- 1. La gestion de la vulnérabilité expliquée
- 2. Comprendre les vulnérabilités, les menaces et les risques
- 3. Pourquoi la gestion des vulnérabilités dans le cloud est-elle difficile ?
- 4. Gestion des vulnérabilités et gestion des correctifs
- 5. Aperçu des vulnérabilités et expositions communes (CVE)
- 6. Gestion de la vulnérabilité et évaluation de la vulnérabilité
- 7. Mise en place d'un cadre de gestion de la vulnérabilité
- 8. Les quatre étapes clés de la gestion de la vulnérabilité
- 9. Améliorer votre programme de gestion de la vulnérabilité
- 10. Meilleures pratiques pour gérer les vulnérabilités des charges de travail dans le cloud
- 11. FAQ sur la gestion de la vulnérabilité
Sommaire
- La gestion de la vulnérabilité expliquée
- Comprendre les vulnérabilités, les menaces et les risques
- Pourquoi la gestion des vulnérabilités dans le cloud est-elle difficile ?
- Gestion des vulnérabilités et gestion des correctifs
- Aperçu des vulnérabilités et expositions communes (CVE)
- Gestion de la vulnérabilité et évaluation de la vulnérabilité
- Mise en place d'un cadre de gestion de la vulnérabilité
- Les quatre étapes clés de la gestion de la vulnérabilité
- Améliorer votre programme de gestion de la vulnérabilité
- Meilleures pratiques pour gérer les vulnérabilités des charges de travail dans le cloud
- FAQ sur la gestion de la vulnérabilité
Qu'est-ce que la gestion de la vulnérabilité ?
Sommaire
- La gestion de la vulnérabilité expliquée
- Comprendre les vulnérabilités, les menaces et les risques
- Pourquoi la gestion des vulnérabilités dans le cloud est-elle difficile ?
- Gestion des vulnérabilités et gestion des correctifs
- Aperçu des vulnérabilités et expositions communes (CVE)
- Gestion de la vulnérabilité et évaluation de la vulnérabilité
- Mise en place d'un cadre de gestion de la vulnérabilité
- Les quatre étapes clés de la gestion de la vulnérabilité
- Améliorer votre programme de gestion de la vulnérabilité
- Meilleures pratiques pour gérer les vulnérabilités des charges de travail dans le cloud
- FAQ sur la gestion de la vulnérabilité
La gestion des vulnérabilités est un programme continu qui s'appuie sur diverses technologies et pratiques pour identifier les vulnérabilités - en particulier les risques de cyber-exposition - et y remédier en temps utile afin de sécuriser l'infrastructure et les ressources d'une organisation. L'objectif de la gestion des vulnérabilités est de mettre en place des processus systématiques de détection et d'atténuation des vulnérabilités, quel que soit leur lieu d'apparition.
Outre la protection des réseaux traditionnels, la gestion des vulnérabilités fait partie intégrante de l'identification et de la prévention des vulnérabilités tout au long du cycle de vie des applications. Il s'agit d'intégrer la gestion des vulnérabilités dans les processus CI tout en surveillant constamment tous les hôtes, images et fonctions de votre environnement cloud Native afin d'identifier, de hiérarchiser et d'atténuer les risques.
À cet égard, la gestion des vulnérabilités jette les bases d'une stratégie de cybersécurité saine en veillant à ce que les équipes de sécurité puissent trouver et corriger de manière fiable les vulnérabilités avant qu'elles ne conduisent à des intrusions dans le système, à des violations de données ou à d'autres incidents de sécurité préjudiciables.
Figure 1 : Une fois détectées, les vulnérabilités doivent être contextualisées afin de définir leur impact potentiel, leur source et les biens qu'elles affectent.
La gestion de la vulnérabilité expliquée
Dispositifs réseau, serveurs, systèmes de stockage, postes de travail, applications héritées, machines virtuelles, conteneurs, applications cloud, microservices, bases de données, API, services d'infrastructure cloud, services de plateforme cloud, configurations de sécurité - la liste est apparemment sans fin. Avec la prévalence croissante des méthodologies agiles et des services cloud élargissant les environnements informatiques, la gestion des vulnérabilités est devenue de plus en plus complexe. Comme pour les environnements informatiques traditionnels, la gestion des vulnérabilités pour les charges de travail cloud est un processus constant à multiples facettes qui implique l'identification, l'évaluation, la hiérarchisation et l'atténuation des vulnérabilités de sécurité pour assurer la protection des données sensibles, maintenir la conformité cloudet réduire le risque de cyberattaques.
