Flash info ! La couverture médiatique, un indicateur pour prioriser les vulnérabilités ?

Nous nous sommes demandés si la couverture médiatique traditionnelle des vulnérabilités modifiait la façon dont les entreprises gèrent leurs vulnérabilités. Nous leur avons donc posé la question. Voici ce que nous avons appris.

Dans les milieux techniques, les vulnérabilités ont toujours fait les gros titres. Mais elles sont aussi de plus en plus souvent évoquées dans les médias traditionnels. Elles font régulièrement l'objet d'articles dans les magazines d'affaires lus par des directeurs d'entreprise qui ne s'intéressent pas d'habitude aux détails de la gestion des vulnérabilités. 

2018 a été une année cruciale en ce qui concerne la couverture médiatique des vulnérabilités. Meltdown et Spectre ont fait leur entrée dès janvier et il semble que l'encre n'ait jamais cessé de couler depuis. Nous nous sommes donc demandés si cette couverture médiatique avait eu des répercussions sur la gestion des vulnérabilités en entreprise, et le cas échéant, lesquelles. Nous avons donc posé la question aux entreprises. Lors d'entretiens généraux menés auprès de RSSI et d'analystes en sécurité, nous leur avons demandé de partager leur expérience concernant les vulnérabilités relayées dans les actualités.

Nous avons posé la question suivante aux personnes interrogées : « La couverture médiatique des vulnérabilités a-t-elle eu des répercussions sur votre travail ? Si oui, lesquelles ? ». 

La plupart d'entre elles ont signalé avoir constaté une certaine perturbation dans leurs activités habituelles. Les deux exemples principaux cités ont été les vulnérabilités d'exécution spéculative, Meltdown et Spectre, ainsi que Struts 2. Le rapport complet, Les vulnérabilités médiatisées : comment la couverture médiatique façonne la perception du risque, renseigne sur les stratégies, les tactiques et les défis qui surviennent lorsqu'il est nécessaire de réagir à ces incidents. Voici nos principales conclusions : 

• Les vulnérabilités très médiatisées ne préoccupent pas uniquement les équipes de sécurité. Ces vulnérabilités, qu’elles soient ou non critiques sur le plan technique, peuvent poser de sérieux risques pour la réputation et exiger de communiquer pour sauvegarder les relations avec les clients, les partenaires, les organismes de réglementation et les autres intervenants clés.
• La couverture médiatique n'est pas un indicateur objectif pour déterminer la criticité réelle d'une vulnérabilité, en particulier dans le contexte d'une entreprise précise. Le rôle des médias consiste à enquêter sur les faits et à les rapporter. Ils n'ont aucune vocation à analyser les risques. Ils rendent compte de vulnérabilités dignes d'intérêt, mais pas nécessairement critiques.
• Toutefois, la couverture médiatique peut toujours influer sur les évaluations globales des risques. Les équipes de sécurité sont bien conscientes que la couverture médiatique n'est pas un indicateur déterminant du risque technique, mais elles doivent tout de même discuter de leur processus d'évaluation des risques avec le reste de l'entreprise. Elles doivent par ailleurs reconnaître que le risque global posé par une vulnérabilité de sévérité moindre peut nécessiter de prendre des mesures.
• Une des attributions d'une équipe de sécurité consiste à gérer les risques perçus et à conseiller les principaux intervenants, en particulier les principaux décideurs, et à organiser une réponse mesurée face aux vulnérabilités, basée sur la contextualisation, plutôt que sur le battage médiatique. Les RSSI doivent disposer de données de vulnérabilité contextualisées afin de pouvoir rendre compte de la Cyber Exposure de l'entreprise aux dirigeants avec précision et d'investir les ressources nécessaires pour réduire les risques.

Toutefois, il existe un autre angle n'étant pas abordé dans le rapport et que je voudrais évoquer : ce n'est pas seulement la presse d'affaires qui peut impacter la gestion des vulnérabilités. Les équipes de sécurité suivent un ensemble bien plus étendu de canaux de renseignements que leurs dirigeants à la recherche de vulnérabilités. Bien que les équipes de sécurité n'utilisent pas les articles et reportages des médias comme source unique de veille des vulnérabilités, ceux-ci peuvent être utilisés comme indicateur (combinés avec d'autres) à des fins de priorisation. Analysons maintenant cet aspect du paysage médiatique des vulnérabilités. 

