Résumé
- L'affaire Ivanti Connect Secure et Policy Secure en 2024 est importante car les équipements affectés n'étaient pas des applications métier ordinaires. Il s'agissait de passerelles d'accès à distance dont la défaillance pouvait propager une compromission externe directement vers les systèmes internes.
- La directive d'urgence de la CISA, les avis d'Ivanti, les enregistrements de vulnérabilités du NVD et les recherches indépendantes de Mandiant et Volexity pointent tous vers le même problème de responsabilité: l'atténuation et les correctifs étaient nécessaires, mais les clients avaient aussi besoin de preuves que les équipements n'étaient pas déjà compromis.
- L'outil Integrity Checker est devenu un signal important, mais pas une réponse magique. Une vérification d'intégrité peut aider au tri; elle ne remplace pas à elle seule l'examen des journaux, la rotation des identifiants, les décisions de reconstruction et une chronologie documentée de l'exposition.
- La responsabilité est partagée mais pas symétrique. Ivanti contrôlait les correctifs produits, la clarté des avis, le langage d'atténuation et les conseils d'outils. Les clients contrôlaient l'inventaire de l'exposition, les actions d'urgence, les décisions de reconstruction et les notifications en aval. Les MSP contrôlaient souvent les travaux de réparation pratiques pour les organisations sans expertise interne sur ces équipements.
- Un modèle futur plus solide traiterait les passerelles d'accès sécurisé comme des frontières de confiance de niveau incident: pré-inventoriées, surveillées de l'extérieur, rapidement isolables, reconstruites lorsque la confiance est faible, et signalées à la direction avec les inconnues connues visibles plutôt qu'enfouies.
La passerelle était l'objet du risque
Les passerelles d'accès à distance occupent une position étrange dans l'architecture de sécurité. Elles existent pour réduire le risque en donnant aux utilisateurs autorisés un accès contrôlé aux systèmes internes. Elles concentrent également la confiance. Si la passerelle est compromise, un attaquant peut ne pas avoir besoin de hameçonner chaque employé ou d'exploiter chaque application séparément. L'équipement peut devenir un point d'entrée, un point d'observation ou un point de préparation. C'est pourquoi le dossier Ivanti 2024 est plus qu'une histoire de CVE.
LaDirective d'urgence 24-01de la CISA a ordonné aux agences civiles fédérales américaines de prendre des mesures spécifiques concernant les produits Ivanti Connect Secure et Ivanti Policy Secure. Son importance ne réside pas seulement dans l'utilisation d'une directive d'urgence par la CISA. Elle tient au fait que la directive a traité les équipements vulnérables comme des frontières de confiance opérationnelles dont l'intégrité devait être vérifiée, et non simplement corrigés à la convenance. L'alerte antérieure de la CISA,Ivanti publie une mise à jour de sécurité pour les passerelles Connect Secure et Policy Secure, a montré l'urgence publique à mesure que les vulnérabilités étaient connues.
Le dossier du fournisseur a fourni le centre spécifique au produit. L'avis d'Ivanti pourCVE-2023-46805 et CVE-2024-21887traitait du contournement d'authentification et de l'injection de commandes dans les passerelles Connect Secure et Policy Secure. Lesconseils relatifs à l'outil Integrity Checkerd'Ivanti sont devenus une partie de la réponse opérationnelle. Les enregistrements NVD pourCVE-2023-46805,CVE-2024-21887,CVE-2024-21893etCVE-2024-22024fournissent les métadonnées publiques de vulnérabilité autour du groupe de préoccupations liées aux équipements périphériques.
Les recherches indépendantes ont rendu le même problème visible du point de vue de la réponse aux incidents. L'équipe Mandiant de Google Cloud a publiéSuspected APT targets Ivanti zero-day vulnerabilities, et Volexity a signalél'exploitation active de deux vulnérabilités zero-day dans Ivanti Connect Secure VPN. Ces rapports ne doivent pas être étirés pour servir de preuve pour chaque client. Ils montrent que de véritables attaquants ont vu de la valeur dans la même position de passerelle en laquelle les défenseurs avaient confiance.
C'est le point central de la responsabilité. Une passerelle d'accès à distance n'est pas un simple logiciel. C'est une frontière entre le monde extérieur et les systèmes internes. Lorsque le dispositif frontière est suspect, l'organisation doit répondre à une question différente de « Avons-nous installé la mise à jour? ». Elle doit répondre à la question: « Pouvons-nous à nouveau faire confiance à cette frontière, et quelles preuves étayent cette confiance? »
L'atténuation d'urgence est devenue un événement de gouvernance
L'action publique la plus visible a été la directive d'urgence de la CISA. Les directives d'urgence ne sont pas de simples billets de blog. Ce sont des instruments de gouvernance pour les agences civiles fédérales, qui traduisent le risque technique d'exploitation en actions opérationnelles obligatoires. Même pour les organisations en dehors du champ d'application formel, la directive constitue une référence en matière de responsabilité, car elle montre ce qu'une autorité nationale de cybersécurité estimait que le risque justifiait.