Le processus commence par la tenue d'un inventaire actualisé des actifs et l'utilisation de l'analyse des vulnérabilités pour découvrir les menaces potentielles dans les ressources du cloud. Les vulnérabilités sont ensuite évaluées en fonction de leur gravité et de leur impact, ce qui permet de hiérarchiser les efforts de remédiation. La gestion des correctifs et des configurations permet de remédier aux vulnérabilités et aux configurations erronées des logiciels, tandis que la surveillance constante et la réponse aux incidents garantissent la détection et l'endiguement rapides des menaces émergentes. Enfin, les activités de reporting et d'audit assurent la visibilité et la responsabilité, garantissant l'efficacité et la conformité du programme de gestion des vulnérabilités.
Comprendre les vulnérabilités, les menaces et les risques
Pour comprendre l'importance des vulnérabilités et l'impact qu'elles peuvent avoir sur votre entreprise, vous devez comprendre la relation entre les vulnérabilités, les menaces et les risques.
Une vulnérabilité est une faille, une faiblesse, une mauvaise configuration ou un oubli dans un système informatique que des attaquants pourraient exploiter pour prendre le contrôle du système, en exfiltrer des données, en perturber le fonctionnement ou causer d'autres dommages à l'entreprise.
Cela signifie que les vulnérabilités créent une opportunité pour les cybermenaces. Une menace est toute entité qui cherche à - et qui pourrait potentiellement - exécuter une cyberattaque d'un type ou d'un autre. Pour mener à bien une cyberattaque, les menaces doivent toutefois trouver des vulnérabilités dont elles peuvent tirer parti.
Lorsqu'une vulnérabilité existe et qu'une menace cherche activement à l'exploiter, l'organisation est en danger.
Les vulnérabilités permettent donc aux menaces de devenir des risques réels. En l'absence de vulnérabilités, les menaces - telles que les pirates informatiques qui veulent voler des données sensibles à votre organisation pour en tirer un profit financier, ou les acteurs de la menace parrainés par un État qui cherchent à perturber les systèmes critiques à des fins géopolitiques - peuvent toujours exister. Toutefois, ce n'est qu'en présence de vulnérabilités que le risque d'exploitation des menaces existe.
Pourquoi la gestion des vulnérabilités dans le cloud est-elle difficile ?
La gestion des vulnérabilités n'est pas simple, quel que soit le type de charge de travail, mais lorsque vous avez affaire à des charges de travail dans le cloud, la détection et l'atténuation des vulnérabilités sont particulièrement difficiles.
Les services "cloud" sont complexes et variés
Les charges de travail dans le cloud peuvent varier énormément. Il peut s'agir de VM, de conteneurs, de fonctions sans serveur, de services d'orchestration, ou de tout ce qui précède. Chaque type de charge de travail dans le cloud pourrait être sujet à différents types de vulnérabilités, vous avez donc besoin d'une stratégie de gestion des vulnérabilités capable de reconnaître les différentes menaces en fonction du contexte de la charge de travail.
Le cloud est en constante évolution
Plus encore que la plupart des environnements sur place, les environnements cloud sont généralement dynamiques. Les configurations changent constamment à mesure que les charges de travail augmentent ou diminuent, que des utilisateurs sont ajoutés ou supprimés, que des applications sont mises à jour, etc. C'est pourquoi il est primordial de pouvoir surveiller constamment les vulnérabilités.
Les risques liés au cloud varient en étendue
Toutes les vulnérabilités ne sont pas égales. Certains, comme ceux qui permettent l'exécution de codes à distance, sont plus risqués que ceux qui ne peuvent être exploités que dans de rares configurations. Vous devez savoir quelles sont les plus graves afin de les traiter en priorité.
Gestion des vulnérabilités et gestion des correctifs
À certains égards, le processus de gestion des vulnérabilités s'apparente à d'autres processus de sécurité que les organisations informatiques pratiquent depuis des décennies, comme la gestion des correctifs. Tout comme la gestion des vulnérabilités, la gestion des correctifs consiste à trouver et à réagir systématiquement aux risques potentiels pour la sécurité (à savoir les logiciels non corrigés que les attaquants pourraient exploiter) avant qu'ils ne deviennent des problèmes actifs.
Mais le processus de gestion des vulnérabilités va au-delà de la gestion des correctifs.
