Qu’est-ce que la gestion des vulnérabilités ?

La gestion des vulnérabilités vous permet d’identifier, de hiérarchiser et de répondre aux problèmes et mauvaises configurations de logiciels susceptibles d’être exploités par des personnes malveillantes, d’entraîner la diffusion accidentelle de données sensibles ou de perturber les opérations business.

L’écosystème moderne du cyberespace est tout sauf statique : il s’agit d’une entité en constante évolution qui se développe continuellement pour englober de nouvelles technologies, de nouveaux systèmes et de nouveaux individus. Malheureusement, cela fait de la sécurité une tâche colossale.

De nouvelles vulnérabilités digitales sont découvertes quasiment chaque jour. Cela représente chaque année des milliers de nouveaux vecteurs de menace qui peuvent être exploités, ce qui cause des problèmes importants aux entreprises de tous les secteurs ou presque. Selon le Ponemon Institute, le coût moyen global d’une violation de données aux États-Unis est de 8,64 millions de dollars. Ainsi, répondre aux attaques uniquement après coup n’est tout simplement pas une défense efficace.

En outre, les systèmes et services deviennent de plus en plus complexes et intégrés à la société moderne. Des erreurs ne manqueront pas de se produire lorsque les utilisateurs configureront, géreront et ajouteront plus de technologies et de périphériques à l’environnement. Chaque erreur est source de problème.

La gestion des vulnérabilités offre une solution.

Définition de la gestion des vulnérabilités

La gestion des vulnérabilités est un terme qui décrit les différents processus, outils et stratégies d’identification, d’évaluation, de traitement et de génération de rapports sur les vulnérabilités de sécurité et les mauvaises configurations au sein des logiciels et des systèmes d’une organisation. En d’autres termes, elle vous permet de surveiller l’environnement digital de votre entreprise afin d’identifier les risques potentiels, pour obtenir une image à jour de votre état de sécurité actuel.

Vulnérabilités de sécurité

D’une façon générale, une vulnérabilité est une faiblesse : une faille qui peut être exploitée. En informatique, une vulnérabilité de sécurité est plus ou moins la même chose. Les vulnérabilités de sécurité sont ciblées par les cybercriminels. Ces derniers tentent de détecter et d’exploiter les vulnérabilités pour accéder à des systèmes restreints.

Scanneur de vulnérabilité

L’identification des vulnérabilités sur l’ensemble de vos systèmes, réseaux et applications nécessite des outils spécifiques. Un scanneur de vulnérabilité est un programme conçu pour parcourir vos systèmes digitaux et découvrir les faiblesses potentielles, ce qui permet de gérer les vulnérabilités.

Gestion des vulnérabilités basée sur les risques

Véritable prolongement de la gestion des vulnérabilités, les programmes de gestion des vulnérabilités basée sur les risques sont conçus pour résoudre les faiblesses inhérentes aux systèmes digitaux, notamment les logiciels, le matériel et l’infrastructure. La gestion des vulnérabilités basée sur les risques utilise l’apprentissage machine pour étendre la gestion des vulnérabilités au-delà des ressources informatiques traditionnelles, en intégrant l’infrastructure cloud, les périphériques IdO, les applications Web, etc. Cela permet aux entreprises d’accéder à des informations pertinentes sur l’ensemble de leur surface d’attaque.

La gestion des vulnérabilités basée sur les risques permet également une hiérarchisation plus précise et basée sur les risques. Votre entreprise peut se concentrer d’abord sur l’identification et la réparation des faiblesses les plus susceptibles d’entraîner une violation, laissant les vulnérabilités moins critiques pour plus tard.

Gestion des vulnérabilités et évaluation des vulnérabilités

La gestion des vulnérabilités et l’évaluation des vulnérabilités contribuent à traiter et résoudre efficacement les vulnérabilités en matière de cybersécurité. Cependant, il ne s’agit pas de termes synonymes.

