Connect with us

Cybersécurité

Fondamentaux de la gestion des vulnérabilités

mm
Published
Updated

La gestion des vulnérabilités est une combinaison de processus et de produits visant à maintenir un inventaire de l’infrastructure numérique d’une organisation, à la sonder pour détecter les vulnérabilités et à remédier aux faiblesses identifiées. Il s’agit d’une pratique cyclique et de l’antipode de l’adage IT bien connu qui dit : « Si cela ne fonctionne pas, ne le réparez pas ». Ce principe ne fonctionne simplement pas dans la sécurité des entreprises ces jours-ci. Si les actifs numériques ne sont pas surveillés et renforcés en continu, ils deviennent des fruits facilement accessibles.

Un scanner ne suffit pas

Contrairement aux outils de scan de vulnérabilités, l’objectif principal de la gestion des vulnérabilités est de renforcer la sécurité de l’infrastructure et de fournir une réponse d’urgence à certaines menaces très dangereuses. Trouver une faille dans un système est à moitié la bataille, mais il faut la corriger pour que les acteurs de la menace ne puissent pas l’exploiter comme point d’entrée. Les méthodes d’évaluation des vulnérabilités et de priorisation des problèmes détectés en fonction de l’infrastructure du client sont tout aussi importantes. Les scanners ne le font pas.

La gestion des vulnérabilités est, en substance, un complément au processus de scan qui évalue, priorise et remédie aux vulnérabilités détectées. Les besoins des clients changent, alors que l’objectif principal consistait à découvrir une vulnérabilité, il s’agit maintenant de trouver des moyens pour résoudre le problème.

En ce qui concerne les modèles de licence utilisés par les systèmes de gestion des vulnérabilités, ils sont généralement basés sur le nombre d’adresses IP protégées. Cela n’a pas d’importance où elles se trouvent ou combien d’installations le client nécessite. Le coût d’un outil de scan de vulnérabilités, en revanche, dépend du nombre d’installations et des paramètres de scan, tels que le nombre d’hôtes.

En outre, il existe différents types d’installations, certains fournisseurs offrant une utilisation illimitée de leurs systèmes. Le prix peut également être influencé par l’ensemble des fonctionnalités, dont certaines sont disponibles en tant que fonctionnalités payantes.

Critères pour choisir un système de gestion des vulnérabilités

Les caractéristiques les plus importantes incluent la taille de l’organisation, le nombre de ses succursales situées dans différents fuseaux horaires, ainsi que la localisation du produit, qui est la capacité à détecter les vulnérabilités spécifiques à une région ou à une industrie.

Un facteur intéressant concerne la manière dont les départements InfoSec et IT de l’entreprise peuvent négocier les fonctionnalités nécessaires de la solution. Les spécialistes InfoSec donnent généralement la priorité à la détection des vulnérabilités, tandis que les équipes IT se concentrent principalement sur le déploiement des correctifs. Par conséquent, le chevauchement de ces deux domaines définira les paramètres du système.

Il est également utile de regarder l’exhaustivité et la fréquence des mises à jour, ainsi que les systèmes d’exploitation pris en charge par le scanner. Le système de gestion des vulnérabilités idéal devrait également s’adapter au contexte de l’industrie que représente l’organisation et des applications qu’elle utilise actuellement.

Au stade de la signature du contrat, le fournisseur peut rassurer le client de sa volonté d’ajouter de nouveaux produits et fonctionnalités à l’avenir. Malheureusement, certains fournisseurs ne tiennent pas toujours ces promesses. Par conséquent, il est préférable de se concentrer sur les fonctionnalités déjà disponibles de la solution.

Une fonctionnalité utile de tout système de gestion des vulnérabilités est la capacité d’enrichir votre propre base de données de vulnérabilités avec des informations provenant de sources tierces. Il est également excellent si la solution peut fournir un exemple d’exploit qui profite d’une vulnérabilité spécifique.

La plupart des clients sont confrontés à un dilemme classique : utiliser un scanner gratuit ou acheter une solution commerciale dès le départ. Maintenir une base de données de vulnérabilités à jour est un processus fastidieux et coûteux. Par conséquent, dans le cas d’un produit gratuit, l’équipe de développement peut devoir donner la priorité à d’autres domaines de son activité à la recherche de sources de revenus alternatives, ce qui explique pourquoi ces scanners ont certaines limitations.