- Les logiciels non corrigés sont l'un des moyens d'introduire des vulnérabilités dans les environnements informatiques, mais ce n'est pas le seul. La gestion des vulnérabilités porte également sur d'autres points d'entrée des vulnérabilités, tels que les configurations non sécurisées.
- Alors que la gestion des correctifs implique constamment l'installation périodique de correctifs logiciels, la gestion des vulnérabilités est un processus continu. Vous ne devez pas - ou ne devriez pas - rechercher les vulnérabilités une fois par semaine ou même une fois par jour. Au lieu de cela, vous devriez scanner constamment afin de trouver et de réagir aux vulnérabilités en temps réel, à chaque fois et où qu'elles apparaissent.
- Le processus de gestion des vulnérabilités s'applique non seulement aux actifs (comme les applications) qui peuvent être corrigés, mais aussi aux services cloud, à l'infrastructure et à d'autres types de ressources que votre équipe informatique ne peut généralement pas corriger au sens classique du terme.
Aperçu des vulnérabilités et expositions communes (CVE)
Lorsque des chercheurs en sécurité identifient une vulnérabilité dans un logiciel utilisé publiquement, ils la signalent généralement à la base de données CVE (Common Vulnerabilities and Exposures). Les bases de données CVE sont des listes de vulnérabilités connues. Ils comprennent des détails sur la cause de la vulnérabilité, la manière dont elle peut être exploitée, sa gravité et la manière de corriger ou de mettre à jour les systèmes pour atténuer la vulnérabilité.
La plupart des bases de données CVE définissent ces informations à l'aide du système CVSS (Common Vulnerability Scoring System), un cadre ouvert permettant de partager des informations sur les vulnérabilités et leur gravité. En rendant accessibles les données sur les vulnérabilités, les CVE et CVSS constituent une ressource essentielle que les organisations peuvent utiliser pour déterminer quelles vulnérabilités affectent les systèmes ou les logiciels qu'elles utilisent. En outre, il peut indiquer aux équipes la gravité de ces vulnérabilités et si elles peuvent être exploitées en fonction de la configuration spécifique utilisée par l'entreprise.
La National Vulnerability Database et la MITRE CVE sont parmi les bases de données CVE publiques les plus populaires. Toutefois, les organisations peuvent également conserver des données CVE privées ou améliorées, qu'elles peuvent fournir à d'autres organisations dans le cadre d'offres de renseignements sur les menaces.
Figure 2 : Processus d'identification des CVE
Une limitation importante des CVE est qu'ils ne répertorient généralement que les menaces qui affectent les logiciels accessibles au public, tels que les applications à code source ouvert. La raison principale est que n'importe qui peut inspecter les logiciels publics et potentiellement y trouver des vulnérabilités. Les logiciels qu'une organisation réserve à un usage interne sont plus difficiles à étudier pour des chercheurs tiers. Par conséquent, les vulnérabilités du logiciel n'ont pas nécessairement été découvertes ou divulguées dans les bases de données CVE.
Cela signifie que vous ne devez jamais supposer qu'une application est exempte de vulnérabilités simplement parce qu'une base de données CVE n'indique aucune vulnérabilité connue. Il est toujours possible que des vulnérabilités existent - et qu'elles soient connues des acteurs de la menace - mais qu'elles n'aient tout simplement pas encore été signalées.
Mais les vulnérabilités en matière de sécurité, comme nous l'avons mentionné plus haut, se présentent sous de nombreuses formes.
Authentification défaillante
Des processus de contrôle d'accès ou des configurations inefficaces au sein d'un logiciel peuvent permettre à des acteurs malveillants d'accéder au logiciel ou d'escalader les privilèges au-delà de ceux de l'utilisateur.
Injection SQL
Les vulnérabilités liées à l'injection SQL permettent aux attaquants d'injecter des requêtes malveillantes dans une base de données afin d'en manipuler les données ou d'en exfiltrer des informations. Les vulnérabilités liées à l'injection SQL se produisent généralement en raison d'un manque de validation correcte des entrées dans une application qui s'interface avec une base de données.
Cross-Site Scripting
Une vulnérabilité de type Cross-Site Scripting permet à des pirates d'exécuter des scripts malveillants. Ce type de vulnérabilité affecte le plus souvent les sites web qui contiennent du code Javascript mal écrit. Si des pirates trouvent le code vulnérable, ils peuvent inciter le site à exécuter les scripts de leur choix, ce qui peut leur donner accès aux ressources des terminaux qui se connectent au site web.
