Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Gestion des vulnérabilités, les fondamentaux : ce qu'il faut savoir

Vikas Phonsa
Vikas Phonsa | Actualités et vues
18 juillet 2019 | Temps de lecture : 4 minutes

Dans ce premier des cinq actes de notre série sur les principes de base de la gestion des vulnérabilités, nous explorons les quatre étapes du cycle de vie de la Cyber Exposure. 

La vérité se trouve toujours dans la simplicité et non dans la multiplicité et la confusion des choses.

— Sir Isaac Newton

Chez Tenable, nous innovons en développant la discipline de la Cyber Exposure afin d'aider les équipes de cyber-sécurité à mesurer et à gérer leur cyber-risque. La Cyber Exposure est essentielle pour rendre compte des cyber-risques aux décideurs de l'entreprise et garantir que la cyber-sécurité est prise en compte dans les décisions stratégiques en tant que variable clé. 

Mais pour cela, vous avez besoin d'un programme de gestion des vulnérabilités solide. La Cyber Exposure ne peut pas être efficace si les bases de la gestion des vulnérabilités ne sont pas en place. Le monde d'aujourd'hui pullule de menaces de sécurité, de nouveaux outils tous plus innovants les uns que les autres et de réglementations toujours plus strictes. Il est facile de perdre de vue les principes de base de la sécurité : réduire le cyber-risque en identifiant et en corrigeant les vulnérabilités de vos assets les plus importants. La gestion des vulnérabilités est un processus en quatre étapes : identification et classification de tous les assets de votre surface d'attaque, évaluation des assets dans le but de découvrir des failles de sécurité, priorisation des problèmes de sécurité et application des mesures de remédiation appropriées. 

En se penchant sur le cycle de vie de la Cyber Exposure, il apparaît évident que la gestion des vulnérabilités revêt une grande importance pour la Cyber Exposure. En effet, elle aide les entreprises à découvrir, évaluer, analyser et corriger les expositions sur toute la surface d'attaque. Dans cette série de cinq articles, nous examinerons les différentes étapes de ce cycle pour vous montrer comment les principes de base de la gestion des vulnérabilités peuvent vous aider à réduire le cyber-risque. Commençons par une présentation générale. 

Principes de base de la gestion des vulnérabilités : ce qu'il faut savoir

1. Découvrir : découverte et classification des assets

Comme le dit cet adage bien connu dans le secteur de la sécurité, « vous ne pouvez pas protéger ce que vous ne pouvez pas voir ». La gestion d'un inventaire complet et constamment mis à jour des assets est un composant fondamental de la gestion des vulnérabilités. Face à la complexité des environnements IT d'aujourd'hui, qui mêlent à la fois des infrastructures sur site et dans le cloud, des appareils mobiles, des assets éphémères et transitoires, des applications web, des appareils IoT, maintenir un inventaire complet et à jour des assets est un vrai casse-tête. Tout commence par un processus complet de découverte et de classification des assets, en fonction de l'impact sur l'entreprise et du risque. Gardez à l'esprit que votre infrastructure est en constante évolution. La découverte et la classification des assets doivent donc être exécutées en continu.

Pour en savoir plus : assistez à notre prochain webinaire, « Comment maîtriser les principes de base de la gestion des vulnérabilités, partie 1 : découverte et classification des assets », qui se tiendra le 31 juillet 2019 à 14 h UTC-5, pour des conseils pratiques sur ce sujet.

2. Évaluer : évaluation complète et continue des vulnérabilités

Une fois que vous disposez d'un inventaire complet des assets, il est temps d'évaluer les vulnérabilités qu'ils recèlent, afin d'avoir une image claire de votre surface d'attaque et de votre niveau de risque. Il est important de trouver le bon équilibre entre ampleur et fréquence lorsque vous mettez en place des évaluations de vulnérabilités, car il n'est pas possible de satisfaire ces deux critères dans tous les cas de figure. Une évaluation approfondie, impliquant des scans authentifiés et avec agent, fournit des données de vulnérabilité très détaillées, mais peut prendre beaucoup de temps et user les ressources des assets. Une évaluation fréquente et de grande ampleur peut également être gênée par les opérations de l'entreprise. Comme pour les autres activités de sécurité, vous devez trouver le bon équilibre entre sécurité et besoins de l'entreprise, et tirer parti aussi bien des changements de processus que des outils disponibles pour atteindre vos objectifs d'évaluation. 

3 Analyser : analyse et priorisation des vulnérabilités

À ce stade, vous allez vous heurter à une difficulté commune à tous les programmes de gestion des vulnérabilités et de sécurité : la surabondance de données. L'évaluation des vulnérabilités vous rend compte d'un grand nombre de vulnérabilités de sévérité critique et élevée, et vous ne pourrez vraisemblablement pas toutes les corriger dans un délai raisonnable. Alors, comment pouvez-vous savoir quelles sont les vulnérabilités à corriger en priorité ? En vous concentrant sur les vulnérabilités et les assets les plus susceptibles d'être exploités. Le but n'est pas d'ignorer le reste des vulnérabilités et des assets, mais plutôt de prioriser les vulnérabilités à corriger en fonction de l'impact et du risque pour l'entreprise.