La structure de la directive importe. Elle ne disait pas simplement « corrigez dès que possible ». Elle exigeait des étapes d'atténuation, des vérifications des équipements et une déconnexion dans certaines conditions. Cette posture reflète une différence clé entre la gestion courante des vulnérabilités et la gestion des frontières compromises. Si un équipement périphérique vulnérable peut déjà être compromis, le laisser en ligne en attendant un correctif ultérieur peut préserver l'avantage de l'attaquant. Si l'organisation ne peut pas établir l'intégrité, la déconnexion ou la reconstruction peut être la voie la plus sûre.
Ce type de décision est inconfortable car elle entre en conflit avec la continuité des activités. Les produits Connect Secure et Policy Secure prennent en charge le travail à distance, l'accès des fournisseurs, les activités administratives et l'accessibilité des applications internes. Les désactiver peut perturber les opérations. Mais le fait que l'appareil soit utile est précisément pourquoi l'exploitation est importante. Une passerelle assez importante sur le plan opérationnel pour être maintenue en ligne est également assez importante pour être inspectée de manière agressive lorsqu'un enregistrement d'exploitation crédible apparaît.
La CISA et les agences partenaires ont ensuite publié l'AA24-060B, qui a élargi la réponse de l'urgence de correctif à la chasse aux menaces et à l'atténuation. C'est la deuxième étape de responsabilité. Premièrement, identifier la frontière vulnérable. Deuxièmement, réduire l'exposition immédiate. Troisièmement, rechercher la compromission. Quatrièmement, décider si la confiance peut être restaurée ou si une reconstruction est nécessaire. Les organisations qui ont sauté les deux étapes intermédiaires ont peut-être traité un incident de frontière comme une simple mise à jour logicielle.
Le dossier de gouvernance devrait montrer qui a pris ces décisions. Qui avait le pouvoir de déconnecter la passerelle? Qui a accepté la perturbation des activités? Qui a certifié que l'outil Integrity Checker avait été exécuté? Qui a décidé qu'un résultat positif ou non concluant signifiait une reconstruction? Qui a informé les dirigeants de l'incertitude résiduelle? Si l'équipement desservait une agence publique, qui a évalué si les services aux citoyens, les données réglementées ou les opérations critiques étaient exposés? Ces questions ne visent pas à attribuer des reproches de manière réflexe.
Elles identifient le chemin de contrôle qui doit fonctionner sous pression.
La même logique s'applique en dehors du gouvernement. Un hôpital, une université, un fabricant ou un cabinet d'avocats peut ne pas être lié par la directive de la CISA, mais chacun dépend toujours de la passerelle comme frontière de confiance. La directive donne aux conseils d'administration et aux RSSI un vocabulaire pour l'urgence. Si une agence fédérale a dû se déconnecter ou inspecter, une organisation privée devrait au moins se demander pourquoi sa propre posture de risque était sensiblement différente.
Les vérifications d'intégrité ont soutenu la confiance mais ne l'ont pas créée seules
L'outil Integrity Checker d'Ivanti est devenu un artefact central parce qu'il répondait à la question qui préoccupait le plus les clients: l'équipement a-t-il été altéré? Un tel outil peut être précieux. Il donne aux défenseurs un moyen reproductible de tester certains changements non autorisés et de trier les appareils pouvant nécessiter une action plus forte. Mais la responsabilité exige un langage prudent. Un outil d'intégrité n'est pas une enquête médico-légale complète, et un résultat propre n'est pas toujours la preuve universelle de l'absence de compromission.
La distinction est importante car les appareils périphériques exploités peuvent comporter plusieurs types de risques. Il peut y avoir des fichiers modifiés. Il peut y avoir des webshells. Il peut y avoir des identifiants ou du matériel de session exposés avant la vérification. Il peut y avoir des journaux manquants ou écrasés. Il peut y avoir des connexions sortantes ou des mouvements latéraux survenus avant l'inspection de l'équipement. Un outil peut aider à identifier certaines preuves. Il ne peut pas réécrire la chronologie.
C'est pourquoi le dossier client doit associer les résultats de l'outil au contexte. Quand l'outil a-t-il été exécuté? A-t-il été exécuté avant ou après l'application des mesures d'atténuation? L'équipement était-il connecté à Internet pendant que l'organisation attendait? Les journaux ont-ils été conservés? Les identifiants privilégiés ont-ils été renouvelés? L'appareil a-t-il été reconstruit à partir de supports fiables? Les systèmes dépendants ont-ils été vérifiés pour des signes d'activité consécutive? Un résultat d'outil propre sans ces réponses contextuelles peut créer une fausse tranquillité.
LeGuide de gestion des incidents de sécurité informatiquedu NIST est pertinent ici car il traite la réponse aux incidents comme une préparation, une détection, une analyse, un confinement, une éradication, une récupération et des leçons apprises. Le cas Ivanti est un rappel que la logique de gestion des incidents s'applique même lorsque le déclencheur commence par un avis produit. Une fois l'exploitation active, l'organisation ne se contente plus de corriger. Elle analyse si une frontière a été franchie.
