Gestion des vulnérabilités, les fondamentaux : ce qu'il faut savoir

Dans ce premier des cinq actes de notre série sur les principes de base de la gestion des vulnérabilités, nous explorons les quatre étapes du cycle de vie de la Cyber Exposure. 

La vérité se trouve toujours dans la simplicité et non dans la multiplicité et la confusion des choses.

— Sir Isaac Newton

Chez Tenable, nous innovons en développant la discipline de la Cyber Exposure afin d'aider les équipes de cyber-sécurité à mesurer et à gérer leur cyber-risque. La Cyber Exposure est essentielle pour rendre compte des cyber-risques aux décideurs de l'entreprise et garantir que la cyber-sécurité est prise en compte dans les décisions stratégiques en tant que variable clé. 

Mais pour cela, vous avez besoin d'un programme de gestion des vulnérabilités solide. La Cyber Exposure ne peut pas être efficace si les bases de la gestion des vulnérabilités ne sont pas en place. Le monde d'aujourd'hui pullule de menaces de sécurité, de nouveaux outils tous plus innovants les uns que les autres et de réglementations toujours plus strictes. Il est facile de perdre de vue les principes de base de la sécurité : réduire le cyber-risque en identifiant et en corrigeant les vulnérabilités de vos assets les plus importants. La gestion des vulnérabilités est un processus en quatre étapes : identification et classification de tous les assets de votre surface d'attaque, évaluation des assets dans le but de découvrir des failles de sécurité, priorisation des problèmes de sécurité et application des mesures de remédiation appropriées. 

En se penchant sur le cycle de vie de la Cyber Exposure, il apparaît évident que la gestion des vulnérabilités revêt une grande importance pour la Cyber Exposure. En effet, elle aide les entreprises à découvrir, évaluer, analyser et corriger les expositions sur toute la surface d'attaque. Dans cette série de cinq articles, nous examinerons les différentes étapes de ce cycle pour vous montrer comment les principes de base de la gestion des vulnérabilités peuvent vous aider à réduire le cyber-risque. Commençons par une présentation générale. 

1. Découvrir : découverte et classification des assets

Comme le dit cet adage bien connu dans le secteur de la sécurité, « vous ne pouvez pas protéger ce que vous ne pouvez pas voir ». La gestion d'un inventaire complet et constamment mis à jour des assets est un composant fondamental de la gestion des vulnérabilités. Face à la complexité des environnements IT d'aujourd'hui, qui mêlent à la fois des infrastructures sur site et dans le cloud, des appareils mobiles, des assets éphémères et transitoires, des applications web, des appareils IoT, maintenir un inventaire complet et à jour des assets est un vrai casse-tête. Tout commence par un processus complet de découverte et de classification des assets, en fonction de l'impact sur l'entreprise et du risque. Gardez à l'esprit que votre infrastructure est en constante évolution. La découverte et la classification des assets doivent donc être exécutées en continu.

Pour en savoir plus : assistez à notre prochain webinaire, « Comment maîtriser les principes de base de la gestion des vulnérabilités, partie 1 : découverte et classification des assets », qui se tiendra le 31 juillet 2019 à 14 h UTC-5, pour des conseils pratiques sur ce sujet.

2. Évaluer : évaluation complète et continue des vulnérabilités

Une fois que vous disposez d'un inventaire complet des assets, il est temps d'évaluer les vulnérabilités qu'ils recèlent, afin d'avoir une image claire de votre surface d'attaque et de votre niveau de risque. Il est important de trouver le bon équilibre entre ampleur et fréquence lorsque vous mettez en place des évaluations de vulnérabilités, car il n'est pas possible de satisfaire ces deux critères dans tous les cas de figure. Une évaluation approfondie, impliquant des scans authentifiés et avec agent, fournit des données de vulnérabilité très détaillées, mais peut prendre beaucoup de temps et user les ressources des assets. Une évaluation fréquente et de grande ampleur peut également être gênée par les opérations de l'entreprise. Comme pour les autres activités de sécurité, vous devez trouver le bon équilibre entre sécurité et besoins de l'entreprise, et tirer parti aussi bien des changements de processus que des outils disponibles pour atteindre vos objectifs d'évaluation. 

3 Analyser : analyse et priorisation des vulnérabilités

À ce stade, vous allez vous heurter à une difficulté commune à tous les programmes de gestion des vulnérabilités et de sécurité : la surabondance de données. L'évaluation des vulnérabilités vous rend compte d'un grand nombre de vulnérabilités de sévérité critique et élevée, et vous ne pourrez vraisemblablement pas toutes les corriger dans un délai raisonnable. Alors, comment pouvez-vous savoir quelles sont les vulnérabilités à corriger en priorité ? En vous concentrant sur les vulnérabilités et les assets les plus susceptibles d'être exploités. Le but n'est pas d'ignorer le reste des vulnérabilités et des assets, mais plutôt de prioriser les vulnérabilités à corriger en fonction de l'impact et du risque pour l'entreprise.

4 Corriger : remédiation et validation des vulnérabilités

La remédiation des vulnérabilités et la vérification des résultats constituent la dernière étape du cycle de vie de la gestion des vulnérabilités. De nombreuses fuites de données sont causées par des vulnérabilités bien connues qui n'ont pas été corrigées à temps. Mais comme pour les autres étapes, l'application de mises à jour correctives pose ses propres défis. Il est difficile d'obtenir des informations précises sur les correctifs à appliquer de sorte à réduire le risque au maximum. Identifier les propriétaires des assets et les convaincre de donner la priorité à la correction des vulnérabilités par rapport à d'autres activités métier n'est pas non plus une tâche aisée. Qui plus est, le cycle de patch prend du temps et peut entraîner des interruptions d'activité pour certains assets. Il vous faudra peut-être avoir recours à d'autres systèmes de sécurité pour protéger les assets pendant le cycle de patch. Enfin, vous devez vous assurer que la vulnérabilité a bien été corrigée et que le risque pour l'entreprise a bien été réduit.

N'oubliez pas que la gestion des vulnérabilités est un processus en continu. Les étapes du cycle de la gestion des vulnérabilités décrites dans cet article doivent être répétées continuellement pour que vos pratiques de Cyber Exposure soient efficaces. Nous publierons d'autres articles dans lesquels nous approfondirons chaque étape du cycle : ouvrez l'œil !