Les horreurs de l'informatique : Comment les logiciels non corrigés nuisent aux entreprises

IT Horror Stories: How Unpatched Software Hurts Businesses Blog Banner

CINQ IDÉES PRATIQUES QUI VOUS AIDERONT DANS VOTRE TÂCHE.

Newsletter NinjaOne

Rejoignez d'autres MSP soucieux de la croissance et alimentez votre entreprise grâce à cinq conseils et tutoriels de taille réduite livrés dans votre boîte de réception chaque semaine.

Ne manquez aucune promotion, outil gratuit, événement, webinaire et mise à jour de nos produits. Abonnez-vous pour recevoir la newsletter hebdomadaire de NinjaOne.

Grandissez plus vite. Moins de stress.

Visitez notre centre de ressources pour plus de contenu MSP.
Team Ninja      

Ne pas mettre a jour un logiciel est l'une des erreurs les plus élémentaires et involontaires qu'un dirigeant puisse commettre, mais les entreprises, grandes et petites, continuent de l'apprendre à leurs dépens. Il est plus difficile qu'il n'y paraît de maintenir les logiciels à jour. Ainsi, même si les dirigeants sont conscients de l'importance des correctifs, le volume considérable de mises à jour nécessaires et le taux d'erreur élevé font que certaines entreprises ne sont pas protégées.

Qu'est-ce qu'un logiciel non corrigé ?

Les logiciels non corrigés sont des codes informatiques présentant des faiblesses de sécurité connues.  Une fois les vulnérabilités révélées, les fournisseurs de logiciels écrivent des ajouts au code, appelés « correctifs », afin de couvrir les failles de sécurité. L'utilisation d'un logiciel non corrigé est une activité risquée car, lorsqu'un correctif apparaît, le milieu criminel est généralement bien au courant des vulnérabilités.

Conséquences des logiciels non corrigés

Avoir des logiciels non corrigés et vulnérables pose de sérieux problèmes. Il suffit de jeter un coup d'œil à quelques-unes des violations de données qui se sont produites cette année dans certaines des entreprises les plus importantes et les plus connues.

Violation des données de Microsoft

Microsoft, l'une des plus grandes entreprises technologiques au monde, est souvent la cible de cyberattaques. En mars 2022, les pirates d'un groupe international de cybercriminels connu sous le nom de Lapsus$ ont pénétré dans Microsoft et ont compromis Bing. Heureusement, Microsoft a pu mettre fin à l'attaque sans dommages majeurs le 22 mars, deux jours seulement après qu'elle ait commencé.

Violation des données de Toyota

Le 11 octobre 2022, Toyota a été victime d'une violation et a révélé les adresses électroniques et les numéros de contrôle d'environ 300 000 clients qui utilisaient son service télématique T-Connect. Heureusement, aucune des données financières des clients n'a été volée, et aucune autre information personnelle n'a été extraite de la base de données.

Violation des données de Samsung

Samsung est un leader mondial de la technologie, ce qui en fait une cible pour les cyberattaques. En juillet 2022, Samsung a fait l'objet d'un accès non autorisé qui a volé les informations personnelles des clients, telles que les noms, les numéros de téléphone, les données démographiques, les dates de naissance, les informations d'enregistrement des produits, et bien plus.

Statistiques sur la cybersécurité et les vulnérabilités

Les statistiques énumérées ci-dessous ne sont que des exemples récents de pratiques négligentes en matière de correctifs, mais de nombreux dirigeants font l'autruche quant à la gravité du problème. « Les propriétaires de petites entreprises ont tendance à ne pas se concentrer sur la sécurité, car ils la considèrent comme une responsabilité et un centre de coûts », explique AJ Singh, vice-président produit chez NinjaOne.  « Ils ne tiennent pas compte des pertes dues aux pannes. »

L'étude de ThoughtLab sur la cybersécurité en 2022 

Une étude sur la cybersécurité réalisée en 2022 par ThoughtLab a déterminé que les erreurs de configuration des logiciels, ainsi qu'une mauvaise maintenance, sont à l'origine de la majorité des problèmes de sécurité. Selon eux, « au cours des deux prochaines années, les responsables de la sécurité s'attendent à une augmentation des attaques par ingénierie sociale et par ransomware, les états-nations et les cybercriminels devenant plus nombreux. Les dirigeants prévoient que ces attaques cibleront les points faibles principalement causés par des configurations logicielles erronées (49%), des erreurs humaines (40%), une mauvaise maintenance (40%) et des actifs inconnus (30%). »

Rapport 2022 d'Automox sur les vulnérabilités non corrigées

Le rapport 2022 d'Automox sur les vulnérabilités non corrigées montre que les vulnérabilités non corrigées sont directement responsables de 60% des violations de données. Malgré cette statistique et les risques que créent les logiciels qui ne sont pas mis à jour, cette étude montre que « la majorité des DSI et des RSSI déclarent même retarder l'application des correctifs de sécurité pour éviter de ralentir la croissance de l'entreprise, et 25 % disent être certains que leur entreprise n'est pas conforme à la législation sur la sécurité des données. »

Enquête d’UpCity sur la cybersécurité en 2022

L'enquête sur la cybersécurité menée par UpCity en 2022 présente une multitude de statistiques sur la cybersécurité. Elle montre qu'environ 43% des entreprises se sentent financièrement prêtes à faire face à une cyberattaque, et que les cyberattaques de 2021 ont coûté aux entreprises américaines plus de 6,9 milliards de dollars. UpCity révèle également que les entreprises s'adaptent lentement aux mesures de sécurité post-pandémie. Ils notent que « 42% des répondants ont révisé leur plan de cybersécurité depuis la pandémie de COVID-19 ».