Le guide du NCSC britannique surl'atténuation des attaques de logiciels malveillants et de rançongicielsest également utile en tant que contexte général de contrôle, car il met l'accent sur la préparation, les sauvegardes, la récupération et le confinement. Une passerelle compromise peut ne pas être elle-même un rançongiciel, mais la passerelle peut faire partie du chemin d'accès qui permet ultérieurement un rançongiciel, de l'espionnage, un vol d'identifiants ou une exfiltration de données. La réflexion sur la récupération doit commencer alors que la réponse à la vulnérabilité est encore en cours.
Les organisations les plus solides ont probablement traité l'outil Integrity Checker comme un point de donnée parmi d'autres dans un arbre de décision. Si l'outil indiquait une compromission, elles escaladaient. Si le résultat n'était pas concluant, elles reconstruisaient ou isolaient. Si le résultat était propre mais que l'exposition était longue, elles examinaient quand même les journaux et renouvelaient les identifiants. Si les journaux étaient inadéquats, elles enregistraient cela comme une incertitude résiduelle. Voilà à quoi ressemble une réparation fondée sur les preuves.
Les obligations du fournisseur allaient au-delà du premier avis
Ivanti contrôlait le produit, les avis, les mesures d'atténuation, les correctifs et les conseils d'intégrité. Cela ne rend pas Ivanti responsable de chaque décision de déploiement des clients. Cela signifie que l'entreprise contrôlait plusieurs faits à fort effet de levier que les clients ne pouvaient pas produire eux-mêmes. Quelles versions étaient affectées? Quelles mesures d'atténuation étaient valables? Que vérifiait réellement l'outil Integrity Checker? Quand les correctifs étaient-ils disponibles? Que devait faire un client lorsque l'outil signale une compromission ou ne peut pas établir l'intégrité?
La norme de responsabilité pour un fournisseur d'accès sécurisé doit être plus élevée que la simple publication d'avis génériques. Un fournisseur de passerelles devrait supposer que les clients seront confrontés à une pression technique et exécutive simultanée. L'avis devrait expliquer le chemin des dommages en langage clair: l'appareil se trouve à la frontière, l'exploitation peut contourner l'authentification ou exécuter des commandes, et les décisions de remédiation peuvent inclure la déconnexion ou la reconstruction.
Le client doit savoir non seulement quoi installer, mais aussi quand la confiance dans l'équipement doit être considérée comme rompue.
Les enregistrements CVE ultérieurs sont pertinents car ils montrent comment une seule urgence peut devenir une séquence. Une fois que les clients sont déjà confrontés à CVE-2023-46805 et CVE-2024-21887, l'apparition de vulnérabilités supplémentaires telles que CVE-2024-21893 et CVE-2024-22024 modifie la planification. Un récit de correctif unique devient inadéquat. Les clients ont besoin d'un programme soutenu d'exposition et d'intégrité pour la catégorie d'équipements. La cadence de mise à jour du fournisseur, la clarté et le soutien à la détection déterminent si ce programme est pratique.
Le travailSecure by Designde la CISA encadre l'attente plus large. Les fournisseurs de technologies ne devraient pas supposer que les clients peuvent compenser indéfiniment la fragilité des produits. Pour les produits périphériques, la conception sécurisée comprend la réduction de l'exposition inutile, le renforcement des chemins administratifs, la production de journaux utiles, la création d'avis lisibles par machine, la prise en charge de mises à niveau sûres et l'aide aux clients pour rétablir la confiance après une exploitation. C'est un devoir produit, pas une faveur.
En même temps, les clients ne peuvent pas externaliser toute la responsabilité vers Ivanti. Un avis parfait ne corrige pas un équipement. Un outil d'intégrité solide ne s'exécute pas tout seul. Une directive d'urgence claire ne tient pas à jour l'inventaire local des actifs. Le fournisseur crée le chemin vers la réparation; le client doit le parcourir et conserver les preuves. Le blâme ne devient utile que s'il correspond au contrôle.
Les MSP étaient la couche de contrôle silencieuse
De nombreuses organisations n'exploitent pas directement les équipements d'accès sécurisé. Elles s'appuient sur des MSP, des intégrateurs de sécurité, des fournisseurs informatiques régionaux ou des équipes réseau externalisées. Cela rend le dossier Ivanti particulièrement important pour les petites organisations et les organismes publics. La partie qui subit le préjudice juridique et opérationnel n'est peut-être pas celle qui détient le mot de passe administrateur.
Un équipement contrôlé par un MSP modifie la chaîne de preuves. Le client doit savoir si l'appareil a été affecté, s'il a été exposé, si des mesures d'atténuation ont été appliquées, si l'outil Integrity Checker a été exécuté, si des artefacts suspects ont été trouvés et si une reconstruction ou une rotation des identifiants a été recommandée. Si le MSP dit simplement « géré », le client peut n'avoir aucune base défendable pour sa propre décision de risque.
