Les horreurs de l’informatique : comment un logiciel non corrigé peut nuir à une entreprise

IT related Halloween theme illustration related to the dangers of unpatched software

Ne pas mettre à jour un logiciel est l’une des erreurs les plus élémentaires et involontaires qu’un dirigeant puisse commettre, mais les entreprises, grandes et petites, continuent de l’apprendre à leurs dépens. Il est plus difficile qu’il n’y paraît de maintenir les logiciels à jour. Ainsi, même si les dirigeants sont conscients de l’importance des correctifs, le volume considérable de mises à jour nécessaires et le taux d’erreur élevé font que certaines entreprises ne sont pas protégées. NinjaOne est une plateforme de gestion de parc informatique complète et incluant la gestion des correctifs, profitez d’un essai gratuit ou d’une démonstration personnalisée !

Qu’est-ce qu’un logiciel non corrigé ?

Un logiciel non corrigé est un code informatique présentant des failles de sécurité connues.  Une fois les vulnérabilités révélées, les fournisseurs de logiciels écrivent des ajouts au code, appelés « correctifs », afin de couvrir les failles de sécurité. L’utilisation d’un logiciel non corrigé est une activité risquée car, lorsqu’un correctif apparaît, le milieu criminel est généralement bien au courant des vulnérabilités.

Conséquences des logiciels non corrigés

Avoir un logiciel non corrigé  et vulnérable pose de sérieux problèmes. Il suffit de jeter un coup d’œil à quelques-unes des violations de données qui se sont produites cette année dans certaines des entreprises les plus importantes et les plus connues.

Violation des données de Microsoft

Microsoft, l’une des plus grandes entreprises technologiques au monde, est souvent la cible de cyberattaques. En mars 2022, les pirates d’un groupe international de cybercriminels connu sous le nom de Lapsus$ ont pénétré dans Microsoft et ont compromis Bing. Heureusement, Microsoft a pu mettre fin à l’attaque sans dommages majeurs le 22 mars, deux jours seulement après qu’elle ait commencé.

Violation des données de Toyota

Le 11 octobre 2022, Toyota a été victime d’une violation et a révélé les adresses électroniques et les numéros de contrôle d’environ 300 000 clients qui utilisaient son service télématique T-Connect. Heureusement, aucune des données financières des clients n’a été volée, et aucune autre information personnelle n’a été extraite de la base de données.

Violation des données de Samsung

Samsung est un leader mondial de la technologie, ce qui en fait une cible pour les cyberattaques. En juillet 2022, Samsung a fait l’objet d’un accès non autorisé qui a volé les informations personnelles des clients, telles que les noms, les numéros de téléphone, les données démographiques, les dates de naissance, les informations d’enregistrement des produits, et bien plus.

Essayez NinjaOne (aucune carte de crédit requise)

Statistiques sur la cybersécurité et les vulnérabilités

Les statistiques énumérées ci-dessous ne sont que des exemples récents de pratiques négligentes en matière de correctifs, mais de nombreux dirigeants font l’autruche quant à la gravité du problème. « Les propriétaires de petites entreprises ont tendance à ne pas se concentrer sur la sécurité, car ils la considèrent comme une responsabilité et un centre de coûts », explique AJ Singh, vice-président produit chez NinjaOne.  « Ils ne tiennent pas compte des pertes dues aux pannes. »

L’étude de ThoughtLab sur la cybersécurité en 2022 

Une étude sur la cybersécurité réalisée en 2022 par ThoughtLab a déterminé que les erreurs de configuration des logiciels, ainsi qu’une mauvaise maintenance, sont à l’origine de la majorité des problèmes de sécurité. Selon eux, « au cours des deux prochaines années, les responsables de la sécurité s’attendent à une augmentation des attaques par ingénierie sociale et par ransomware, les états-nations et les cybercriminels devenant plus nombreux. Les dirigeants prévoient que ces attaques cibleront les points faibles principalement causés par des configurations logicielles erronées (49%), des erreurs humaines (40%), une mauvaise maintenance (40%) et des actifs inconnus (30%). »

Rapport 2022 d’Automox sur les vulnérabilités non corrigées

Le rapport 2022 d’Automox sur les vulnérabilités non corrigées montre que les vulnérabilités non corrigées sont directement responsables de 60% des violations de données. Malgré cette statistique et les risques que créent les logiciels qui ne sont pas mis à jour, cette étude montre que « la majorité des DSI et des RSSI déclarent même retarder l’application des correctifs de sécurité pour éviter de ralentir la croissance de l’entreprise, et 25 % disent être certains que leur entreprise n’est pas conforme à la législation sur la sécurité des données. »

Enquête d’UpCity sur la cybersécurité en 2022

L’enquête sur la cybersécurité menée par UpCity en 2022 présente une multitude de statistiques sur la cybersécurité. Elle montre qu’environ 43% des entreprises se sentent financièrement prêtes à faire face à une cyberattaque, et que les cyberattaques de 2021 ont coûté aux entreprises américaines plus de 6,9 milliards de dollars. UpCity révèle également que les entreprises s’adaptent lentement aux mesures de sécurité post-pandémie. Ils notent que « 42% des répondants ont révisé leur plan de cybersécurité depuis la pandémie de COVID-19 ».

Essayez NinjaOne (aucune carte de crédit requise)

Comportement à haut risque : exemples de logiciels non corrigés en 2022

Histoire d’horreur d’un logiciel non corrigé

Nombre de fichiers exposés

Un rebondissement terrifiant

Uber, l’un des services de transport les plus populaires, a dissimulé une énorme violation de données due à une attaque de cybersécurité qui a touché à la fois les conducteurs et les passagers qui utilisent le service. 57 millions Cette violation de données s’est en fait produite en 2016, mais elle a été dissimulée jusqu’en juillet 2022. Uber a payé 100 000 dollars aux pirates informatiques pour éviter que l’événement ne soit rendu public.
Singtel est l’une des principales entreprises de communication d’Asie, et une cyberattaque a révélé des données de ses entreprises et de ses clients. Bien que cette cyberattaque ait eu lieu il y a deux ans, elle a été révélée publiquement le 10 octobre 2022. 129 000 clients et 23 entreprises Cette violation a révélé des informations personnelles sensibles des clients, telles que les noms, les dates de naissance, les numéros de téléphone portable, les adresses et les informations d’identité.
Crypto.com est une société d’échange de devises, permettant aux utilisateurs de convertir leur argent en crypto-monnaies telles que le bitcoin et l’ethereum. 18 millions en Bitcoin et 15 millions en Ethereum 483 comptes ont perdu leurs fonds suite à une cyberattaque et ont pu accéder aux portefeuilles virtuels des utilisateurs.
La plateforme mondiale de médias sociaux Twitter a souffert d’une violation de données en juillet 2022. En août, la société a confirmé publiquement que la violation des données avait eu lieu et qu’elle avait entraîné la fuite des informations personnelles des utilisateurs. 5,4 millions Cette violation des données a entraîné la fuite d’informations personnelles, telles que les numéros de téléphone et les adresses électroniques concernant 5,4 millions d’utilisateurs. Tout cela est dû à une seule vulnérabilité du système, survenue après la mise à jour du code en 2021.

 

Comment l’application automatique de correctifs réduit les risques de sécurité liés à un logiciel non corrigé

Bien que les fournisseurs réputés proposent généralement des correctifs gratuits et automatisés pour les logiciels obsolètes, le processus peut parfois tomber en panne ou entraîner un dysfonctionnement du logiciel. « Le rafistolage est une bataille difficile », déclare M. Singh. « Il y a de nouvelles menaces chaque jour ». Nos recherches internes chez NinjaOne montrent que 25 à 30 % des correctifs de Windows 10 échouent. C’est pourquoi nous avons conçu un utilitaire sur mesure pour exécuter avec succès le processus et remédier aux menaces.

Avantages de l’automatisation des mises à jour pour les entreprises MSP (fournisseurs de services gérés) et l’infogérance

L’automatisation des mises à jour offre une multitude d’avantages aux entreprises MSP qui sont très débordées. Grâce à l’automatisation des correctifs, les responsables d’entreprises MSP ont la possibilité de « configurer et laisser de côté », ce qui signifie qu’ils peuvent donner une instruction générale sur la mise à jour des systèmes d’exploitation et des logiciels tiers sur tous les appareils.  Ils peuvent aussi régler les correctifs de façon très précise, en choisissant de régler les paramètres en fonction des appareils ou des groupes.

Le logiciel de gestion des correctifs de NinjaOne offre toutes ces fonctionnalités et plus encore. Et vous n’avez pas besoin de le croire sur parole. Une enquête indépendante menée auprès d’utilisateurs appartenant à des entreprises MSP a récemment classé NinjaOne comme ayant la meilleure fonctionnalité de mise à jour des logiciels dans la catégorie des outils de surveillance et de gestion à distance (RMM).

Éliminez les risques de sécurité grâce à la gestion des correctifs NinjaOne

En fin de compte, les correctifs sont à la fois trop importants et trop fastidieux à gérer pour les particuliers.  Et franchement, cela peut aussi être un casse-tête pour les entreprises MSP et d’infogérance ainsi que pour les départements informatiques internes. C’est pourquoi NinjaOne propose un logiciel de gestion des correctifs qui simplifie ce processus essentiel. Pour voir NinjaOne en action, profitez d’un essai gratuit ou d’une démonstration personnalisée et découvrez les avantages de NinjaOne !

Pour aller plus loin

Pour créer une équipe informatique efficace et performante, il est essentiel d’avoir une solution centralisée qui joue le rôle de nœud principal pour vos services. NinjaOne permet aux équipes informatiques de surveiller, gérer, sécuriser et prendre en charge tous les appareils, où qu’ils soient, sans avoir besoin d’une infrastructure complexe sur site.

Pour en savoir plus sur NinjaOne Endpoint Management, participez à une visite guidée, ou profitez d’un essai gratuit de la plateforme NinjaOne.

Vous pourriez aussi aimer

Prêt à devenir un Ninja de l’informatique ?

Découvrez comment NinjaOne peut vous aider à simplifier les opérations informatiques.
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).