Falsification des requêtes intersites
Les attaquants peuvent exploiter des vulnérabilités de type "cross-site request forgery" pour amener les utilisateurs à injecter du code malveillant dans un site web ou une application avec lesquels ils sont actuellement authentifiés. Elles sont similaires aux vulnérabilités de type Cross-Site Scripting, à la différence près que les vulnérabilités de type Cross-Site Request Forgery visent à usurper l'identité d'utilisateurs authentifiés pour effectuer des actions malveillantes plutôt qu'à exécuter un code malveillant par l'intermédiaire d'un langage Javascript non sécurisé.
Configurations erronées en matière de sécurité
Tout type d'erreur ou d'oubli dans la configuration de la sécurité peut déclencher une vulnérabilité. Par exemple, les administrateurs peuvent, par inadvertance, rendre des données sensibles accessibles via l'internet en raison d'une erreur de configuration du pare-feu, ou ils peuvent oublier de demander une authentification multifactorielle lors de la configuration d'un nouveau déploiement d'application.
Gestion de la vulnérabilité et évaluation de la vulnérabilité
La gestion des vulnérabilités est la stratégie utilisée par les organisations informatiques pour identifier les vulnérabilités et y réagir. Cependant, lorsqu'une vulnérabilité individuelle est découverte, ils utilisent un processus connu sous le nom d'évaluation de la vulnérabilité pour comprendre le niveau de risque que la vulnérabilité pose et pour aider à déterminer comment y remédier.
L'évaluation de la vulnérabilité est importante car toutes les vulnérabilités ne présentent pas le même niveau de risque. Par exemple, une vulnérabilité qui ne peut être exploitée que par des attaquants ayant un accès physique direct à un système vulnérable présente généralement moins de risques qu'une vulnérabilité qui peut être exploitée via le réseau, car le nombre d'acteurs de la menace qui opèrent via le réseau est généralement beaucoup plus élevé que ceux qui ont un accès physique aux actifs informatiques.
En outre, dans certains cas, les vulnérabilités ne peuvent être exploitées que dans des configurations ou des environnements spécifiques. Par exemple, une vulnérabilité dans une application peut être exploitée si l'application est hébergée sur un serveur Windows mais pas sur un serveur Linux, ou vice versa.
Sur la base de ces facteurs, l'évaluation de la vulnérabilité permet aux organisations de déterminer le niveau de risque spécifique que chaque vulnérabilité représente pour elles. Ils peuvent alors répondre en priorité aux vulnérabilités les plus graves afin de minimiser leur niveau de risque global.
Mise en place d'un cadre de gestion de la vulnérabilité
Bien que les programmes de gestion des vulnérabilités doivent être adaptés aux exigences particulières des organisations qu'ils servent, Gartner propose un cadre d'orientation de la gestion des vulnérabilités qui constitue un point de départ utile pour commencer à gérer les vulnérabilités.
Les éléments clés du cadre de Gartner sont les suivants :
- Définissez la portée du programme : Les entreprises commencent leur stratégie de gestion des vulnérabilités en déterminant le nombre d'actifs informatiques et de types de vulnérabilités qu'elles doivent traiter.
- Définir les rôles et les responsabilités : Déterminer qui fait quoi et quand est un élément essentiel de la gestion de la vulnérabilité. Du personnel de première ligne, comme les ingénieurs informatiques, aux RSSI et aux directeurs techniques, chacun a un rôle à jouer dans la recherche, le signalement et la gestion des vulnérabilités.
- Sélectionner les outils d'évaluation de la vulnérabilité : Les entreprises doivent décider des outils qu'elles utiliseront pour trouver et évaluer les vulnérabilités, ainsi que de la manière dont la correction des vulnérabilités sera prise en compte dans leurs flux de travail et leurs outils.
- Créez et affinez les accords de niveau de service (SLA) des politiques : Les accords de niveau de service déterminent la rapidité avec laquelle les organisations réagiront aux vulnérabilités et le niveau de vulnérabilités actives qu'elles peuvent tolérer. Les accords de niveau de service sont une ressource particulièrement importante à adapter à l'entreprise, car différentes organisations peuvent tolérer différents niveaux de risque.
- Identifier les sources du contexte des actifs : Les sources de contexte des actifs fournissent des informations complémentaires - telles que des données sur le rôle que joue un système ou une application dans l'entreprise - qui peuvent être essentielles pour évaluer les vulnérabilités et leur gravité.
