Quatre jours pour corriger une faille déjà exploitée. Ce n’est plus un délai technique, c’est un signal de gouvernance.
La CISA vient d’imposer aux agences fédérales américaines de corriger sous quatre jours une vulnérabilité Ivanti Endpoint Manager Mobile exploitée comme faille inconnue jusque-là. Le détail compte moins que le mécanisme. Nous ne sommes pas devant une simple mise à jour de plus dans la longue procession des correctifs du mois. Nous sommes devant une réduction brutale de la fenêtre de tolérance accordée aux organisations exposées.
Pendant des années, le correctif a été traité comme une affaire d’exploitation informatique. On planifie, on teste, on attend une fenêtre de maintenance, on espère que rien ne casse, puis on repousse parfois parce que la production passe avant. C’est compréhensible. Un dirigeant sait qu’un système arrêté coûte cher. Mais le paradoxe est là : plus l’équipement est critique, plus on hésite à le toucher, et plus il devient précieux pour l’attaquant. Belle mécanique. Presque poétique, si elle ne finissait pas parfois en crise.
Ivanti n’est pas un cas isolé. Les équipements d’accès, de gestion de terminaux, de sécurité périmétrique ou de téléadministration concentrent exactement ce que les attaquants recherchent : visibilité, privilèges, persistance. Quand une faille est exploitée activement, la question n’est plus de savoir si le correctif est confortable. La question devient : combien d’heures acceptons-nous de rester visibles avec une serrure dont la clé circule déjà ?
Le délai de quatre jours est intéressant parce qu’il force une conversation que beaucoup d’entreprises évitent. Qui décide ? Le RSSI qui alerte ? La DSI qui mesure le risque d’indisponibilité ? Le métier qui craint la perturbation ? La direction générale qui arbitre entre continuité et exposition ? Dans trop d’organisations, la réponse réelle est : tout le monde un peu, donc personne vraiment. Les tableaux de suivi passent au vert avec une élégance admirable, surtout quand personne ne regarde la ligne qui fâche.
Le précédent Log4Shell, fin 2021, avait déjà montré cette tension. Certaines entreprises ont corrigé vite les systèmes visibles sur Internet, puis découvert des mois plus tard des dépendances oubliées dans des applications secondaires. Le problème n’était pas seulement la faille. C’était l’inventaire incomplet, la responsabilité floue, et l’absence d’un seuil clair entre “on planifie” et “on agit maintenant”. La cybersécurité adore les outils, mais elle échoue souvent sur des sujets beaucoup plus anciens : connaître son terrain, décider vite, assumer l’arbitrage.
Thucydide racontait déjà que les cités ne perdaient pas seulement par manque de murailles, mais par confusion dans le commandement et mauvais jugement du danger. Deux mille cinq cents ans plus tard, nous avons remplacé les murailles par des passerelles mobiles et des consoles d’administration. La nature humaine, elle, a gardé une compatibilité ascendante remarquable.
Pour un dirigeant, l’enseignement est simple. Il faut distinguer le correctif ordinaire du correctif d’exposition. Quand une vulnérabilité est exploitée et touche un actif exposé ou privilégié, le sujet remonte au niveau de décision prévu à l’avance, avec un délai, un responsable, un plan de retour arrière et une communication métier. Pas dans une réunion improvisée à 18h45 avec trois captures d’écran et un consultant pressé qui promet une méthode magique.
Les quatre jours de la CISA ne sont pas une norme universelle. Ils sont un rappel. Le risque ne suit pas le calendrier de maintenance. Et quand l’attaquant a déjà commencé, différer n’est plus de la prudence : c’est une décision.