Fin du support Windows XP

fin du support Windows XP, et maintenant ?

Cela faisait un moment que nous le savions et ce moment tant redouté est arrivé. Dans quelques jours, le 8 avril, Microsoft ne fournira plus de support pour Windows XP. Une extension de support (onéreuse) est prévue mais d’un point de vue sécurité, elle ne nous intéresse guère car ne couvre pas les risques liés aux failles de sécurité.

Car cette fin de support marque l’arrêt de publication des correctifs de sécurité pour XP. Cela signifie que si une vulnérabilité lié au système est découverte à partir du 8 avril, vous ne disposerez d’aucun correctif.

Quelle est la probabilité que l’on découvre une nouvelle vulnérabilité sur XP ?

Soyons clair : Il y a 100% de probabilité que l’on découvre des vulnérabilités sur XP dans les prochains jours ou semaines. Il est même probable que certaines personnes aient déjà trouvé des vulnérabilités et attendent la fin du support pour lancer un nouveau malware exploitant ces vulnérabilités.

Mon Antivirus pourra –t- il protéger mon poste ?

Comme cela l’a été prouvé de maintes fois, les antivirus classiques peuvent facilement être contournés. L’antivirus est une composante essentielle de la sécurité mais surtout efficace dans la détection de malwares connus. Bref, ne comptez pas sur votre antivirus pour vous protéger efficacement.

Au minimum, vous devez activer les fonctions de détection heuristiques qui se basent sur le comportement des applications.

Même en activant cette fonctionnalité, sachez simplement que la fonction antivirus de base est limitée et ne vous protégera que partiellement.

Quel est le risque de rester en Windows XP ?

Si vous n’avez aucune politique de patch management sur vos postes bureautiques et/ou que vos utilisateurs sont administrateurs de leurs postes, pas plus de risques que maintenant.

Migrer sur une version plus récente en laissant les utilisateurs administrateurs de leurs postes et en utilisant des versions logicielles obsolètes ne changera rien à votre situation. Vous serez une cible privilégiée des malwares. Votre priorité devrait être de renforcer la sécurité de vos postes de travail (voir le paragraphe concerné plus bas).

En revanche, si votre entreprise patche régulièrement ses logiciels, notamment liés à la navigation Internet et que les utilisateurs ne sont pas admins de leurs postes, rester sur windows XP, c’est donner l’opportunité, à un attaquant, d’exploiter une faille pendant une période très longue puisqu’elle ne sera jamais corrigée.

Les bonnes ou mauvaises raisons de ne pas migrer

Pour des raisons budgétaires, de compatibilités applicatives, ou compatibilités matérielles, certaines sociétés n’ont pas encore migré sous Windows 7 ou Windows 8.

Il est même courant qu’une entreprise conserve un vieux PC sous Windows 2000 (ou autre) pour faire tourner une vieille application. Cela fonctionne et on ne voit pas pourquoi il faudrait migrer un équipement qui fonctionne.

Si vous envisagez de migrer pour éviter des problèmes de sécurité, votre démarche doit être globale, c’est à dire pas seulement orientée système mais disposer au minimum d’une politique de patch management sur ces mêmes postes de travail et d’une limitation des droits des utilisateurs.

Si vous n’envisagez pas de migrer, vous trouverez ci-dessous d’autres axes d’actions qui n’ont pas de coûts, autres que le temps et les ressources.

Comment se protéger en attendant une future migration

Si vous ne migrez pas à court ou moyen terme, comment vous protéger ?

Côté poste de travail, porte d’entrée privilégiée des malwares dans l’entreprise, je conseille au minimum de :

  • Enlever les droits administrateurs aux utilisateurs
  • Activer le filtrage firewall des postes de travail (blocage des flux entrants, avec des exceptions pour certains programmes connus et utilisés par l’entreprise)
  • Blocage des périphériques USB de masse (disque dur, clé usb,…) pour les utilisateurs qui n’en ont pas besoin
  • Optimiser la configuration de votre solution d’antivirus (ex : activation détection heuristique)
  • Déployer Chrome ou Firefox à la place d’IE (XP ne supporte que IE9 et Microsoft ne publiera aucun patch à partir du 8 avril)
  • Désactiver Java (si non utile pour applications internes ou activer seulement aux utilisateurs qui en ont besoin)
  • Sensibiliser vos utilisateurs à la sécurité du système d’information de l’entreprise

Tous ces conseils ne sont pas liés à l’obsolescence de Windows XP, ils devraient être de rigueur tout le temps.

Si vous disposez d’un budget, il existe également des produits complémentaires aux antivirus classiques avec des fonctionnalités avancées de sécurité (ex : StormShieldSymantec Endpoint Protection, Kaspersky Endpoint Security…). 

Arkoon+Netasq proposent même une offre spécifique en l’occasion de la fin de support XP nommée ExtendedXP et qui inclue leur logiciel StormShield ainsi qu’un service de veille liées aux nouvelles vulnérabilités sur cette plateforme.

Je ne traiterai pas ici des solutions de virtualisation de postes de travail car elles nécessitent une infrastructure spécifique, ce qui n’est pas négligeable en terme de budget.

La sécurité 360 degrés

Migrer sur Windows 7 ou Windows 8 afin de continuer à bénéficier des correctifs de sécurité Microsoft est un acte important pour renforcer la sécurité de ses postes de travail et pour éviter des problèmes de sécurité mais ce n’est qu’une partie de votre protection.

Tous les logiciels que vous utilisez doivent être mis à jour et ce, quel que soit le système d’exploitation de l’ordinateur. Si vous disposez de peu de ressources, le minimum est de mettre à jour (ou automatiser) les logiciels qui sont les cibles préférées des attaquants : Java et Flash, mais aussi les navigateurs.

Concernant Java et Flash, vous pourriez également les désactiver par défaut si vous n’en avez pas besoin.

Je n’ai abordé ici que l’aspect poste de travail. Mais celui-ci n’est qu’une porte d’entrée privilégiée à vos systèmes. Assurez-vous que vos serveurs sont bien sauvegardés et que vous êtes capables de restaurer les données importantes de l’entreprise en cas d’incident.

Mettez en place un filtrage entre vos postes de travail et vos serveurs afin que seuls les utilisateurs d’un serveur puisse y accéder (ex : serveur comptable uniquement accessible du service comptabilité, etc…).

La mise en place d’un filtrage sur le proxy Internet de votre société vous permettra également de mieux vous protéger des menaces liées au surf web.

Il y a bien d’autres points à aborder sur ce sujet mais ils feront l’objet de futurs articles. Retenez simplement que la sécurité de votre entreprise est constituée d’un ensemble de mesures, qui sont performantes quand elles sont cumulées les unes aux autres.

Et il faut garder une seule chose à l’esprit : l’objectif de la sécurité n’est pas de mettre en place des contraintes, mais tout simplement de protéger l’activité de l’entreprise.

Que peut-on faire pour vous ?

Vous souhaitez évaluer ou renforcer la protection de votre Système d’Information ?

Vous avez besoin d’un accompagnement durable dans le temps ?

Nous proposons des services ponctuels mais également des services sur le long terme (RSSI à temps partagé).

N’hésitez pas à nous contacter si vous êtes intéressés.

Merci.