Depuis le 9 décembre, les RSSI et les DSI sont mobilisés suite à la découverte de la faille dans la bibliothèque de journalisation Log4j. Relativement facile d’utilisation et dotée d’une sévérité maximale, la CVE-2021-44228 et ses deux autres correctifs sont un véritable casse-tête à colmater. Pour aider les entreprises et les collectivités territoriales, le Cesin (Club des experts de la sécurité de l’information et du numérique) a lancé un kit dédié à la vulnérabilité dans Log4j.
L’association précise dans un communiqué que « 80% de [ses] membres ont activé une cellule de crise sue ce sujet ». Elle précise que « les équipes DevSecOps sont fortement mobilisées et ont engagé un travail de fond pour appliquer le plus rapidement possible des correctifs et mesures de sécurité ». Le Cesin s’inquiète aussi de l’impact de la faille sur les sous-traitants, « une grande part de cette gestion de crise consiste à s’assurer que ces fournisseurs ont bien pris en compte cette vulnérabilité ».
Un vademecum dédié à la faille Log4Shell
Le lab vulnérabilités et incidents du Cesin a donc élaboré un kit à destination des entreprises de toutes tailles, ainsi que des organismes publics. Au sein de ce kit, on retrouve des informations sur la faille (de quoi parle-t-on ?), de méthodologies (comment déterminer son niveau d’exposition et savoir si un environnement est vulnérable), des conseils (quelles questions poser a minima à ses prestataires ?), les remèdes (patch et atténuation).
Ce travail très didactique est assorti de conseils. Par exemple, sur l’usage de scanner de vulnérabilités, le Cesin prévient de « faire attention à l'interprétation des résultats car certains outils de scans remontent un nombre important de faux positifs ». Il pousse à l’utilisation de scripts spécifiques en observant que «la plupart des outils et scripts disponibles sur GitHub sont intéressants ou efficaces, même s’ils ne sont pas toujours facilement interfaçables ou intégrables avec les systèmes de supervision de sécurité existants ». Les experts trouveront également des modèles de courrier à envoyer aux prestataires (en anglais et en français) pour connaître leurs analyses et leurs actions sur la faille Log4Shell.
Commentaire