La récente version d'Apple de macOS Ventura 13.4 contenait une longue liste de correctifs de sécurité, y compris deux vulnérabilités WebKit qui pourraient entraîner des fuites d'informations sensibles et l'exécution de code à distance. Pommes notes de sécurité ont reconnu qu'ils étaient « au courant d'un rapport selon lequel ce problème aurait pu être activement exploité », ce qui est aussi proche d'une reconnaissance d'un exploit dans la nature que nous sommes susceptibles d'en obtenir.
C’est le genre de correctifs critiques qui obligent les équipes informatiques et de sécurité à se démener pour installer les mises à jour, mais il s’avère que ces problèmes de WebKit avaient déjà été corrigés dans la première mise à jour Rapid Security Response (RSR) d’Apple le 1er mai.
La version inaugurale de RSR n’a pas vraiment eu lieu sans accroc, et les utilisateurs ne savaient même pas ce qu'il contenait jusqu'à la sortie du système d'exploitation (OS). Néanmoins, l’introduction des RSR est une évolution positive car ils dissocient les correctifs de sécurité urgents des mises à jour volumineuses du système d’exploitation qui sont publiées moins fréquemment et prennent plus de temps à installer.
D’un autre côté, l’existence même des RSR est une reconnaissance tacite de la part d’Apple que leurs besoins en matière de sécurité sont de plus en plus urgents – des types d’exploits qui ne peuvent pas attendre des semaines ou des mois pour être corrigés. Et cela devrait attirer l’attention de toutes les personnes concernées par la gestion des correctifs Mac, car « attendre des semaines ou des mois pour installer les correctifs » est précisément ce à quoi les administrateurs informatiques sont habitués.
Les outils de gestion des correctifs Apple ne sont pas à la hauteur
D'une manière générale, les équipes informatiques disposent de deux options pour installer des mises à jour et des mises à niveau sur leurs flottes de Mac, et aucune d'elles ne résout entièrement le problème.
La première option consiste à installer les mises à jour à distance via la gestion des appareils mobiles (MDM), ce qui nécessite un redémarrage forcé de l'appareil d'un utilisateur. Cette option est efficace en théorie, mais en pratique, elle est tellement perturbante pour les utilisateurs que la plupart des administrateurs hésitent à l’utiliser. Même lorsque vous avertissez les utilisateurs des mises à jour à l'avance et que vous les planifiez en pleine nuit, tout redémarrage forcé est un événement potentiel de perte de données, et de nombreux utilisateurs (y compris les dirigeants et les développeurs, qui présentent souvent des risques de sécurité majeurs) seront exemptés. de cette politique.
La leçon ici est la suivante : Vous avez besoin de la participation des utilisateurs finaux pour installer les mises à jour et les mises à niveau.
La deuxième option consiste à utiliser des outils comme Nudge, qui, comme son nom l'indique, incite les utilisateurs à installer des correctifs en leur envoyant des rappels automatisés. Ces rappels augmentent en fréquence et en intensité jusqu’à finalement envahir l’écran de l’utilisateur. Cette approche offre une certaine aide aux administrateurs, mais les utilisateurs ont toujours tendance à différer les mises à jour aussi longtemps que possible, et la grande majorité autorise des reports de 30 jours ou plus.
La leçon ici est la suivante : Vous ne pouvez pas simplement demander aux utilisateurs finaux de mettre à jour : la non-conformité doit avoir des conséquences.
Enfin, les options MDM et Nudge ne fonctionnent que sur les appareils supervisés. Si vous parlez d’un Mac BYOD ou d’un appareil d’un entrepreneur, les organisations n’ont aucun moyen d’appliquer des correctifs.
Pour corriger la gestion des correctifs, changez les habitudes des utilisateurs
Il existe une fâcheuse tendance parmi les professionnels de l’informatique et de la sécurité à minimiser le potentiel des utilisateurs finaux en tant qu’alliés de la sécurité plutôt que responsabilités. Et c’est vrai qu’il n’est pas facile de convaincre les utilisateurs de prendre les mises à jour au sérieux. Cela peut être particulièrement vrai pour les utilisateurs de Mac, qui (jusqu'à récemment) étaient largement à l'abri des types de menaces de sécurité qui affligent la communauté Windows.
Mais il y a des leçons tirées d’autres mouvements qui ont réussi à modifier des comportements apparemment intraitables. Un exemple particulièrement instructif vient des lois sur le port de la ceinture de sécurité.
C’est facile à oublier, mais amener les Américains à s’attacher dans les années 1980 était presque aussi difficile que de les amener à installer des mises à jour l’est aujourd’hui. À l’époque, beaucoup pensaient que les lois sur le port de la ceinture de sécurité étaient un exemple de dépassement de soi du gouvernement socialiste. Mais aujourd’hui, les Américains acceptent automatiquement le port de la ceinture de sécurité (sauf dans le New Hampshire, où il n’y a toujours pas de loi).
Changer les habitudes en matière de port de la ceinture de sécurité nécessitait un mélange de solutions. Sur le plan technique, les constructeurs automobiles étaient tenus d'inclure les ceintures de sécurité dans tous les véhicules. Pendant ce temps, les Américains étaient convaincus de les utiliser grâce à un mélange d’éducation du public (messages d’intérêt public et panneaux d’affichage) et de conséquences proportionnelles (amendes).
La même combinaison de solutions peut modifier le comportement des utilisateurs en matière de gestion des correctifs. Les solutions techniques incluent des outils automatisés qui réduisent la friction des mises à jour et offrent une visibilité même sur les appareils non gérés. Mais celles-ci doivent être accompagnées d’éducation, car de nombreux utilisateurs ne comprennent pas que l’installation rapide des mises à jour est l’une des mesures de sécurité les plus efficaces qu’ils puissent prendre. Enfin, toute approche doit inclure des conséquences proportionnelles pour les utilisateurs, comme l'impossibilité d'accéder aux ressources de l'entreprise jusqu'à ce que les mises à jour soient installées.
Quelle que soit la manière dont les équipes informatiques et de sécurité choisissent de mettre en œuvre cette approche, il est clair qu’un changement est nécessaire. À tout le moins, Apple ne devrait pas publier de correctifs plus rapidement que les administrateurs informatiques ne peuvent les déployer.
Voici une vidéo qui montre comment les mettre principes de gestion des correctifs en pratique.
À propos de l’auteur
Elaine Atwell est rédactrice en chef du marketing de contenu chez Kolide. Elle écrit sur la sécurité des entreprises depuis 2019 et s'intéresse aux approches de sécurité qui équilibrent la gestion responsable des données avec la confidentialité et l'autonomie des employés.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://www.darkreading.com/endpoint/what-apple-rsrs-reveal-about-mac-patch-management
