Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Rechercher Ressource - BlogRessource - WebinaireRessource - RapportRessource - Événementicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner
  • Twitter
  • Facebook
  • LinkedIn

Principes de base de la gestion des vulnérabilités : ce qu'il faut savoir

Principes de base de la gestion des vulnérabilités : ce qu'il faut savoir

Dans ce premier des cinq actes de notre série sur les principes de base de la gestion des vulnérabilités, nous explorons les quatre étapes du cycle de vie de la Cyber Exposure. 

La vérité se trouve toujours dans la simplicité et non dans la multiplicité et la confusion des choses.

— Sir Isaac Newton

Chez Tenable, nous innovons en développant la discipline de la Cyber Exposure afin d'aider les équipes de cyber-sécurité à mesurer et à gérer leur cyber-risque. La Cyber Exposure est essentielle pour rendre compte des cyber-risques aux décideurs de l'entreprise et garantir que la cyber-sécurité est prise en compte dans les décisions stratégiques en tant que variable clé. 

Mais pour cela, vous avez besoin d'un programme de gestion des vulnérabilités solide. La Cyber Exposure ne peut pas être efficace si les bases de la gestion des vulnérabilités ne sont pas en place. Le monde d'aujourd'hui pullule de menaces de sécurité, de nouveaux outils tous plus innovants les uns que les autres et de réglementations toujours plus strictes. Il est facile de perdre de vue les principes de base de la sécurité : réduire le cyber-risque en identifiant et en corrigeant les vulnérabilités de vos assets les plus importants. La gestion des vulnérabilités est un processus en quatre étapes : identification et classification de tous les assets de votre surface d'attaque, évaluation des assets dans le but de découvrir des failles de sécurité, priorisation des problèmes de sécurité et application des mesures de remédiation appropriées. 

En se penchant sur le cycle de vie de la Cyber Exposure, il apparaît évident que la gestion des vulnérabilités revêt une grande importance pour la Cyber Exposure. En effet, elle aide les entreprises à découvrir, évaluer, analyser et corriger les expositions sur toute la surface d'attaque. Dans cette série de cinq articles, nous examinerons les différentes étapes de ce cycle pour vous montrer comment les principes de base de la gestion des vulnérabilités peuvent vous aider à réduire le cyber-risque. Commençons par une présentation générale. 

Principes de base de la gestion des vulnérabilités : ce qu'il faut savoir

1. Découvrir : découverte et classification des assets

Comme le dit cet adage bien connu dans le secteur de la sécurité, « vous ne pouvez pas protéger ce que vous ne pouvez pas voir ». La gestion d'un inventaire complet et constamment mis à jour des assets est un composant fondamental de la gestion des vulnérabilités. Face à la complexité des environnements IT d'aujourd'hui, qui mêlent à la fois des infrastructures sur site et dans le cloud, des appareils mobiles, des assets éphémères et transitoires, des applications web, des appareils IoT, maintenir un inventaire complet et à jour des assets est un vrai casse-tête. Tout commence par un processus complet de découverte et de classification des assets, en fonction de l'impact sur l'entreprise et du risque. Gardez à l'esprit que votre infrastructure est en constante évolution. La découverte et la classification des assets doivent donc être exécutées en continu.

Pour en savoir plus : assistez à notre prochain webinaire, « Comment maîtriser les principes de base de la gestion des vulnérabilités, partie 1 : découverte et classification des assets », qui se tiendra le 31 juillet 2019 à 14 h UTC-5, pour des conseils pratiques sur ce sujet.

2. Évaluer : évaluation complète et continue des vulnérabilités

Une fois que vous disposez d'un inventaire complet des assets, il est temps d'évaluer les vulnérabilités qu'ils recèlent, afin d'avoir une image claire de votre surface d'attaque et de votre niveau de risque. Il est important de trouver le bon équilibre entre ampleur et fréquence lorsque vous mettez en place des évaluations de vulnérabilités, car il n'est pas possible de satisfaire ces deux critères dans tous les cas de figure. Une évaluation approfondie, impliquant des scans authentifiés et avec agent, fournit des données de vulnérabilité très détaillées, mais peut prendre beaucoup de temps et user les ressources des assets. Une évaluation fréquente et de grande ampleur peut également être gênée par les opérations de l'entreprise. Comme pour les autres activités de sécurité, vous devez trouver le bon équilibre entre sécurité et besoins de l'entreprise, et tirer parti aussi bien des changements de processus que des outils disponibles pour atteindre vos objectifs d'évaluation. 

3 Analyser : analyse et priorisation des vulnérabilités

À ce stade, vous allez vous heurter à une difficulté commune à tous les programmes de gestion des vulnérabilités et de sécurité : la surabondance de données. L'évaluation des vulnérabilités vous rend compte d'un grand nombre de vulnérabilités de sévérité critique et élevée, et vous ne pourrez vraisemblablement pas toutes les corriger dans un délai raisonnable. Alors, comment pouvez-vous savoir quelles sont les vulnérabilités à corriger en priorité ? En vous concentrant sur les vulnérabilités et les assets les plus susceptibles d'être exploités. Le but n'est pas d'ignorer le reste des vulnérabilités et des assets, mais plutôt de prioriser les vulnérabilités à corriger en fonction de l'impact et du risque pour l'entreprise.

4 Corriger : remédiation et validation des vulnérabilités

La remédiation des vulnérabilités et la vérification des résultats constituent la dernière étape du cycle de vie de la gestion des vulnérabilités. De nombreuses fuites de données sont causées par des vulnérabilités bien connues qui n'ont pas été corrigées à temps. Mais comme pour les autres étapes, l'application de mises à jour correctives pose ses propres défis. Il est difficile d'obtenir des informations précises sur les correctifs à appliquer de sorte à réduire le risque au maximum. Identifier les propriétaires des assets et les convaincre de donner la priorité à la correction des vulnérabilités par rapport à d'autres activités métier n'est pas non plus une tâche aisée. Qui plus est, le cycle de patch prend du temps et peut entraîner des interruptions d'activité pour certains assets. Il vous faudra peut-être avoir recours à d'autres systèmes de sécurité pour protéger les assets pendant le cycle de patch. Enfin, vous devez vous assurer que la vulnérabilité a bien été corrigée et que le risque pour l'entreprise a bien été réduit.

N'oubliez pas que la gestion des vulnérabilités est un processus en continu. Les étapes du cycle de la gestion des vulnérabilités décrites dans cet article doivent être répétées continuellement pour que vos pratiques de Cyber Exposure soient efficaces. Nous publierons d'autres articles dans lesquels nous approfondirons chaque étape du cycle : ouvrez l'œil ! 

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

Essayer gratuitement Acheter dès maintenant
Tenable.io ESSAI GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Abonnez-vous dès maintenant.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant
Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24, 7 j/7 à une assistance par téléphone, via la communauté et via le chat. Cliquez ici pour plus d'informations.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer gratuitement Contacter le service commercial

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.