Log4j : Les autorités appellent à une vigilance renforcée des entreprises

by admin
Log4j : Les autorités appellent à une vigilance renforcée des entreprises

Alors que la faille critique Log4Shell dans le composant de journalisation des erreurs des applications Java Log4j continue à faire des ravages, le gendarme britannique de la cybersécurité vient d’exhorter à son tour les directions des entreprises à se poser des questions essentielles sur leur niveau de préparation face à cette dernière.

L’enjeu est pour le moins crucial. Le National Cyber Security Centre (NCSC) qualifie en effet Log4Shell de « vulnérabilité informatique potentiellement la plus grave depuis des années » et appelle les conseils d’administration des entreprises à traiter ce bug de toute urgence. Et de souligner que la faille Log4j – également connue sous le nom de Log4Shell – touche un composant logiciel plutôt qu’un élément de logiciel, ce qui signifie qu’il sera beaucoup plus compliqué à corriger.

L’existence de cette faille s’impose comme une mauvaise nouvelle qui restera probablement dans les systèmes d’entreprise pendant des années, malgré les efforts importants déployés par les autorités, les grandes entreprises technologiques et les contributeurs de logiciels libres pour corriger les failles du projet initial Log4J version 2, sa mise en œuvre dans les principaux produits logiciels et son déploiement dans des centaines de millions d’applications d’entreprise, de serveurs et d’appareils connectés à internet.

publicité

Une urgence justifiée

Des efforts sont actuellement déployés par la Fondation Apache pour corriger le projet Log4j de base, ainsi que par IBM, Cisco, Oracle, VMware et d’autres pour corriger les produits contenant des versions vulnérables du composant Log4j. Google a également publié des outils pour empêcher les développeurs d’utiliser des versions vulnérables de Log4j dans les nouvelles versions de logiciels libres. Enfin, le gouvernement américain a ordonné à toutes les agences fédérales d’appliquer un correctif à Log4Shell ou d’en atténuer les effets avant Noël.

L’urgence est justifiée. Selon Microsoft et Google, des pirates parrainés par des Etats ont commencé à repérer la faille en vue d’éventuelles attaques futures, tandis que les cybercriminels cherchent à en tirer profit. Entre-temps, le ministère belge de la Défense a confirmé une attaque sur son réseau après l’exploitation du bug Log4j.

Les principaux défis décrits par la NCSC consistent, pour les organisations, à trouver quels services utilisent Log4j, à identifier ceux qu’elles utilisent, puis à déterminer si ces services sont vulnérables. La CISA, le gendarme américain de la cybersécurité, a de son côté déjà demandé à toutes les agences fédérales américaines d’énumérer tous les dispositifs externes sur lesquels Log4j est installé. Ce n’est pas une mince affaire, surtout si l’on considère le nombre de produits concernés de Cisco, IBM, Oracle et VMware. En raison de l’utilisation répandue du composant dans d’autres produits, la CISA estime que des centaines de millions de dispositifs dans le monde sont exposés.

Prendre les mesures nécessaires

Les états-majors des entreprises doivent également prendre en compte l’impact de Log4Shell si celles-ci doivent divulguer les cas où des données personnelles ont été affectées, ainsi que les coûts liés à la réponse aux incidents et à la récupération, et l’atteinte à leur réputation. « La gestion de ce risque nécessite un leadership fort, les cadres supérieurs travaillant de concert avec les équipes techniques pour comprendre initialement l’exposition de leur organisation, puis pour prendre les mesures appropriées. »

Selon la NCSC, Log4Shell justifie la création par les organisations d’une équipe de réponse à incident composée d’employés de base, dont un dirigeant, pour faire face à la menace. Les conseils d’administration doivent également se demander « quel est notre plan ? » et comprendre comment les problèmes de Log4j seront résolus. Les conseils doivent comprendre que la résolution de ce problème prendra des semaines ou des mois, et non des jours.

Les conseils d’administration doivent savoir comment l’entreprise est préparée à répondre à une attaque Log4Shell si et quand elle se produit, et si l’entreprise peut détecter une telle attaque. Le rapport souligne que les conseils d’administration doivent comprendre quelle visibilité leurs équipes ont sur les logiciels et les serveurs vulnérables, y compris les actifs informatiques gérés de manière centralisée et non gérés.

Soutenir les équipes d’urgence

La chaîne d’approvisionnement des logiciels est un autre élément clé. Le NCSC recommande aux organisations d’avoir une « conversation ouverte et honnête » avec les fournisseurs de logiciels en tant que service, qui peuvent également essayer de savoir lesquels de leurs produits sont touchés.

Pour rappel, Java est un langage de programmation extrêmement populaire dans l’informatique d’entreprise, utilisé par environ 12 millions de développeurs dans le monde. « Les développeurs Java peuvent avoir légitimement utilisé Log4j, il est donc important de s’assurer que tout logiciel écrit n’est pas vulnérable », note le NCSC. Comme nous l’avons déjà indiqué, Log4j version 2 est livré avec les frameworks Apache les plus populaires, notamment Struts2, Solr, Druid, Flink et Swift.

Enfin, les directions des entreprises doivent fournir des efforts supplémentaires pour soutenir leurs task forces. « La résolution de ce problème prendra probablement des semaines, voire des mois pour les grandes organisations. La combinaison d’une situation en constante évolution (et le potentiel d’impacts graves) peut conduire à l’épuisement des défenseurs, s’ils ne sont pas soutenus par la direction », souligne le NCSC.

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading