L’attaque récente du groupe de hackers chinois Hafnium vers les serveurs Microsoft Exchange exposés sur Internet montre à quel point un système non mis à jour présente un risque majeur dans le SI d’une entreprise. Comment aider les PME à éviter ce genre d’attaque à l’avenir ?

Chronologie des évènements

Commençons par un rapide résumé de la chronologie des faits :

  • Le 5 janvier 2021, un chercheur en cybersécurité de chez Devcore pense avoir découvert une faille dans Microsoft Exchange et alerte l’éditeur.
  • Le 8 janvier Devcore déclare que le signalement est pris en compte par Microsoft.
  • Le 18 février Devcore et Microsoft se mettent d’accord pour que Microsoft publie les mises à jour de sécurité Exchange le 9 mars.
  • Le 2 mars, devant l’ampleur de l’attaque, Microsoft anticipe la date convenue avec Devcore, publie les mises à jour et communique sur le risque élevé que présentes ces failles 0-day.

Combien d’administrateurs sont abonnés (sans les lire) aux alertes de sécurité des produits dont ils ont la charge ?

Si on ne peut évidemment pas reprocher aux administrateurs de serveurs Exchange une quelconque inaction avant le 2 mars, il n’en est pas de même une fois les correctifs rendus disponibles par l’éditeur. Et c’est bien là que le problème se situe : combien de petites et moyennes entreprises disposent d’un RSSI, d’un SOC ou tout simplement d’une personne qui veille à toutes les sorties de patches ? Combien d’administrateurs sont abonnés aux flux RSS liés à la sécurité des produits dont ils ont la charge ? Comment s’assurer que les systèmes sont à jour, 24h/24 et 7j/7 ? Comment tester les patches en toute sérénité quand on a parfois qu’un seul et unique environnement de production ?

Quelle solution ?

La réponse à ces questions peut se trouver dans le passage à une solution SaaS, et en particulier à Exchange Online et Microsoft 365 : l’infrastructure est gérée par des équipes expertes, les environnements sont sécurisés et bénéficient de budgets sans commune mesure avec ce qu’une entreprise, même de grande taille, peut investir. Pour rappel, Microsoft revendique un budget annuel d’un milliard de Dollars en recherche et développement sur la cybersécurité.

L’incendie de la semaine dernière chez OVH pourrait refroidir les aspirations de certains clients à passer au Cloud et il est facile de tirer sur l’ambulance, mais quels sont ceux qui peuvent se targuer d’avoir, on premises, un meilleur taux de disponibilité que celui que propose un hébergeur professionnel ou un fournisseur SaaS ? D’avoir une infrastructure de virutalisation redondée entre plusieurs sites ? De tester régulièrement les sauvegardes et de dérouler les plans de reprise d’activité ?

Microsoft annonce un taux de disponibilité de 99,97% sur le 4ème trimestre 2020, tous services Office 365 confondus. Sur une année cela représente environ 2h30 d’indisponibilité pour une infrastructure sécurisée, toujours à la pointe en termes de sécurité et de mises à jour. Si vous pensez ne pas pouvoir faire mieux avec votre infrastructure sur site, ne serait-il pas temps d’envisager le passage au Cloud ?