Le contrat client devrait donc définir les preuves de sécurité d'urgence avant l'urgence. Il devrait dire qui reçoit les avis du fournisseur, qui approuve la déconnexion, qui paie pour la réponse en dehors des heures ouvrables, quelles preuves sont fournies, à quelle vitesse les journaux sont préservés et quand le client est informé que la compromission ne peut être exclue. Ces clauses peuvent sembler ennuyeuses. Lors d'une urgence de type Ivanti, elles déterminent si le client voit la vérité à temps.
Les MSP doivent également faire preuve de discipline interne. S'ils gèrent des dizaines ou des centaines de passerelles, une directive d'urgence peut créer une file d'attente. Quels clients sont prioritaires? Quels appareils sont exposés à Internet? Lesquels desservent des infrastructures critiques ou des services publics? Lesquels ont une journalisation faible? Lesquels ne peuvent pas être corrigés sans temps d'arrêt? La priorisation du MSP devient une partie du risque du client. Un MSP mature devrait pouvoir expliquer cette priorisation et montrer des preuves pour chaque client, et pas seulement rapporter des progrès globaux.
C'est là que la continuité des PME entre en jeu. Une petite organisation peut dépendre d'une seule passerelle pour l'accès à distance, d'un seul MSP pour la sécurité et d'un seul dirigeant pour approuver les temps d'arrêt. Si la passerelle est déconnectée, l'entreprise en souffre. Si elle reste exposée, l'entreprise peut être compromise. Le rôle du MSP est de transformer ce dilemme en une décision étayée par des preuves suffisamment rapidement pour que le client ne choisisse pas à l'aveugle.
La continuité du secteur public a fait de la directive plus qu'un exercice administratif fédéral
La dimension du secteur public est importante car les équipements d'accès à distance se trouvent souvent derrière des services que les gens ne peuvent pas choisir d'éviter. Les agences gouvernementales, les écoles, les hôpitaux, les tribunaux et les services publics peuvent utiliser des passerelles pour soutenir le personnel, les sous-traitants et la maintenance. Lorsque ces passerelles sont suspectes, la planification de la continuité doit inclure à la fois la restauration technologique et les conséquences sur les services publics.
La directive d'urgence de la CISA concerne formellement les agences civiles fédérales, mais sa logique s'applique au-delà. Une agence d'État ou un hôpital qui s'appuie sur une infrastructure de passerelle similaire doit décider s'il peut maintenir le service tout en inspectant ou en déconnectant un équipement de frontière. Si l'accès à distance est supprimé, les employés peuvent-ils encore traiter les demandes, soigner les patients, coordonner la logistique ou répondre aux urgences? Si l'accès est maintenu, quelles preuves soutiennent la décision que la passerelle est suffisamment fiable?
Ce double risque est souvent sous-estimé. Les écrits sur la cybersécurité peuvent se concentrer sur la vulnérabilité et ignorer la continuité de service. Les écrits opérationnels peuvent se concentrer sur les temps d'arrêt et ignorer l'exploitation. Le dossier Ivanti force les deux dans le même cadre. Une passerelle d'accès sécurisé est utile parce qu'elle permet de poursuivre le travail. Elle est dangereuse lorsqu'elle est compromise car elle peut également maintenir l'accès de l'attaquant. La décision responsable équilibre les deux réalités avec des preuves.
Pour les organismes publics, les inconnues résiduelles doivent être documentées avec un soin particulier. Si une passerelle protégeait des données, des systèmes ou des canaux de service connectés aux citoyens, l'institution devrait savoir si une compromission a été trouvée, si elle a été exclue ou si les preuves étaient insuffisantes. « Aucune preuve de compromission » ne devrait pas être utilisé lorsque personne n'avait les journaux ou n'a exécuté les vérifications. La meilleure expression est moins confortable mais plus honnête: « nous n'avons trouvé aucun indicateur dans les sources disponibles, mais des limitations de preuves subsistent.
»
Ce langage compte parce que la confiance du public est endommagée par une fausse certitude. Les agences et les organisations réglementées n'ont pas besoin de publier chaque artefact technique. Elles doivent éviter de minimiser l'incertitude qui affecte les personnes extérieures à l'organisation. Un incident de passerelle peut toucher les données personnelles, l'accès aux services, les systèmes d'approvisionnement, les comptes des employés ou les réseaux de partenaires. Les personnes qui portent ce risque méritent un dossier de décision qui reconnaît ce qui est connu et ce qui ne l'est pas.
Le futur contrôle est la préparation à la reconstruction
Une leçon de l'épisode Ivanti est que certains équipements périphériques doivent être reconstruits plutôt que simplement nettoyés lorsque la confiance est faible. La préparation à la reconstruction est un contrôle. Cela signifie que l'organisation peut redéployer une passerelle à partir de supports fiables, restaurer la configuration en toute sécurité, renouveler les secrets, valider l'accès et préserver les preuves sans transformer une urgence cyber en semaines d'improvisation.