4 Corriger : remédiation et validation des vulnérabilités

La remédiation des vulnérabilités et la vérification des résultats constituent la dernière étape du cycle de vie de la gestion des vulnérabilités. De nombreuses fuites de données sont causées par des vulnérabilités bien connues qui n'ont pas été corrigées à temps. Mais comme pour les autres étapes, l'application de mises à jour correctives pose ses propres défis. Il est difficile d'obtenir des informations précises sur les correctifs à appliquer de sorte à réduire le risque au maximum. Identifier les propriétaires des assets et les convaincre de donner la priorité à la correction des vulnérabilités par rapport à d'autres activités métier n'est pas non plus une tâche aisée. Qui plus est, le cycle de patch prend du temps et peut entraîner des interruptions d'activité pour certains assets. Il vous faudra peut-être avoir recours à d'autres systèmes de sécurité pour protéger les assets pendant le cycle de patch. Enfin, vous devez vous assurer que la vulnérabilité a bien été corrigée et que le risque pour l'entreprise a bien été réduit.

N'oubliez pas que la gestion des vulnérabilités est un processus en continu. Les étapes du cycle de la gestion des vulnérabilités décrites dans cet article doivent être répétées continuellement pour que vos pratiques de Cyber Exposure soient efficaces. Nous publierons d'autres articles dans lesquels nous approfondirons chaque étape du cycle : ouvrez l'œil ! 

Vikas Phonsa

Vikas Phonsa

Vikas Phonsa est responsable produit senior pour les fonctions de gestion des vulnérabilités et des scans de Tenable.io. Il a plus de 15 ans d'expérience dans la gestion de produits, la cyber-sécurité et l'ingénierie logicielle dans plusieurs domaines, notamment le e-commerce, l'assurance, la santé, la sécurité en entreprise et la fourniture de contenu. Avant de rejoindre Tenable, il a été responsable produit chez Qualys, Symantec et Verizon, participant au lancement et à la gestion de plusieurs produits de sécurité cloud.

Articles connexes

Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!

March 10, 2023

Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!

Juan Perez

Juan Perez

The Ransomware Ecosystem: In Pursuit of Fame and Fortune

July 28, 2022

The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.

Satnam Narang

Satnam Narang

Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group

July 20, 2022

Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?

Claire Tills

Claire Tills

CVE-2023-40044, CVE-2023-42657: Progress Software Patches Multiple Vulnerabilities in WS_FTP Server

October 2, 2023

Progress Software patches multiple flaws in its WS_FTP Server product, including a pair of critical flaws, one with a maximum CVSS rating of 10

Satnam Narang

Satnam Narang

Tenable Cyber Watch: DHS Tracks New Ransomware Trends as Attacks Drive Up Cyber Insurance Claims, and more

October 2, 2023

This week’s edition of Tenable Cyber Watch unpacks new ransomware trends spotted by the U.S. Department of Homeland Security and addresses the surge in cyber insurance claims due to ransomware attacks. Also covered: A look into Snatch. Why is CISA warning critical infrastructure organizations about this ransomware?

Jirah Mickle

Jirah Mickle

Cybersecurity Snapshot: CISOs See Budgets Tighten, as Cyberthreats Intensify

September 29, 2023

After double-digit growth in the past two years, cybersecurity budgets expanded more modestly in 2023. Plus, a survey offers an inside look at how organizations are grappling with cyber challenges. In addition, the U.S. and Japan warn about a China-linked group that’s stealthily compromising network devices. And much more!

Juan Perez

Juan Perez

  • Threat intelligence
  • Gestion des menaces
  • Gestion des vulnérabilités
  • Scans des vulnérabilités

Des actualités décisives sur la cyber-sécurité

Saisissez votre adresse e-mail et ne manquez plus aucune alerte ni aucun conseil en matière de sécurité de la part de nos experts Tenable.

Essayer gratuitement Acheter maintenant

Tenable Vulnerability Management

Anciennement Tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Anciennement Tenable.io

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant
Essayer gratuitement Acheter maintenant

Essayer gratuitement Tenable Nessus Professional

GRATUIT PENDANT 7 JOURS

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Tenable Nessus Expert
Maintenant disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Pro.

Acheter Tenable Nessus Professional

Tenable Nessus est aujourd'hui le scanner le plus complet du marché. Tenable Nessus Professional vous permet d'automatiser le processus de scan des vulnérabilités, d'écourter les cycles de mise en conformité et de mieux tirer parti de votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Acheter maintenant
Renouveler une licence existante | Trouver un revendeur | Demander un devis
Essayer gratuitement Acheter maintenant
Tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant
Essayer gratuitement Acheter maintenant

Essayer Tenable Web App Scanning

Anciennement Tenable.io Web Application Scanning

Profitez d'un accès complet à notre dernière offre de scan des applications web conçue pour les applications modernes dans la plateforme de gestion des expositionsTenable One. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre essai de Tenable Web App Scanning inclut également Tenable Vulnerability Management et Tenable Lumin.

Acheter Tenable Web App Scanning

Anciennement Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable Lumin

Visualisez et explorez votre gestion des expositions, suivez la réduction des risques au fil du temps et comparez-la à celle des autres entreprises avec Tenable Lumin.

Votre essai de Tenable Lumin inclut également Tenable Vulnerability Management et Tenable Web App Scanning.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous permettre d'obtenir des informations exploitables sur l'ensemble de votre entreprise et de gérer votre cyber-risque.

Essayer gratuitement Acheter maintenant

Essayer gratuitement Tenable Nessus Expert

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous avez déjà Nessus Professional de Tenable ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation

Acheter maintenant
Renouveler une licence existante | Trouver un revendeur | Demander un devis
Essayer gratuitement Acheter maintenant

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation

Acheter maintenant
Renouveler une licence existante | Trouver un revendeur | Demander un devis