Une évaluation des vulnérabilités n’est que la première phase de la gestion des vulnérabilités. La plupart des entreprises utilisent des outils d’analyse pour examiner les périphériques de leur réseau et collecter des informations sur la version du logiciel installé, puis les comparer aux vulnérabilités connues annoncées par les fournisseurs de logiciels. Plusieurs outils d’analyse, avec ou sans agents ou informations d’identification, sont généralement nécessaires pour couvrir la gamme de logiciels utilisés (applications, systèmes d’exploitation, fournisseurs de services cloud, etc.). Les entreprises exécutent des analyses à intervalles planifiés (généralement tous les mois ou tous les trimestres), puis utilisent la liste, souvent envoyée par e-mail sous forme de feuille de calcul, pour attribuer des tâches de mise à niveau ou d’application de correctifs. Si une vulnérabilité zero-day est annoncée, autrement dit une vulnérabilité effective pour laquelle aucun correctif n’est encore disponible, une entreprise peut lancer une analyse à la demande qui peut prendre plusieurs jours ou semaines en fonction de la taille et de la configuration de son infrastructure.

À l’inverse, la gestion des vulnérabilités est un cycle de vie, et pas seulement une analyse planifiée ou ponctuelle. Il s’agit plutôt d’un programme continu qui passe de l’évaluation à la hiérarchisation et à la résolution. Elle utilise plusieurs sources de données pour évaluer et réévaluer en permanence l’état actuel de vos logiciels et services. En ajoutant un contexte métier, de menace, d’exploitation et de risque aux informations logicielles générées par les outils d’évaluation, un système de gestion des vulnérabilités peut attirer efficacement l’attention sur les vulnérabilités qui doivent être traitées immédiatement et même suggérer la meilleure solution ou atténuation. Effectuées de manière continue, l’évaluation, la réparation et la génération de rapports de vulnérabilités vous permettent de gérer et de résoudre les vulnérabilités de sécurité au quotidien. Cela signifie que les faiblesses peuvent être découvertes plus rapidement, que les problèmes ayant le plus d’impact peuvent être traités en priorité et que moins de vulnérabilités sont négligées.

En d’autres termes, une évaluation des vulnérabilités vous donne un aperçu de votre position logicielle IT. La gestion des vulnérabilités offre l’intelligence, des conseils de résolution et la génération de rapports en constante évolution et en temps réel.

Alors que de plus en plus d’informations sont créées et ajoutées dans les systèmes digitaux, et que les organisations continuent d’accroître l’utilisation des technologies mobiles et des appareils IdO, de nouvelles vulnérabilités de sécurité voient le jour. Examinons certaines des statistiques les plus pertinentes liées à la gestion des vulnérabilités :

  • 17 002 nouvelles vulnérabilités de sécurité ont été identifiées et publiées en 2020. (Stack Watch)
  • La vulnérabilité moyenne avait un indice de gravité de 7,1 sur 10. (Stack Watch)
  • 48 % des organisations déclarent avoir subi une violation de données au cours des deux dernières années. (ServiceNow)
  • 60 % des victimes de violation déclarent avoir été visées en raison d’une vulnérabilité connue non corrigée et de la non-application du correctif pertinent. (ServiceNow)
  • 62 % ne savaient pas que leur entreprise était vulnérable avant la violation de données. (ServiceNow)
  • 52 % des personnes interrogées déclarent que leur entreprise a du mal à répondre aux vulnérabilités, car elle utilise des processus manuels. (ServiceNow)

Les cinq fournisseurs présentant les vulnérabilités de sécurité les plus documentées en 2020 sont Microsoft, Google, Oracle, Apple et IBM. (Stack Watch)

Les cybercriminels ne manquent certainement pas de vulnérabilités à cibler. De plus, compte tenu des dommages pouvant résulter d’une violation de données, non seulement en termes de perte financière, mais aussi en termes de disruptions opérationnelles, de dégradation de la confiance des clients et de la réputation de la marque, et même de conséquences juridiques potentielles, il est absolument essentiel de trouver et de corriger les vulnérabilités.

Un système efficace de gestion des vulnérabilités fournit une couche de protection supplémentaire importante, ce qui vous permet de gérer et de corriger en permanence les failles de sécurité IT.

