSIO.com). Le secteur des assurances peut jouer un rôle dans la sensibilisation des clients au sujet des façons de minimiser le cyber risque et de limiter, voire prévenir, les attaques telle WannaCry à l’avenir.