Si la reconstruction est impossible parce que personne ne connaît la configuration ou qu'aucune sauvegarde n'existe, la passerelle est devenue un point unique de fragilité institutionnelle.
Lesbases de référence de configuration sécuriséede la CISA sont pertinentes non pas parce qu'elles dictent un plan de reconstruction spécifique à Ivanti, mais parce qu'elles expriment l'idée que la configuration sécurisée doit être reproductible. Une configuration de passerelle qui ne peut pas être recréée est un passif. Une configuration qui peut être reconstruite, examinée et comparée donne aux défenseurs une voie plus propre lorsque l'intégrité est incertaine.
La préparation à la reconstruction modifie également les attentes des fournisseurs. Les fournisseurs devraient prendre en charge des configurations exportables, examinables et restaurables sans encourager les clients à préserver un état compromis. Ils devraient documenter les secrets qui doivent être renouvelés après une compromission suspectée. Ils devraient rendre les journaux et les artefacts d'intégrité disponibles avant que les clients n'effacent l'appareil. Ils devraient avertir lorsqu'un correctif ne traite pas une éventuelle persistance. Ce ne sont pas des cas marginaux.
Ce sont des résultats probables lorsqu'un produit de frontière exposé est ciblé par des attaquants compétents.
Les clients peuvent tester la préparation à la reconstruction par des exercices. Prenez une passerelle hors production ou un modèle de laboratoire. Simulez un avis critique de type Ivanti. L'équipe peut-elle trouver l'appareil? Peut-elle appliquer des mesures d'atténuation? Peut-elle exécuter une vérification d'intégrité? Peut-elle préserver les journaux? Peut-elle reconstruire à partir de supports fiables? Peut-elle restaurer l'accès sans copier d'artefacts suspects? Peut-elle informer la direction? L'exercice révélera si l'organisation dispose d'une passerelle de sécurité ou d'une boîte noire fragile.
C'est aussi là que les achats devraient changer. Les acheteurs devraient demander aux fournisseurs comment ils prennent en charge la reconstruction de niveau incident. Ils devraient demander aux MSP comment les preuves seront fournies. Ils devraient demander si le produit génère des journaux d'audit utiles, si l'état de la version est vérifiable de l'extérieur, si les avis d'urgence sont lisibles par machine et si le remplacement d'un appareil compromis est opérationnellement faisable. Ces questions semblent moins passionnantes que les caractéristiques du produit. Lors d'un incident de type Ivanti, elles deviennent le produit.
La priorisation devait devenir locale, pas seulement globale
Les signaux de priorisation mondiaux étaient nécessaires dans le cas Ivanti, mais ils n'étaient pas suffisants. Lecatalogue des vulnérabilités connues exploitéesde la CISA est utile car il convertit les preuves d'exploitation en urgence de remédiation. Il aide les agences et les entreprises à éviter de traiter chaque vulnérabilité comme égale. Mais le signal KEV doit encore rencontrer les faits locaux. Une vulnérabilité répertoriée sur un équipement public, non corrigé et mal journalisé n'est pas le même problème opérationnel que le même CVE sur un appareil isolé, atténué et entièrement reconstruit. Inversement, une organisation ne peut pas déclasser le risque simplement parce que l'appareil est peu pratique à corriger.
La priorisation locale devrait commencer par l'exposition. Quelles passerelles Ivanti sont accessibles depuis Internet? Lesquelles prennent en charge des utilisateurs administratifs privilégiés? Lesquelles connectent des fournisseurs ou des sous-traitants dans des environnements sensibles? Lesquelles desservent des opérations de service public? Lesquelles ont déjà produit des résultats de vérification d'intégrité suspects? C'est là que la responsabilité devient opérationnelle. Une équipe de sécurité qui ne peut pas répondre à ces questions peut encore être capable de citer l'avis, mais elle ne peut pas gouverner la réponse.
Le facteur suivant est la qualité des preuves. Une passerelle avec des journaux solides, une propriété claire, une atténuation rapide et une reconstruction propre présente un risque résiduel différent d'une passerelle sans journaux conservés et avec un correctif tardif. Les deux peuvent éventuellement déclarer « corrigé ». Seule une peut étayer cette affirmation avec suffisamment de preuves pour satisfaire un conseil d'administration, un régulateur, un assureur ou un client affecté.
La discussion publique sur Ivanti a parfois réduit le problème à l'état des correctifs, mais la discussion interne plus solide aurait dû classer les équipements par exposition plus faiblesse des preuves.
Le troisième facteur est la dépendance. Une passerelle qui soutient un petit laboratoire non critique peut être plus facile à déconnecter qu'une qui soutient des administrateurs d'hôpital, du personnel fédéral ou des ingénieurs de production. Mais la dépendance ne devrait pas automatiquement réduire l'urgence. Elle devrait élever le niveau de gouvernance. Si un appareil est trop important pour être déconnecté à la légère, il est assez important pour être inspecté à fond et pour avoir un plan d'urgence pré-approuvé. La criticité n'est pas une excuse pour le retard; c'est une raison de rendre la décision visible.