Paysage médiatique des vulnérabilités

Bien que le rapport sur les vulnérabilités médiatisées se penche essentiellement sur la façon dont les entreprises réagissent face à cet important battage médiatique et aux affaires qui font les choux gras du New York Times et des journaux télévisés, le paysage médiatique des vulnérabilités ne s'arrête pas à ces quelques affaires. La pression est bien sûr plus importante si les dirigeants ou le conseil d'administration entendent parler d'une vulnérabilité et les équipes de sécurité utilisent fréquemment la couverture médiatique comme indicateur de sévérité. Une vulnérabilité qui est relayée dans les médias se voit généralement attribuer une priorité plus élevée et cela est d'autant plus vrai lorsque des attaques ont réellement lieu. Par exemple, Atlassian a publié des recommandations concernant les vulnérabilités du Confluence Server le 20 mars, notamment une correction pour la vulnérabilité CVE-2019-3396. Cependant, les médias ne s'y sont pas intéressés avant que le code d'une preuve de concept et qu'une exploitation avérée de la vulnérabilité ne soient rendus publics. Bien que cela n'en fasse pas forcément une priorité absolue, la couverture médiatique d'une vulnérabilité a un impact sur son degré de priorité.

L'équipe de sécurité de Tenable (SRT) traque les vulnérabilités dans les médias (et les autres sources) et, depuis début 2019, presque chaque vulnérabilité notable divulguée a été couverte par la presse. Cela fait beaucoup de bruit à gérer pour les équipes de sécurité. La couverture médiatique devient moins pertinente en tant qu'indicateur en raison de l'évolution du paysage médiatique. 

À ce sujet, Ryan Seguin, chargé d'études au SRT déclare, « Je pense qu'au cours des cinq dernières années, nous avons assisté à un concours de circonstances dans le secteur. Le premier impact majeur en termes de couverture médiatique des vulnérabilités a été Heartbleed en 2014, et le second a été lorsque Twitter est devenu la méthode de communication standard des chercheurs. Heartbleed n'était assurément pas la première vulnérabilité à se voir attribuer un nom accrocheur, mais selon mon expérience anecdotique, sa publication a suscité une espèce de ruée vers l'or en termes de recherche des vulnérabilités. Depuis 2014, les chercheurs sont de plus en plus déterminés à devenir la prochaine personne découvrant la vulnérabilité parfaite qui donnera lieu à la publication d'un formidable article ou à la création d'une page web passionnante. Outre faire connaître votre nom au monde entier et vous faire gagner en crédibilité, il est devenu également très lucratif et facile de signaler des bugs aux programmes Bug Bounty. » Cette évolution de la façon dont les chercheurs publient leur travaux en se disputant l'attention se solde par un matraquage constant dans les médias.

Les vulnérabilités et les tactiques abordées dans le rapport confirment le fait que le récent intérêt du conseil d'administration pour le sujet a renforcé la popularité de la cyber-sécurité au cours des dernières années. Comment les équipes de sécurité non seulement réagissent-elles, mais aussi tirent-elles profit de l'attention accrue de la part de la direction et des conseils d'administration ? Cette attention s'est focalisée, plus particulièrement en 2018, sur la gestion des vulnérabilités. Que cette attention soit suscitée par des faits publiés dans la presse d'affaires ou dans un magazine technique tel que Bleeping Computer, les équipes de sécurité doivent être en mesure de définir les risques que présentent les vulnérabilités en des termes qui permettent aux acteurs clés de prendre les meilleures décisions.

Vidéo : Un panel de spécialistes parle du rapport sur les vulnérabilités médiatisées à la conférence Edge 2019

Mise à jour, 4 juin 2019 : Nous avons débattu des conclusions du rapport avec des spécialistes lors de la conférence utilisateur Edge 2019 de Tenable, qui se tenait du 21 au 23 mai à Atlanta. La session était animée par Paul Roberts, Éditeur et rédacteur en chef de The Security Ledger. Outre moi-même, les spécialistes suivants ont pris part à la session : Kevin Kerr, RSSI chez Oak Ridge National Laboratory, Greg Kyrytschenko, Directeur des services de sécurité au Guardian et Ramin Lamei, Directeur senior et responsable de la sécurité informatique chez Global Payments. Découvrez la session complète ci-dessous.

En savoir plus

• Téléchargez le rapport Vulnérabilités médiatisées : comment la couverture médiatique façonne la perception du risque.
• Participez au webinaire Tenable Research étudie les vulnérabilités médiatisées : la médiatisation fausse-t-elle notre perception ?, le 19 juin à 14 h 00 heure de l'Est. 
• Vous souhaitez voir davantage de vidéos de la conférence Edge 2019 ? Cliquez ici.