Comportement à haut risque : Exemples notables de logiciels non corrigés en 2022

Histoire d'horreur d'un logiciel non corrigé

Nombre de dossiers exposés

Un rebondissement terrifiant

Uber, l'un des services de transport les plus populaires, a dissimulé une énorme violation de données due à une attaque de cybersécurité qui a touché à la fois les conducteurs et les passagers qui utilisent le service. 57 millions Cette violation de données s'est en fait produite en 2016, mais elle a été dissimulée jusqu'en juillet 2022. Uber a payé 100 000 dollars aux pirates informatiques pour éviter que l'événement ne soit rendu public.
Singtel est l'une des principales entreprises de communication d'Asie, et une cyberattaque a révélé des données de ses entreprises et de ses clients. Bien que cette cyberattaque ait eu lieu il y a deux ans, elle a été révélée publiquement le 10 octobre 2022. 129 000 clients et 23 entreprises Cette violation a révélé des informations personnelles sensibles des clients, telles que les noms, les dates de naissance, les numéros de téléphone portable, les adresses et les informations d'identité.
Crypto.com est une société d'échange de devises, permettant aux utilisateurs de convertir leur argent en crypto-monnaies telles que le bitcoin et l'ethereum. 18 millions en Bitcoin et 15 millions en Ethereum 483 comptes ont perdu leurs fonds suite à une cyberattaque et ont pu accéder aux portefeuilles virtuels des utilisateurs.
La plateforme mondiale de médias sociaux Twitter a souffert d'une violation de données en juillet 2022. En août, la société a confirmé publiquement que la violation des données avait eu lieu et qu'elle avait entraîné la fuite des informations personnelles des utilisateurs. 5,4 millions Cette violation des données a entraîné la fuite d'informations personnelles, telles que les numéros de téléphone et les adresses électroniques concernant 5,4 millions d'utilisateurs. Tout cela est dû à une seule vulnérabilité du système, survenue après la mise à jour du code en 2021.

 

Comment l'application automatique de correctifs réduit les risques de sécurité

Bien que les fournisseurs réputés proposent généralement des correctifs gratuits et automatisés pour les logiciels obsolètes, le processus peut parfois tomber en panne ou entraîner un dysfonctionnement du logiciel. « Le rafistolage est une bataille difficile », déclare M. Singh. « Il y a de nouvelles menaces chaque jour ». Nos recherches internes chez NinjaOne montrent que 25 à 30 % des correctifs de Windows 10 échouent. C'est pourquoi nous avons conçu un utilitaire sur mesure pour exécuter avec succès le processus et remédier aux menaces.

Avantages de l'automatisation des mises à jour pour les entreprises MSP (fournisseurs de services gérés)

L'automatisation des mises à jour offre une multitude d'avantages aux entreprises MSP qui sont très débordées. Grâce à l'automatisation des correctifs, les responsables d’entreprises MSP ont la possibilité de « configurer et laisser de côté », ce qui signifie qu'ils peuvent donner une instruction générale sur la mise à jour des systèmes d’exploitation et des logiciels tiers sur tous les appareils.  Ils peuvent aussi régler les correctifs de façon très précise, en choisissant de régler les paramètres en fonction des appareils ou des groupes.

Le logiciel de gestion des correctifs de NinjaOne offre toutes ces fonctionnalités et plus encore. Et vous n'avez pas besoin de le croire sur parole. Une enquête indépendante menée auprès d'utilisateurs appartenant à des entreprises MSP a récemment classé NinjaOne comme ayant la meilleure fonctionnalité de mise à jour des logiciels dans la catégorie des outils de surveillance et de gestion à distance (RMM).

Éliminez les risques de sécurité grâce à la gestion des correctifs NinjaOne

En fin de compte, les correctifs sont à la fois trop importants et trop fastidieux à gérer pour les particuliers.  Et franchement, cela peut aussi être un casse-tête pour les entreprises MSP et d’infogérance ainsi que pour les départements informatiques internes. C'est pourquoi NinjaOne propose un logiciel de gestion des correctifs qui simplifie ce processus essentiel. Pour voir NinjaOne en action, profitez d’un essai gratuit.

CINQ IDÉES PRATIQUES QUI VOUS AIDERONT DANS VOTRE TÂCHE.

Newsletter NinjaOne

Rejoignez d'autres MSP soucieux de la croissance et alimentez votre entreprise grâce à cinq conseils et tutoriels de taille réduite livrés dans votre boîte de réception chaque semaine.

Ne manquez aucune promotion, outil gratuit, événement, webinaire et mise à jour de nos produits. Abonnez-vous pour recevoir la newsletter hebdomadaire de NinjaOne.