La priorisation devait également tenir compte du comportement des adversaires. Mandiant et Volexity n'ont pas décrit une classe abstraite de vulnérabilité. Ils ont décrit des modèles d'exploitation actifs. Lorsque l'exploitation est active, les défenseurs doivent supposer que les attaquants lisent les avis des fournisseurs, suivent les fenêtres d'atténuation et recherchent les organisations lentes ou incertaines. Cela compresse le temps de décision. L'organisation qui passe des jours à rapprocher des feuilles de calcul d'équipements donne aux attaquants l'avantage qu'un bon inventaire était censé supprimer.
C'est pourquoi la directive publique et le dossier de recherche devraient changer les budgétisations futures. L'inventaire des périphériques, la surveillance de la surface d'attaque externe, la conservation des journaux et l'automatisation de la reconstruction peuvent ressembler à des fonctions de support jusqu'au jour où un produit de passerelle est exploité. Ensuite, ils deviennent la différence entre une décision rapide étayée par des preuves et une longue discussion sur ce que l'entreprise possède même.
Le coût de ces contrôles devrait être comparé au coût de l'incapacité à répondre à la première question en cas d'urgence: où sont les passerelles?
Les obligations de notification ont commencé avant que chaque fait ne soit certain
Une autre question difficile est de savoir quand les clients, les utilisateurs, les partenaires ou les parties prenantes publiques doivent être informés qu'un risque de passerelle existe. Tous les équipements Ivanti vulnérables n'ont pas déclenché une obligation de notification publique. Toutes les organisations n'avaient pas confirmé de compromission. Mais une passerelle d'accès sécurisé est suffisamment proche des systèmes sensibles pour que certains chemins de notification commencent avant que chaque conclusion médico-légale ne soit définitive.
Les parties concernées peuvent inclure les dirigeants, les propriétaires de systèmes, les équipes d'identité, les prestataires de réponse aux incidents, les cyber-assureurs, les régulateurs, les clients dont l'accès passe par la passerelle et les fournisseurs qui utilisent le chemin d'accès.
La première notification est interne et opérationnelle. Si la passerelle est potentiellement compromise, les administrateurs d'identité doivent le savoir car les informations d'identification, les sessions et les politiques d'accès peuvent nécessiter une révision. Les équipes réseau doivent le savoir car la segmentation et le trafic sortant peuvent nécessiter une inspection. Les équipes juridiques doivent le savoir car l'accès aux données ne peut être exclu tant que les preuves ne sont pas examinées. Les équipes de communication doivent préparer un langage qui n'exagère pas la certitude.
Les propriétaires d'entreprise doivent savoir si la déconnexion affectera le service.
La deuxième notification est orientée vers les fournisseurs. Si un MSP gère la passerelle, le client a besoin d'un plan d'action écrit. Si un fournisseur utilise la passerelle, le fournisseur peut avoir besoin de suspendre l'accès ou de vérifier ses propres comptes. Si la passerelle se connecte à un fournisseur de cloud ou d'identité, les journaux de ces systèmes peuvent faire partie de l'évaluation de la compromission. Attendre que l'équipe en charge de l'équipement ait terminé son travail peut permettre aux preuves pertinentes dans les systèmes adjacents d'expirer.
La troisième notification peut être externe. Une agence publique, un fournisseur de soins de santé ou une entreprise réglementée peut ne pas savoir immédiatement si des données personnelles ont été consultées. Mais elle peut toujours préserver le chemin de notification en documentant quand la vulnérabilité a été découverte, quels systèmes étaient connectés, quels journaux sont examinés et quelles preuves restent manquantes. Si une analyse ultérieure montre un accès aux données, l'organisation aura une chronologie plus claire. Si une analyse ultérieure ne trouve aucun indicateur, l'organisation peut expliquer la portée de son examen.
Cette discipline prévient deux mauvais résultats. Le premier est une réassurance prématurée. Une entreprise ne devrait pas dire qu'il n'y a pas de compromission alors qu'elle veut simplement dire qu'elle n'a pas assez cherché. Le second est une alarme vague. Une entreprise ne devrait pas laisser entendre un vol de données simplement parce qu'un appareil était vulnérable. La position responsable se situe entre ces erreurs: les faits connus, les actions entreprises, les preuves en cours d'examen et l'incertitude qui demeure.
Le dossier Ivanti est un exemple public utile parce qu'il a forcé les organisations à faire ces distinctions en temps réel. Certaines pouvaient dire qu'elles n'étaient pas exposées. Certaines pouvaient dire qu'elles avaient atténué et exécuté des vérifications d'intégrité. Certaines ont dû se déconnecter. Certaines ont peut-être dû reconstruire. Certaines n'ont probablement pas pu établir suffisamment de preuves dans un sens ou dans l'autre. Cette variation ne devrait pas être aplanie. C'est exactement ce qu'un registre de risque sérieux devrait préserver.