En répondant à chacune de ces exigences, les organisations peuvent mettre en place des programmes de gestion des vulnérabilités qui leur permettent de trouver les vulnérabilités dans tous les systèmes concernés et d'y réagir.
Les quatre étapes clés de la gestion de la vulnérabilité
Lorsqu'il est entièrement mis en œuvre, un programme efficace de gestion des vulnérabilités doit permettre à votre entreprise d'effectuer chacune des étapes suivantes du processus de gestion des vulnérabilités.
Identifier les vulnérabilités
Vous ne pouvez pas réparer ce que vous ne voyez pas. La recherche de vulnérabilités consiste à analyser tous les actifs informatiques de votre organisation et à déterminer s'ils (ou l'un de leurs composants) sont sujets à des vulnérabilités. Les bases de données CVE constituent une ressource essentielle à cette fin, même si, là encore, toutes les vulnérabilités ne sont pas détaillées dans les listes CVE publiques.
Évaluer les vulnérabilités
Après la découverte, chaque vulnérabilité doit être évaluée afin de déterminer le niveau de risque qu'elle représente pour l'entreprise. Une évaluation manuelle des vulnérabilités peut être nécessaire dans certains cas, mais les outils de gestion des vulnérabilités peuvent accélérer le processus en déterminant automatiquement la gravité de chaque vulnérabilité et en évaluant la probabilité que la vulnérabilité puisse être exploitée dans l'environnement de l'entreprise.
Traiter les vulnérabilités
Les vulnérabilités peuvent être traitées de trois manières principales :
- Remédiation : La remédiation implique l'élimination totale d'une vulnérabilité, généralement en mettant à jour ou en corrigeant l'actif affecté de sorte que la vulnérabilité n'existe plus.
- Atténuation : L'atténuation permet aux organisations de minimiser le risque qu'une vulnérabilité soit exploitée ou de réduire le préjudice potentiel qu'elle peut causer. L'atténuation est une bonne stratégie dans les cas où l'assainissement n'est pas possible ou réalisable. Par exemple, si vous ne pouvez pas mettre à jour une application patrimoniale vulnérable parce que les correctifs ne sont pas disponibles pour elle, vous pouvez encore atténuer la vulnérabilité en modifiant la configuration de l'application.
- Acceptation : Dans certains cas, les organisations informatiques peuvent décider que les vulnérabilités ne sont pas suffisamment graves pour mériter une correction ou une atténuation. Dans ce cas, ils acceptent simplement la vulnérabilité.
Signaler les vulnérabilités
Le rapport sur les vulnérabilités est le processus de divulgation des vulnérabilités aux parties prenantes externes. Il s'agit souvent de soumettre des rapports de vulnérabilité aux bases de données publiques CVE, mais les organisations peuvent également être exigées par des mandats de conformité ou des accords contractuels pour signaler les vulnérabilités directement aux organismes de réglementation, aux clients ou aux partenaires. Quoi qu'il en soit, l'objectif du rapport est de partager des informations sur les vulnérabilités existantes, leurs causes et la manière dont elles peuvent être corrigées, afin que d'autres puissent réagir à ces vulnérabilités avant qu'elles ne donnent lieu à des exploits.
Améliorer votre programme de gestion de la vulnérabilité
La mise en place d'un programme de gestion des vulnérabilités ne signifie pas que vous pouvez cesser de vous préoccuper des vulnérabilités et passer à d'autres préoccupations. Au contraire, la gestion des vulnérabilités devrait bénéficier d'une stratégie d'amélioration continue, ce qui signifie que les organisations informatiques recherchent constamment des moyens d'améliorer leurs stratégies de gestion des vulnérabilités.
Voici quelques exemples courants d'amélioration du programme de gestion de la vulnérabilité :
- Utiliser plus largement les automatismes pour améliorer l'efficacité et la cohérence de la gestion des vulnérabilités.
- Intégrer des systèmes ou des applications supplémentaires dans le champ d'application de la gestion des vulnérabilités afin d'accroître l'exhaustivité de la couverture.
- Exploiter d'autres bases de données sur les vulnérabilités et/ou d'autres sources de données sur le contexte des actifs afin d'accroître les données disponibles lors de l'évaluation des vulnérabilités.
- Déployer des outils de gestion des vulnérabilités nouveaux ou améliorés pour détecter des types de vulnérabilités que les systèmes précédents ne pouvaient pas prendre en charge.