Outils sous la gestion des vulnérabilités

L’ensemble de solutions nécessaires pour organiser le processus de gestion des vulnérabilités au sein d’une entreprise peut inclure :

  •       Différents instruments pour collecter des informations sur les vulnérabilités, tels que des scanners, des outils de traitement de données provenant de sources tierces et des référentiels d’informations obtenues de manière indépendante par les spécialistes InfoSec.
  •       Outils de priorisation des vulnérabilités qui définissent les scores CVSS et évaluent la valeur de l’actif potentiellement affecté par la faille.
  •       Outils d’interaction avec des bases de données externes.
  •       Systèmes qui gèrent une vulnérabilité dans le contexte de l’organisation, de son infrastructure et de la surface d’attaque mondiale.

Gestion des actifs et correctifs automatiques

Le processus de gestion des actifs doit avoir un degré d’automatisation maximum, couvrir l’ensemble de l’infrastructure de l’organisation et avoir lieu à intervalles réguliers. Il est impossible de prioriser les vulnérabilités à moins que ces conditions soient remplies. De plus, il est impossible de contrôler l’infrastructure IT de l’organisation sans savoir exactement ce qu’elle comprend. Par conséquent, la gestion des actifs est une partie extrêmement importante de la gestion des vulnérabilités.

La principale condition préalable à l’automatisation du processus de gestion des correctifs est d’attribuer un identifiant spécifique à chaque signature de vulnérabilité et de s’assurer que la prochaine mise à jour la corrige. Il s’agit d’un flux de travail complexe avec de nombreux pièges. Les conséquences de la omission d’une seule mise à jour peuvent être désastreuses, donc le déploiement des correctifs doit être orchestré de la manière la plus efficace possible.

Il est également important d’ajuster les correctifs automatiques à un domaine d’application spécifique. Pour les postes de travail, il est acceptable de restreindre les mises à jour au système d’exploitation et aux logiciels de base tels que les navigateurs et les applications de bureau. Dans le cas des serveurs, les choses sont plus compliquées car il y a beaucoup en jeu et une mise à jour défectueuse peut affecter la disponibilité des ressources IT critiques pour l’entreprise.

Lorsqu’il s’agit de surveiller l’infrastructure d’entreprise, la plupart des entreprises préfèrent le scan au lieu de l’installation d’agents sur les points de terminaison, car ils deviennent souvent des points d’entrée pour les logiciels malveillants. Cependant, si l’hôte ne peut pas être atteint d’une autre manière, vous devez utiliser des applications de collecte de données.

Comme mentionné précédemment, l’interaction transparente entre les départements InfoSec et IT fait une différence. Les deux équipes doivent convenir de politiques qui spécifient qui est responsable de l’installation des mises à jour pour certaines ressources et à quelle fréquence cela se produira. En substance, le processus de gestion des vulnérabilités devrait se résumer à la surveillance de la conformité avec ces accords et à l’installation de correctifs urgents.

Quel est l’avenir de la gestion des vulnérabilités ?

À ce stade, il existe une tendance distincte vers l’automatisation accrue de la surveillance des actifs et du déploiement des correctifs. Alors que les infrastructures d’entreprise continuent de migrer vers le cloud, il est dans le domaine du possible que le processus de scan de vulnérabilités soit réduit à la vérification des paramètres de sécurité du cloud. Un autre vecteur d’évolution se résume à l’amélioration des systèmes d’évaluation des vulnérabilités. Les outils de priorisation des vulnérabilités incluront davantage de données, en particulier concernant les vulnérabilités les plus « exploitables ».

Il y a également une bonne chance que ces systèmes passent à une logique tout-en-un dans les prochaines années, où une seule solution fournira un spectre complet d’instruments de gestion InfoSec. L’émergence d’une plate-forme globale qui inclut des capacités de gestion des vulnérabilités, de gestion des actifs et de gestion des risques, ainsi que d’autres fonctionnalités de protection, est tout à fait probable. Peut-être qu’il y aura une console de gestion des vulnérabilités unique pour tous les éléments de l’infrastructure numérique – d’un serveur ou d’une imprimante à un conteneur sur un hôte dédié.

Related Topics:
mm

David Balaban est un chercheur en sécurité informatique avec plus de 17 ans d'expérience dans l'analyse des logiciels malveillants et l'évaluation des logiciels antivirus. David dirige les projets MacSecurity.net et Privacy-PC.com qui présentent des opinions d'experts sur les questions de sécurité de l'information contemporaines, notamment l'ingénierie sociale, les logiciels malveillants, les tests de pénétration, l'intelligence des menaces, la vie privée en ligne et le piratage de chapeau blanc. David a une solide expérience de dépannage des logiciels malveillants, avec une récente concentration sur les contre-mesures contre les rançongiciels.