La bonne métrique est le temps jusqu'à une frontière digne de confiance
La mesure de performance la plus utile après un événement de type Ivanti n'est pas le temps jusqu'à la première réunion ou le temps jusqu'au téléchargement du correctif. C'est le temps jusqu'à une frontière digne de confiance. Cette métrique commence lorsque des informations crédibles d'exploitation ou de vulnérabilité d'urgence deviennent disponibles. Elle se termine lorsque l'organisation peut étayer une affirmation selon laquelle la passerelle n'est pas affectée, est atténuée en toute sécurité, reconstruite à partir d'un état fiable, ou retirée du service. La métrique inclut les preuves, pas seulement l'activité.
Le temps jusqu'à une frontière digne de confiance a plusieurs sous-horloges. Temps jusqu'à l'inventaire: à quelle vitesse l'organisation a-t-elle identifié toutes les passerelles Ivanti? Temps jusqu'à la décision d'exposition: à quelle vitesse a-t-elle su lesquelles étaient exposées à Internet ou à haut risque? Temps jusqu'à l'atténuation: à quelle vitesse les mesures d'atténuation du fournisseur, la déconnexion ou les restrictions d'accès ont-elles été appliquées? Temps jusqu'à l'évaluation de l'intégrité: à quelle vitesse les vérifications et les journaux ont-ils été examinés?
Temps jusqu'à la décision de reconstruction: à quelle vitesse l'organisation a-t-elle décidé si le correctif était suffisant? Temps jusqu'à la communication aux parties prenantes: à quelle vitesse les décideurs et les parties dépendantes ont-ils reçu des informations précises?
Chaque sous-horloge a un propriétaire différent. La gestion des actifs peut posséder l'inventaire. La sécurité réseau peut posséder l'exposition. L'infrastructure peut posséder l'atténuation. La réponse aux incidents peut posséder l'évaluation de l'intégrité. La continuité des activités peut posséder l'impact sur le service. Les équipes juridiques et de communication peuvent posséder les mises à jour des parties prenantes. La leçon est que les incidents de passerelle ne peuvent pas être laissés à un seul administrateur d'équipement. L'appareil se situe à travers trop de surfaces de contrôle.
Cette métrique rend également le support du fournisseur mesurable. Un fournisseur peut raccourcir le temps jusqu'à une frontière digne de confiance en publiant des données claires sur les versions affectées, des correctifs stables, des outils d'intégrité fiables, des indicateurs exploitables, des conseils de reconstruction et des explications des risques en langage clair. Un fournisseur peut l'allonger en publiant des conseils fragmentés, en modifiant les instructions sans clarté ou en laissant les clients déduire si une vérification propre est suffisante. Le client ressent cette qualité de support comme du temps.
Pour les MSP, le temps jusqu'à une frontière digne de confiance devrait devenir une attente de niveau de service. Le contrat devrait dire à quelle vitesse le MSP identifiera les appareils clients affectés, appliquera les mesures d'atténuation, exécutera les vérifications, fournira des preuves écrites et escaladera les compromissions suspectées. Si le MSP ne peut pas répondre à cette norme, le client devrait le savoir avant une urgence. Un modèle de service qui ne peut pas produire de preuves sous pression ne gère pas vraiment la frontière.
La métrique est exigeante, mais elle est juste. Elle ne nécessite pas une sécurité parfaite ni une certitude instantanée. Elle exige un chemin visible de la vulnérabilité publique à la confiance restaurée. Le dossier Ivanti 2024 montre que lorsque l'objet du risque est une passerelle d'accès sécurisé, la confiance restaurée est le véritable livrable.
Le dossier d'audit devrait être petit mais difficile à falsifier
Le meilleur dossier de preuves après une urgence de passerelle Ivanti n'a pas besoin d'être un rapport médico-légal de mille pages. Il doit être petit, structuré et difficile à falsifier. Un dossier utile énumérerait chaque équipement, propriétaire, exposition publique, version affectée, heure d'atténuation, heure de correctif, résultat de vérification d'intégrité, état de reconstruction, décision de rotation des identifiants, sources de journaux examinées, systèmes en aval vérifiés et inconnues restantes. Il nommerait également la personne ou le fournisseur qui a effectué chaque action. Ce document est ennuyeux par conception.
Sa valeur est qu'il convertit une urgence chaotique en un enregistrement qui peut être examiné plus tard.
Le dossier devrait préserver soigneusement les constatations négatives. « Aucun webshell trouvé dans les chemins examinés » est mieux que « aucune compromission ». « Aucun événement d'authentification suspect trouvé dans les journaux conservés à partir du 10 janvier » est mieux que « aucune preuve ». La déclaration plus précise indique aux dirigeants ce qui a réellement été vérifié et où se situe la limite de la connaissance. La précision protège les lecteurs à la fois de la panique et de l'excès de confiance.