De telles mesures permettent aux organisations de rendre la gestion des vulnérabilités plus efficace et efficiente, ce qui les rapproche de l'objectif consistant à assurer la détection et la correction en temps réel de toutes les vulnérabilités, quelles qu'elles soient et où qu'elles se trouvent.
Meilleures pratiques pour gérer les vulnérabilités des charges de travail dans le cloud
Il n'existe pas d'astuce simple pour s'assurer que vous pouvez détecter et remédier à toutes les vulnérabilités du cloud avant qu'elles ne se transforment en menaces critiques. Toutefois, des stratégies telles que les suivantes peuvent vous aider à atténuer le risque de cyberattaques graves liées au cloud.
Intégrer l'analyse des vulnérabilités dans les processus d'IC
Plus vous détectez les vulnérabilités tôt dans le cycle de développement, plus vous réduisez le risque qu'elles conduisent à des violations dans les environnements de production.
C'est pourquoi l'analyse des vulnérabilités doit être intégrée dans vos processus d'IC. Au lieu d'attendre que les charges de travail soient en production pour les analyser, analysez vos hôtes, conteneurs, fonctions sans serveur et autres ressources dans les environnements de développement et de mise en scène. Même si vos configurations changent entre la phase de développement/stabilisation et la phase de production, la surveillance des vulnérabilités avant le déploiement maximise toujours vos chances d'empêcher les vulnérabilités de se glisser dans la production.
Maintenir la numérisation en production
Bien entendu, vous devez également effectuer une surveillance constante des vulnérabilités après que vos charges de travail ont été déployées en production. Aucune analyse préalable au déploiement ne peut remplacer la vérification des risques dans les charges de travail de production.
Analysez toutes les couches de votre environnement cloud
Une charge de travail typique dans le cloud comprend plusieurs couches de configuration. Des vulnérabilités peuvent exister dans chacun d'entre eux.
Par exemple, si vous déployez des conteneurs, vous pourriez avoir des vulnérabilités dans l'image du conteneur. Des vulnérabilités peuvent également subsister dans les politiques RBAC que vous configurez dans l'orchestrateur de conteneurs. En plus de cela, les politiques que vous configurez à l'aide du cadre IAM de votre fournisseur de cloud pourraient créer des risques pour la charge de travail conteneurisée.
C'est pourquoi il est essentiel d'analyser toutes les couches de vos charges de travail dans le cloud. Partout où des données peuvent exister, une vulnérabilité peut également exister.
Utiliser les CVE pour obtenir un contexte de vulnérabilité
Comme indiqué ci-dessus, certaines vulnérabilités sont plus graves que d'autres. Mais il n'est pas toujours évident de savoir lesquelles requièrent une attention immédiate.
Néanmoins, pour que les alertes de vulnérabilité soient aussi exploitables que possible, vous devez connaître le niveau de gravité de chacune d'entre elles. Pour ce faire, vous pouvez utiliser les bases de données CVE (Common Vulnerabilities and Exposures), qui répertorient les vulnérabilités connues et les "notent" en fonction du niveau de risque qu'elles représentent.
En associant la détection des vulnérabilités aux données CVE, vous obtenez des informations contextualisées et exploitables sur les risques liés aux charges de travail dans le cloud.
FAQ sur la gestion de la vulnérabilité
Le processus de gestion des vulnérabilités comprend constamment l'inventaire des actifs, l'analyse des vulnérabilités, l'évaluation des risques, la hiérarchisation des mesures correctives, la gestion des correctifs et des configurations, la surveillance continue, la réponse aux incidents, ainsi que les activités de reporting et d'audit.
Le rôle de la gestion des vulnérabilités est de réduire le risque de failles de sécurité et de protéger les données sensibles en identifiant, en évaluant et en traitant systématiquement les vulnérabilités de sécurité. Cette approche proactive permet de maintenir une posture de sécurité solide, de garantir la conformité avec les normes et réglementations du secteur et de minimiser les dommages potentiels causés par les cybermenaces. En surveillant et en améliorant constamment la sécurité des environnements cloud et des systèmes informatiques, la gestion des vulnérabilités contribue à la résilience et à la stabilité globales de l'infrastructure d'une organisation.
Tout programme de gestion des vulnérabilités doit comprendre une analyse régulière des vulnérabilités, une évaluation complète des risques, des mesures correctives en temps utile et une surveillance continue. Ces quatre exigences garantissent l'identification et l'atténuation constantes des vulnérabilités, la hiérarchisation des efforts en fonction des risques et le maintien d'un dispositif de sécurité solide pour protéger les biens et les données de l'organisation.