Aucune discussion sur la gestion des vulnérabilités ne serait complète sans aborder les exploits et expliquer comment s’y préparer.

Un exploit est un programme logiciel malveillant (malware). Il se compose d’un code spécialisé qui profite des vulnérabilités connues au sein d’un système. Les cybercriminels utilisent des exploits pour accéder aux réseaux et aux systèmes associés à distance. Ils peuvent ensuite voler ou modifier des données, s’octroyer des privilèges système, bloquer les utilisateurs autorisés, pénétrer plus profondément dans le réseau et ouvrir la porte à d’autres programmes malveillants ou techniques d’attaque.

Il est important de garder à l’esprit que les exploits sont des programmes logiciels conçus pour cibler et exploiter les vulnérabilités connues, ou, dans le cas d’une attaque zero-day, une vulnérabilité qui peut ne pas être connue et par conséquent ne pas avoir été corrigée. En mettant en œuvre la gestion des vulnérabilités au sein de votre entreprise, vous pouvez traiter et réparer les vulnérabilités ciblées par les exploits.

En plus de la gestion continue des vulnérabilités, vous pouvez également préparer votre entreprise de la manière suivante :

  • Dispensez une formation à la sécurité IT à tous les employés
    Votre service IT n’est pas le seul service qui doit savoir comment se défendre contre d’éventuelles attaques. Formez tous vos employés aux bonnes pratiques de sécurité IT et assurez-vous que les politiques de cybersécurité de votre entreprise sont à jour.
  • Mettez en œuvre le filtrage et l’analyse du trafic
    Le filtrage et l’analyse du trafic vous offrent une meilleure visibilité sur le trafic réseau et vous permettent d’envoyer les bons types de trafic aux bons outils de surveillance de la sécurité. Cela permet d’éviter les goulots d’étranglement du trafic, de réduire la latence et d’accélérer l’identification des agents malveillants, puis l’intervention qui s’impose.
  • Mettez régulièrement à jour vos correctifs de sécurité
    Les fournisseurs de logiciels proposent régulièrement des correctifs et des mises à jour pour protéger leurs produits contre les vulnérabilités émergentes. Vérifiez régulièrement la présence de correctifs et veillez à ce que tous vos systèmes et applications fonctionnent avec les versions les plus récentes pour vous assurer que les vulnérabilités connues ne sont pas utilisées contre vous.

Pour en savoir plus sur la protection de votre écosystème IT vital, consultez la ressource Mise en œuvre d’une réponse agile en matière de sécurité : la liste de contrôle essentielle.

À mesure que les fournisseurs et les développeurs publient des solutions logicielles, ils n’ont pas toujours le temps d’identifier et de résoudre toutes les vulnérabilités possibles avant que le produit ne soit mis sur le marché. Par conséquent, des failles et les bogues peuvent ne pas être repérés pendant un certain temps.

À mesure que les fournisseurs, les organismes de sécurité, les testeurs et les utilisateurs traditionnels découvrent de nouvelles vulnérabilités, celles-ci sont généralement signalées et communiquées par les canaux appropriés. Les fournisseurs sont alors responsables de l’application de correctifs aux produits exposés. En fonction de la gravité ou de la criticité de la vulnérabilité, les fournisseurs chercheront plus ou moins rapidement à publier un correctif. Les grands fournisseurs regroupent et testent généralement les correctifs dans une version « Patch Tuesday », afin que leurs clients puissent avoir moins d’interruptions et moins de travail à implémenter le correctif.

Bien que les fournisseurs emploient probablement leurs propres testeurs et même des organismes tiers de test de pénétration pour identifier les vulnérabilités, de nombreuses failles passent inaperçues jusqu’à ce qu’elles soient détectées par des utilisateurs ou identifiées par des pirates. Dans cette optique, la gestion continue des vulnérabilités devient encore plus cruciale.

