Une bonne résolution : appliquer les mises à jour de sécurité

Pourquoi effectuer les mises à jour de sécurité ? 

Le code, toujours imparfait, les nouvelles fonctionnalités, le développement réalisé de plus en plus dans la précipitation, et des attaquants, toujours quête de ces imperfections, font que les applicatifs en tout genre voient leur vulnérabilité augmenter au fil des mises à jour de sécurité ratées. 

Mettons de côté les vulnérabilités non connues publiquement, et pour lesquelles il nous est impossible d’agir à notre niveau (nous ne sommes pas des chercheurs en sécurité), lorsque des correctifs de sécurité sont publiés par les éditeurs ou que des failles sont rendues publiques, il nous est possible d’agir, soit en « patchant » soit en « fermant des portes » pour contourner des failles connues pas encore corrigées.

Quels sont les risques si l’on n’effectue pas ces mises à jour ?

Ils peuvent être nombreux et assez variables, infection d’un poste utilisateur, d’un serveur, d’un réseau, du SIH tout entier.
Il en va de l’indisponibilité d’un poste utilisateur à l’ensemble du SI, plus grave encore lorsque l’intégrité des données est touchée ou que les données de santé s’évaporent dans la nature.

À quel rythme doit-on les réaliser ?

Suivant les éditeurs, les mises à jour sont publiées à intervalles plus ou moins réguliers. Par exemple, Microsoft publie généralement ses mises à jour entre le 10 et le 15 de chaque mois, alors que Debian délivre des patchs au fil de l’eau (il peut y en avoir plusieurs par semaine).
Le mois de septembre, qui n’est pas encore terminé, voit déjà un nombre record de mises à jour, tous logiciels confondus (Windows, Office, Flash Player, Debian, Chrome, Firefox, Mac OS, iOS, VMware, Citrix, Cisco, Juniper, Asterisk…)

Comment savoir quand ces mises à jour sont disponibles ? 

C’est assez difficile d’avoir une vision globale. Suivant les éditeurs, il est possible de s’inscrire à des mailing lists sur les disponibilités des mises à jour de sécurité ou de s’abonner aux flux RSS des éditeurs annonçant les diffusions de patchs. Il peut être intéressant également de s’abonner au flux RSS du CERT-FR de l’ANSSI qui regroupe les publications sur les failles et les mises à jour d’une bonne partie des « applicatifs génériques » utilisés dans nos établissements. Par ailleurs, l’ANSM diffuse par mail des alertes sur les vulnérabilités et les mises à jour d’applicatifs médicaux (intégrés ou non à des dispositifs médicaux) parmi tous les produits de santé (le tri n’est pas toujours évident). Pour résumer, il n’est pas simple d’arriver à centraliser l’ensemble de ces informations. C’est ce que j’ai essayé de lancer avec les rubriques « Sécurité » sur Forum SIH.
Pour ce qui est des informations sur les vulnérabilités, il est possible de les retrouver sur les différents services proposés par OVAL sur lesquels les « scanners de vulnérabilité » s’appuient pour détecter les systèmes vulnérables.
L’utilisation de ces mêmes scanners pour auditer son SI peut également permettre de prendre conscience qu’il est temps d’agir !

Quels sont les freins à la réalisation des mises à jour ?

Activer les mises à jour automatiques sur tous les systèmes pourrait apparaître comme la solution idéale ! Si elle l’est pour l’ordinateur personnel de M^me Michu, au sein du SIH, c’est un peu différent. Pour commencer, tous les systèmes ne permettent pas d’effectuer des mises à jour automatiquement, comme les équipements réseau par exemple. Ensuite, activer les mises à jour automatiques sur des serveurs en production n’est pas recommandé : imaginez la situation en cas de bug sur une mise à jour non maîtrisée par les administrateurs ou un redémarrage intempestif pendant le processus de mise à jour sans que les utilisateurs aient été informés.
La continuité d’activité est un frein majeur à la réalisation des mises à jour ; il faut les planifier, prendre les précautions nécessaires, prévenir les services, mettre en place des procédures dégradées. Dans un établissement de santé fonctionnant H24, ce n’est pas anodin de rendre indisponible un DPI ou la traçabilité d’un dépôt de délivrance.
Autre énorme frein, la compatibilité avec les applicatifs métiers dont nous sommes bien souvent dépendants pour la réalisation des mises à jour. Par exemple l’éditeur du DPI qui n’a pas qualifié la dernière version du navigateur utilisé pour y accéder ou du système de gestion de base de données stockant l’ensemble des informations. Il nous faut donc choisir entre « boucher les trous » de sécurité et continuer à utiliser le DPI. Dans un hôpital, le choix est vite fait !
Autre type d’équipements spécifiques au secteur de la santé pour lesquels il est carrément impossible d’appliquer des patchs de sécurité « systèmes » sans une intervention du constructeur : les appareils biomédicaux (voir le prochain magazine DSIH papier).
Et c’est comme ça que l’on se retrouve avec des systèmes vulnérables.

Pour résumer, maintenir le SIH de son établissement à jour des vulnérabilités n’est pas des plus simples, mais faire le maximum pour « boucher les trous » est indispensable pour éviter de couler !