Les organisations de tous les secteurs - agences gouvernementales, institutions financières, prestataires de soins de santé et entreprises technologiques - utilisent des programmes de gestion des vulnérabilités, car ils sont essentiels pour protéger les données sensibles, assurer la conformité avec les réglementations et maintenir une position de sécurité solide.
- Les vulnérabilités des réseaux impliquent des faiblesses dans l'infrastructure, les protocoles ou les configurations des réseaux, permettant aux attaquants d'intercepter, de modifier ou de perturber les transmissions de données.
- Les vulnérabilités des systèmes d'exploitation sont des failles dans le système d'exploitation ou ses composants, qui peuvent être exploitées pour obtenir un accès non autorisé, élever les privilèges ou exécuter un code malveillant.
- Les vulnérabilités humaines résultent d'erreurs humaines ou d'actions malveillantes, telles que les attaques de hameçonnage, les mots de passe faibles ou les menaces d'initiés.
- Les vulnérabilités des applications résultent de pratiques de codage peu sûres et de configurations erronées.
- Les vulnérabilités des processus découlent de politiques de sécurité, de procédures ou de contrôles de conformité inadéquats, ce qui entraîne des lacunes dans la protection et un risque accru d'atteintes à la sécurité.
En cybersécurité, une menace désigne toute activité ou tout événement malveillant potentiel qui vise à exploiter les vulnérabilités des systèmes, des réseaux ou des applications, dans le but de compromettre la confidentialité, l'intégrité ou la disponibilité des données et des ressources. Les menaces peuvent provenir de diverses sources, telles que des pirates informatiques, des cybercriminels, des États-nations ou même des initiés, et se manifester sous diverses formes, notamment des logiciels malveillants, des attaques par hameçonnage, des attaques par déni de service, des ransomwares ou des schémas d'ingénierie sociale.
Les défis de la gestion de la vulnérabilité sont les suivants :
- L'émergence constante de nouvelles vulnérabilités
- Ressources limitées pour remédier aux vulnérabilités identifiées
- Priorité aux efforts de remédiation
- Veiller à ce que les correctifs et les mises à jour de la configuration soient effectués en temps voulu
- Maintenir la visibilité dans un environnement informatique complexe et évolutif
- Surmonter les facteurs humains, tels que la résistance au changement ou le manque de sensibilisation.
En outre, les organisations doivent se tenir au courant des réglementations sectorielles et des exigences de conformité, ce qui ajoute une nouvelle couche de complexité au processus de gestion des vulnérabilités.
Les quatre étapes de la vulnérabilité sont la découverte, l'évaluation, l'exploitation et la remédiation. La découverte consiste à identifier les vulnérabilités dans les écosystèmes cloud et les réseaux sur place par le biais d'une analyse automatisée ou de tests manuels. L'évaluation consiste à déterminer la gravité et l'impact potentiel des vulnérabilités identifiées. Il y a exploitation lorsqu'un attaquant tire parti d'une vulnérabilité pour compromettre un système ou obtenir un accès non autorisé. La remédiation consiste à corriger la vulnérabilité, soit par des correctifs, des changements de configuration ou d'autres mesures d'atténuation, afin d'empêcher toute nouvelle exploitation.
Le système commun de notation des vulnérabilités (CVSS) est un cadre normalisé largement adopté pour évaluer et classer la gravité des vulnérabilités de sécurité dans les systèmes informatiques et les environnements cloud. CVSS attribue une note numérique comprise entre 0 et 10, en tenant compte de facteurs tels que la facilité d'exploitation, l'impact sur la confidentialité, l'intégrité et la disponibilité, ainsi que le niveau d'interaction requis de la part de l'utilisateur. Des scores plus élevés indiquent des vulnérabilités plus graves, ce qui permet aux organisations de hiérarchiser les efforts de remédiation et d'allouer les ressources de manière efficace.
Une vulnérabilité de sécurité du code désigne une faiblesse ou une faille dans le code source d'une application logicielle, résultant d'erreurs de programmation, de pratiques de codage non sécurisées ou de Configurations erronées. L'exploitation de ces vulnérabilités peut permettre aux attaquants de compromettre l'application, d'obtenir un accès non autorisé à des données sensibles ou d'effectuer des actions malveillantes, ce qui peut causer un préjudice important à l'organisation touchée.
