Quel correctif a-t-il la priorité?

Un spécialiste américain en audit de sécurité a élaboré un système d’évaluation des correctifs sécuritaires. Ce système vous permet de savoir quel correctif (patch) est prioritaire.

Un spécialiste américain en audit de sécurité a élaboré un système d’évaluation des correctifs sécuritaires. Ce système vous permet de savoir quel correctif (patch) est prioritaire.

L’entreprise américaine d’audit en sécurité nCircle a lancé le [‘Patch Priority Index’], annonce Computerworld.com aux Etats-Unis. Provisoirement, l’index ne prend en considération que les correctifs de Microsoft, mais il sera probablement étendu à d’autres fournisseurs (notamment Adobe).

Le raisonnement de nCircle se base sur le fait que l’information prodiguée parfois par les fournisseurs sur certains correctifs est très restreinte (‘installer ou ne pas installer’). Il en résulte que pour les départements IT ou les utilisateurs individuels, il est parfois malaisé d’évaluer quelle mise à jour est prioritaire. Le nouvel index devrait clarifier les choses.

Néanmoins, Microsoft dispose elle-même aussi de son ‘severity index’. Mais, selon le même raisonnement, il ne concerne que le mois en cours. La liste de nCircle considère, elle, l’année écoulée dans son ensemble et reprend donc aussi les correctifs plus anciens, mais qui sont restés d’actualité pour une raison ou une autre. Selon nCircle, la période de 30 jours est pour beaucoup d’entreprises trop courte pour tester les nouveaux correctifs et les déployer. L’entreprise affirme aussi qu’un ancien point faible non colmaté doit se voir attribuer un degré de risque plus élevé, parce que la possibilité d’un abus (‘exploit’) y est plus grande. nCircle examine aussi la ‘classe’ de la vulnérabilité (par exemple est-il possible de pirater tout un système avec un bug ou non?) et la facilité/difficulté avec laquelle les chercheurs de nCircle estiment que la brèche peut être abusée.