Cisco invité à suivre l'exemple de Microsoft

Infos-du-Net.comDepuis la conférence Black Hat de Las Vegas sur la sécurité, Cisco voit noir, et pas seulement les chapeaux.

En effet, depuis la mise au grand jour d'une faille critique dans les routeurs de la société par Michaël Lynn, l'équipementier croule sous les critiques et les mauvais regards après sa tentative flagrante d'étouffer l'histoire, d'abord en tentant de faire annuler le discours de Lynn, ensuite en portant plainte contre lui.

Pourtant, un correctif permettant de combler cette faille critique était déjà disponible, et ce depuis avril 2005.
Seulement les routeurs s'étant équipé de cette mise à jour étaient très rares, ce qui a conduit les experts à conclure que la communication de Cisco en matière de failles et de correctifs de sécurité n'était pas suffisante, et à raison, les failles étant tellement rares dans les systèmes du constructeur que le budget investi dans la communication à ce propos devait être en conséquence.

Ironie du sort donc, un des acteurs les plus populaire de la sécurité sur internet s'est donc récemment vu conseiller par des experts en sécurité informatique de suivre, afin de remédier à ce problème, le modèle de communication d'un expert dans le domaine de sortie et de diffusion de patchs, à savoir Microsoft.

En effet, les mises à jour de sécurité sur les systèmes Microsoft s'effectuant de la manière la plus simple possible, les experts regrettent les manoeuvres laborieuses qu'il faut souvent effectuer pour en faire de même sur un produit Cisco.
"mettre à jour un routeur ou du matériel réseau nécessite généralement bien plus de travail qu'un poste de bureau ou un serveur" affirme Neal Gemassmer, vice-président Asie-Pacifique de Patchlink, qui estime qu'en calquant l'infrastructure utilisée par Microsoft pour son Windows Update, des sociétés comme Cisco pourraient mettre au point un système de génération de rapport de vulnérabilités et ainsi faciliter les mises à jour.

"Ce serait bien d'avoir quelque chose de similaire à ce qu'a fait Microsoft. Ils sont plus ouverts quand des vulnérabilités sont découvertes, ils ont des bases de données de contrôle et une méthode simplifiée pour fournir les mises à jour. Microsoft a très bien su rationaliser le processus", continue Gemassmer.

"Ils pourraient tirer les enseignements de l'expérience de Microsoft. Je ne pense pas que quiconque peut dire que la firme de Redmond a vraiment résolu tous les problèmes, mais ils s'y emploient" a ajouté Bjarne Munch, analyste chez Gartner, qui estime que Cisco devrait faire des "efforts concertés" quant à la création d'une infrastructure intégrée et robuste.

Il ne manque cependant pas de rappeller que la faute revient également aux utilisateurs, qui ne se tiennent souvent pas régulièrement au courant des mises à jour disponibles, et ajoute qu'il ne faut pas seulement blâmer les éditeurs.
"bon nombre d'entreprises devraient également regarder ce qui se passe chez elles, parce qu'elles n'ont guère prêté attention à la gestion des correctifs. Vous ne pouvez pas dire que tout est de la faute de Cisco ou Microsoft. Certaines entreprises n'ont même pas encore mis en place leurs processus, et ça, c'est un problème bien plus grave".

Source : ZDNet
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
9 commentaires
    Votre commentaire
  • bluedylc
    Comme réécriture des news de Zdnet, c'est plutot bien écrit, assez habile, etc...

    Mais est-ce vraiment intéressant ?

    Je veux dire, ca ne m'apporte rien de plus que la lecture de la news sur Zdnet, que j'avais déja lue. Bien sur si on ne l'avait pas lue, on est plus au courant, mais pourquoi alors ne pas demander a tous les membres de idn de lire les news de zdnet, au lieu de venir les reposter ici ? Je pense que cela permettrait un gain de temps pour tout le monde, meme si bien sur on ne pourrait pas profiter des discussions qui suivent les news sur idn.
    0
  • szdavid
    Est-ce un commentaire utile ?
    Si tu veux, tu peux lancer un sujet sur le forum, envoyer un mail à son auteur ; mais sans rapport direct avec l'article, ça va à nouveau partir en sucette et j'en ai un peu marre que les commentaires des news ne soient pas liés au contecontenu de celles ci...

    [Mode ras le bol ON] NON MAIS ![Mode ras le bol off]
    0
  • szdavid
    La liste des correctifs est elle facilement disponibles, pour cisco ?
    Le plus simple (et pourtant tellement basique) serait de faire une newsletter "mise à jour importante" ; ainsi, ils n'auraient pas à s'embêter à changer leur système de mise à jour dans l'immédiat (même si cela serait rapidement nécessaire, je pense) mais au moins de se protéger et de clairement dire "on sait qu'il y a un problème, on vous le fait savoir"

    ou du moins, même si pas de mailing list, au moins une page de référence simple d'accès listant les dernières mises à jour ?
    0