La gestion des vulnérabilités est un processus cyclique : elle suit un nombre précis d’étapes, puis les répète. Ce cycle comprend six étapes :

Découvrir les vulnérabilités

Plus une vulnérabilité reste inaperçue longtemps, plus elle est susceptible d’entraîner une violation de sécurité. Effectuez des analyses hebdomadaires des réseaux externes et internes pour identifier les vulnérabilités existantes et nouvelles. Ce processus comprend l’analyse des systèmes en réseau, l’identification des ports et services ouverts sur ces systèmes, la collecte des informations système et la comparaison des informations système avec les vulnérabilités connues.

Hiérarchiser les actifs

Une fois que vous savez ce qui est en cours d’utilisation, vous pouvez attribuer une valeur à chaque actif en fonction de son utilisation ou de son rôle dans votre entreprise. S’agit-il d’un serveur d’applications ou Web utilisé pour prendre en charge vos meilleurs clients ou employés essentiels, ou simplement d’une imprimante ? S’agit-il d’un ordinateur portable de la direction ou d’un terminal de support technique client ? En ajoutant ce contexte à votre liste de systèmes, vous savez s’il est important de corriger une vulnérabilité.

Évaluer les vulnérabilités

L’évaluation vous permet d’analyser l’état des applications et des systèmes de votre environnement.

Hiérarchiser les vulnérabilités

À mesure que vos analyses mettent en évidence des vulnérabilités, vous devrez les hiérarchiser en fonction de leurs risques potentiels pour votre entreprise, vos employés et vos clients. Les plateformes de gestion des vulnérabilités fournissent généralement différentes mesures intégrées pour évaluer et classer les vulnérabilités. Cela dit, vous devrez également enrichir le processus avec un contexte business, de menace et de risque pouvant provenir de sources internes ou externes. L’objectif est d’identifier les vulnérabilités les plus pertinentes pour vous, les plus impactantes et les plus probables. Avec l’explosion des logiciels, services et périphériques dans votre entreprise, vous ne serez peut-être jamais en mesure de corriger toutes vos vulnérabilités. Identifier les cibles les plus importantes et les plus probables d’une attaque permet de gérer cette réalité de manière pratique.

Corriger les vulnérabilités

Une fois les vulnérabilités identifiées, hiérarchisées et cataloguées, l’étape suivante consiste à les corriger et/ou à les atténuer. Il convient de noter que les personnes au sein d’une entreprise qui sont tenues de comprendre les risques associés aux vulnérabilités ne sont pas toujours les mêmes que celles ayant le pouvoir de mettre en œuvre des solutions. En gardant cela à l’esprit, votre entreprise doit travailler à la mise en place d’un langage, de critères de décision et d’un processus communs entre les équipes chargées des opérations de sécurité, des opérations IT et de l’administration du système.

Vérifier la correction

Souvent négligée, la dernière étape de ce processus consiste à vérifier que la vulnérabilité a été résolue. Suivez les étapes susmentionnées avec une autre analyse pour vous assurer que vos risques prioritaires ont été résolus ou atténués efficacement. Cette dernière étape permet de clore l’incident dans le système de suivi et facilite les mesures de performances clés, telles que le délai moyen de correction (MTTR) ou le nombre de vulnérabilités critiques non résolues.

Créer des rapports sur l’état des vulnérabilités

En cas d’événement digne d’intérêt, comme un défaut logiciel majeur ou une vulnérabilité zero-day exploitée, les responsables, les dirigeants et même le conseil d’administration peuvent vous demander si vous avez bien évalué et traité les vulnérabilités de votre infrastructure. Les rapports sur les tendances en matière de vulnérabilités, de risques et de performances de gestion des vulnérabilités permettent également de justifier une dotation en personnel ou en outils. Les principales plateformes de gestion des vulnérabilités incluent des options permettant de générer automatiquement des rapports visuels et des tableaux de bord interactifs pour prendre en charge différents utilisateurs, parties prenantes et points de vue.