La gravité des vulnérabilités est évaluée à l'aide de cadres normalisés tels que CVSS, qui prend en compte des facteurs tels que l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité, la complexité de l'exploitation et le niveau d'interaction requis de la part de l'utilisateur. La note numérique qui en résulte permet aux organisations de classer les vulnérabilités en fonction de leur gravité, ce qui les aide à hiérarchiser les efforts de remédiation et à allouer les ressources en fonction des risques.
Les organisations doivent analyser tous les composants de leur environnement informatique pour détecter les vulnérabilités, y compris les périphériques réseau, les serveurs, les postes de travail, les applications, les bases de données et l'infrastructure cloud. L'analyse régulière des systèmes internes et externes, ainsi que l'intégration de l'analyse des vulnérabilités dans le cycle de développement des logiciels, garantissent une couverture complète et contribuent à maintenir une posture de sécurité solide.
La responsabilité de la gestion des vulnérabilités incombe généralement aux équipes de sécurité du réseau, aux administrateurs de réseau, aux administrateurs de système et aux développeurs d'applications. Une gestion efficace des vulnérabilités exige une collaboration et une coordination entre ces équipes, avec des personnes chargées d'identifier, d'évaluer et de remédier aux vulnérabilités, ainsi que de mettre en œuvre les meilleures pratiques de sécurité et d'assurer la conformité avec les normes et réglementations du secteur. Dans certaines organisations, une équipe dédiée à la gestion des vulnérabilités ou un responsable de la sécurité des informations (CISO) peut superviser l'ensemble du processus.
Le type le plus courant d'analyse de la vulnérabilité est l'analyse automatisée de la vulnérabilité du réseau, qui utilise des outils d'analyse de la vulnérabilité pour identifier et évaluer les faiblesses de sécurité des dispositifs de réseau, des serveurs et des postes de travail d'une organisation. Ces analyses couvrent généralement un large éventail de vulnérabilités connues, notamment celles liées aux logiciels obsolètes, aux configurations erronées et aux protocoles de réseau non sécurisés, ce qui aide les organisations à maintenir un environnement informatique sûr et conforme.
Une analyse de vulnérabilité est réalisée à l'aide d'outils spécialisés qui analysent les systèmes informatiques à la recherche de faiblesses de sécurité connues, de Configurations erronées ou de logiciels obsolètes. Ces outils utilisent généralement une combinaison de détection basée sur les signatures, d'analyse heuristique et de tests manuels pour identifier les vulnérabilités potentielles. Les analyses peuvent être effectuées de manière programmée, après des changements significatifs de l'environnement, ou à la demande, les résultats fournissant des informations détaillées sur les vulnérabilités identifiées et des recommandations pour y remédier.
Le choix du meilleur outil pour l'analyse de la vulnérabilité dépend des exigences de l'organisation, du budget et de l'environnement informatique spécifique. Les outils les plus courants sont Nessus, Qualys, OpenVAS et Rapid7 Nexpose. Les facteurs à prendre en compte lors du choix d'un scanner de vulnérabilités sont sa capacité à détecter un large éventail de vulnérabilités, sa facilité d'intégration dans l'infrastructure existante, son évolutivité et la qualité de l'assistance et des mises à jour fournies par le fournisseur.
Une analyse de vulnérabilité CVE (Common Vulnerabilities and Exposures) est un processus qui utilise un outil d'analyse de vulnérabilité pour identifier les failles de sécurité connues dans les systèmes informatiques, sur la base de la base de données CVE. La base de données CVE est un répertoire normalisé, accessible au public, des failles de sécurité connues, géré par la MITRE Corporation. Les analyses de vulnérabilité CVE aident les organisations à détecter et à corriger les vulnérabilités connues de leurs systèmes, réduisant ainsi le risque de failles de sécurité et améliorant la posture de sécurité globale.
L'analyse de vulnérabilité NIST fait référence au processus d'identification des vulnérabilités de sécurité dans les systèmes informatiques, en suivant les lignes directrices et les recommandations fournies par l'Institut national des normes et de la technologie (National Institute of Standards and Technology - NIST). Le NIST propose des meilleures pratiques, telles que celles figurant dans les publications spéciales 800-53 et 800-115 du NIST, pour aider les organisations à mettre en œuvre des processus efficaces d'analyse des vulnérabilités, à maintenir une posture de sécurité solide et à assurer la conformité avec les réglementations fédérales et les normes industrielles.