Il devrait également préserver les chemins abandonnés. Si un équipement n'a pas pu être vérifié parce qu'il était hors ligne, parce que le MSP manquait d'identifiants, parce que les journaux ont été écrasés, ou parce que l'outil a échoué, ce fait appartient au dossier. De nombreux enregistrements post-incident effacent les vérifications échouées et ne montrent que les actions réussies. Cela donne à l'organisation une apparence plus ordonnée et moins sûre.
La vérification échouée est souvent le début de la vraie leçon: propriété manquante, journalisation faible, mauvais accès fournisseur, ou un appareil que personne ne savait comment reconstruire.
Enfin, le dossier devrait relier les actions techniques aux décisions commerciales. Si l'accès à distance a été déconnecté, quels services ont été affectés et comment des alternatives ont-elles été fournies? Si l'équipement a été maintenu en ligne sous atténuation, qui a approuvé le risque résiduel? Si la reconstruction a été différée, pourquoi? Si une notification externe n'a pas été faite, quels faits soutenaient cette décision et quels faits étaient encore en cours d'examen? Une passerelle est à la fois un objet technique et une dépendance commerciale. Le dossier d'audit devrait montrer les deux moitiés.
Ce type de dossier n'éliminerait pas les futurs incidents de type Ivanti. Cela les rendrait moins troubles. L'organisation pourrait apprendre si elle a été lente parce que les conseils du fournisseur n'étaient pas clairs, parce que l'inventaire manquait, parce que la réponse du MSP a été retardée, parce que la direction a évité les temps d'arrêt, ou parce que les intervenants manquaient de données médico-légales. Chaque diagnostic pointe vers une réparation différente. Sans le dossier, toutes ces causes s'effondrent en une vague phrase post-action: corrigez plus vite la prochaine fois. Cette phrase est vraie mais encore trop mince.
Les preuves sont ce qui transforme l'urgence en apprentissage institutionnel, et l'apprentissage est ce qui rend la prochaine défaillance de frontière plus courte. La prochaine revue devrait demander ces preuves en premier, avant d'accepter un tableau de bord vert.
La vérification d'intégrité devrait devenir une habitude du client
Le dossier Ivanti montre également pourquoi la vérification d'intégrité ne devrait pas être traitée comme une corvée d'urgence ponctuelle. Les équipements d'accès sécurisé se situent à une frontière privilégiée entre les utilisateurs externes et les ressources internes. Les clients devraient savoir comment exécuter les outils d'intégrité du fournisseur, préserver les résultats, escalader les anomalies et répéter les vérifications après l'atténuation ou la reconstruction. Une passerelle qui transmet du trafic mais ne peut pas prouver son intégrité reste un problème de confiance.
L'habitude devrait être répétée avant le prochain avis, et non découverte pendant.
Typographie
La typographie est l'art et la technique de disposer les caractères pour rendre le langage écrit lisible, visible et attrayant. Elle implique le choix des polices, des tailles de points, des longueurs de ligne, de l'interlignage et de l'espacement des lettres.
- La typographie est née de l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
- Les éléments clés incluent le choix de la police, le crénage et l'approche, et l'interlignage.
- Une bonne typographie améliore la lisibilité et transmet l'humeur ou le ton dans le design.
Inconnues résiduelles et question de responsabilité
Le dossier public ne peut pas répondre à toutes les questions spécifiques aux clients. Il ne montre pas quels réseaux privés ont été compromis, quels équipements ont été reconstruits, quels MSP ont retardé, quels journaux manquaient, ou quels systèmes en aval ont été touchés après l'exploitation de la passerelle. Il montre que la catégorie de produit comportait suffisamment de risques pour justifier des directives d'urgence, des recherches sur les menaces, des mises à jour du fournisseur, des outils d'intégrité et des avis publics répétés.
La question de responsabilité est donc pratique. Ivanti a-t-elle donné aux clients les informations et les outils nécessaires pour identifier, atténuer, corriger, inspecter et restaurer la confiance? Les clients avaient-ils l'inventaire, l'autorité et la discipline pour agir sur ces informations? Les MSP ont-ils fourni des preuves aux clients dont ils contrôlaient les passerelles? La direction a-t-elle vu l'incertitude résiduelle, ou seulement un pourcentage rassurant de correctifs? Les organismes publics ont-ils traité l'intégrité de la passerelle comme faisant partie de la continuité de service?
Lorsque la réponse est oui, une passerelle d'accès sécurisé peut retrouver son rôle de frontière de confiance. Lorsque la réponse est non, la passerelle reste un point d'interrogation à l'endroit précis où le réseau a le plus besoin de certitude. Le dossier Ivanti de 2024 devrait être retenu pour cette leçon. L'étiquette du produit disait accès sécurisé. L'incident a demandé si l'accès, une fois exposé, pouvait être rendu à nouveau digne de confiance avec des preuves assez solides pour les personnes dépendant de l'autre côté de la passerelle en toute sécurité.

