Vendredi dernier, le 10 décembre, le Centre for Cyber Security a annoncé qu’une action urgente était nécessaire concernant la vulnérabilité d’Apache Log4j.
Mise à jour du mardi 21 décembre
Il n’y a pas de nouvelles informations à signaler pour le moment. Nous travaillons toujours à tout vitesse sur cette question et nous reviendrons avec de nouvelles informations si nécessaire. Veuillez consulter le portail client pour obtenir des informations plus détaillées sur votre situation spécifique.
Nous tenons à souligner que cette vulnérabilité d’Apache Log4j est susceptible de poser des risques pour la continuité des activités d’un certain nombre d’organisations dans la période à venir. Pour plus d’informations, nous vous renvoyons au site Github, au Informatiebeveiligingsdienst (en néerlandais) et au CERT.
Mise à jour du vendredi 17 décembre
Il n’y a pas de nouvelles informations à signaler pour le moment. Nous travaillons toujours à toute vitesse sur cette question et nous reviendrons avec de nouvelles informations après le week-end ou dès qu’il y en aura. Veuillez consulter le portail client pour obtenir de plus amples informations sur votre situation spécifique.
Nous tenons à souligner que cette vulnérabilité d’Apache Log4j est susceptible de poser des risques pour la continuité des activités d’un certain nombre d’organisations dans la période à venir. Pour plus d’informations, nous vous renvoyons au site Github, au Informatiebeveiligingsdienst (en néerlandais) et au CERT (également en néerlandais).
---------------------------------------
Mise à jour du Mercredi 15 décembre
Il n’y a pour le moment aucune indication que la vulnérabilité d’Apache Log4j ait été exploitée dans aucun de nos systèmes ou services.
Nous continuons de scanner notre périmètre et analysons constamment les rapports afin de détecter de possibles anomalies. Ceci s’applique également à notre testing interne pour identifier des installations Log4j vulnérables, où nous travaillons en étroite collaboration avec nos partenaires. Si un patch est nécessaire, nous mettrons à jour avec la dernière version d’Apache Log4j disponible (2.16).
Comme Apache Log4j utilise beaucoup de composants software tiers, cela prend du temps pour vérifier si les applications Centric sont sûres à utiliser en ce qui concerne cette vulnérabilité. Nous travaillons durement pour rendre cette information disponible pour chaque application via notre portail client.
Centric continue à garder la sécurité des applications et systèmes sous son contrôle et management. Nous recommandons vivement à nos clients de vérifier Github et de suivre les conseils donnés par CERT et Informatiebeveiligingsdienst (en néerlandais).
De plus, nous exhortons nos clients à contacter leurs fournisseurs tiers et autres partenaires d’intégration pour s’assurer que la vulnérabilité d’Apache Log4 soit traitée de façon appropriée pour les applications et systèmes qui tombent en dehors de notre contrôle.
---------------------------------------
Mise à jour du mardi 14 décembre
Comme mentionné lors de nos communications précédentes, tous les domaines et environnements Centric sont surveillés et évalués en permanence par nos experts afin de protéger les environnements et les applications de nos clients. Jusqu’à ce moment nous avons exécuté des analyses de 4.700 « installations serveur » dans notre environnement. Ça représente 85% de notre environnement de serveurs. A ce moment, 50 spécialistes en sécurité travaillent en étroite collaboration avec nos clients. Jusqu’à présent, aucune faille de sécurité au niveau de la vulnérabilité « Apache Log4j » a été découverte.
À court terme, nous complèterons les premiers analyses de notre environnement afin de détecter d’éventuelles anomalies. En plus, nous continuerons à effectuer des tests internes afin d’identifier des installations vulnérables avec « Apache Log4j » ; ceci également en collaboration avec nos partenaires. Naturellement nous prendrons les mesures appropriées au besoin.
Pendant que Centric poursuit ses actions, décrites ci-dessus, pour les applications et les systèmes que Centric peut contrôler et gérer, nous conseillons à nos clients de consulter le site Github et de suivre les conseils du bureau de la sécurité des informations et du NCSC , mais également de contacter leurs autres fournisseurs et intégrateurs afin d’assurer que cette vulnérabilité « Apache Log4j » est traitée d’une manière adéquate, pour les applications et systèmes qui ne sont pas contrôlés ni gérés par Centric.
---------------------------------------
Mise à jour du lundi 13 décembre
Tous les domaines et environnements Centric sont surveillés et évalués en permanence par nos experts afin de protéger les environnements et les applications de nos clients. Jusqu’à présent, aucune faille de sécurité n’a été décourverte. Nos équipes clients et nos experts en sécurité travaillent en étroite collaboration avec nos clients pour résoudre la vulnérabilité d’Apache Log4j.
Nous fournissons aux clients des informations sur les fournisseurs de logiciels avec lesquels ils travaillent et leur conseillons de contacter tout fournisseur tiers.
De plus, nous conseillons à nos clients de consulter le site Github et de suivre les conseils du bureau de la sécurité des informations et du Centre pour la Cybersécurité Belgique | (belgium.be).
Les clients qui ont des questions sur leurs systèmes sont priés de contacter Centric via leur canal habituel.