2-What-is-Vulnerability-Mngmt-A

Les six étapes décrites ci-dessus démontrent une approche structurée et séquentielle de la gestion des vulnérabilités. La bonne structure est également essentielle lorsque vous configurez votre processus de gestion des vulnérabilités. Voici les étapes que vous devrez prendre en compte :

Définissez vos objectifs

De toute évidence, l’objectif principal d’une solution de gestion des vulnérabilités doit être d’identifier et de corriger ou d’atténuer les vulnérabilités au sein de votre système, et ce, avant que ces vulnérabilités ne puissent être exploitées. Cependant, vous devez également identifier les objectifs secondaires que votre entreprise peut avoir en ce qui concerne le processus de gestion des vulnérabilités.

Les objectifs secondaires vous permettent d’améliorer l’efficacité globale de la gestion des vulnérabilités et la manière dont votre entreprise met en œuvre les données résultantes. Ces objectifs secondaires peuvent inclure l’augmentation de la régularité de l’analyse des vulnérabilités ou l’accélération du délai de résolution des vulnérabilités identifiées.

Définissez les rôles au sein de votre organisation

Pour que votre solution de gestion des vulnérabilités soit efficace, il faudra que toutes vos parties prenantes soient résolues à en assurer sa réussite, et que leurs rôles et responsabilités soient clairement définis dans le processus. Bien que les différentes structures et capacités organisationnelles puissent exiger une séparation des responsabilités différente, la plupart des entreprises peuvent bénéficier de l’attribution des rôles de chargés de surveillance, de résolution et d’approbation à des individus.

  • Chargés de surveillance
    Ce rôle évalue la gravité et le risque des vulnérabilités, documente ses conclusions, puis alerte les chargés de résolution des problèmes.
  • Chargés de résolution
    Ce rôle est chargé de localiser les correctifs pour les problèmes connus et de créer des solutions d’atténuation lorsque les correctifs ne sont pas disponibles ou que leur application n’est pas aisée.
  • Chargés d’approbation
    Ce rôle porte un regard général sur les vulnérabilités du système et est chargé d’apporter des modifications à la stratégie et à la procédure lorsque cela est nécessaire pour atténuer les effets actuels et futurs des vulnérabilités.

Évaluez l’efficacité de votre programme de gestion des vulnérabilités

Les processus continus de gestion des vulnérabilités permettent à votre entreprise d’avoir une vue plus claire et à jour de l’état général de votre sécurité. En outre, le caractère permanent de ces processus vous aidera à évaluer précisément les aspects de votre approche de gestion des vulnérabilités qui fonctionnent et ceux qui doivent être ajustés.

N’oubliez pas : bien que les étapes de base de la gestion des vulnérabilités soient relativement constantes, de subtiles variations d’approche peuvent être appropriées d’une entreprise à l’autre. N’hésitez pas à apporter des modifications à vos processus pour améliorer la précision, la clarté et la résolution.

Afin de créer un processus de gestion des vulnérabilités efficace et continu, les solutions les plus performantes doivent inclure les éléments suivants :

Analyse

Cela inclut l’analyse réseau et la journalisation du pare-feu, ainsi que les tests de pénétration et les outils automatisés. En fait, comme il existe de nombreuses sources de données d’analyse différentes, ne pensez pas que vous devez limiter vos options à une seule entreprise ou un seul outil.

Constat

Cela implique d’éplucher les résultats de vos analyses pour identifier les vulnérabilités ainsi que les preuves possibles de violations passées ou en cours.

Vérification

Cela comprend une évaluation des vulnérabilités afin de déterminer comment elles peuvent être utilisées par les cybercriminels, mais aussi une évaluation des risques qu’elles impliquent.

Hiérarchisation basée sur l’atténuation des risques et de l’impact

Il peut s’agir d’une gestion des vulnérabilités basée sur les risques afin de déterminer quels bogues présentent le plus de risques et doivent donc être résolus ou atténués en priorité.

Application de correctif

Cela implique de corriger les vulnérabilités identifiées, en les éliminant efficacement comme vecteurs de menace potentiels.

Mesure

Cela implique d’évaluer l’efficacité de la solution de gestion des vulnérabilités et d’apporter des modifications au processus, si nécessaire.

Prise en main de SecOps

Identifiez, hiérarchisez et éliminez plus rapidement les menaces.