Comment le paysage actuel des menaces a-t-il évolué, faisant peser une pression insupportable sur les équipes de sécurité ? Quelles sont aujourd’hui les meilleures pratiques dans la gestion des vulnérabilités ? Comment l’IA, combinée à l’intelligence humaine, permet de l’adapter et de la faire évoluer ?

Pourquoi une nouvelle approche de la gestion des vulnérabilités est-elle nécessaire ?

Le nombre de vulnérabilités signalées et exploitables ne cesse d’augmenter. Au premier trimestre 2022, 8000 nouvelles vulnérabilités ont été confirmées. Au vu des multiples entreprises qui utilisent des services cloud, les chercheurs et les acteurs de la menace se sont intéressés à l’identification des vulnérabilités du cloud. Selon IBM, le cycle de vie moyen d’une fuite de données est de 287 jours. Or, aujourd’hui, un grand nombre d’applications modernes et de services cloud ne sont pas configurés dans une optique de sécurité.
Compte tenu de la hausse du nombre de vulnérabilités découvertes et de leur sophistication, une nouvelle approche de l’évaluation et de l’atténuation des vulnérabilités dans les organisations s’impose.

Quels sont les défauts de la gestion des vulnérabilités d’aujourd’hui ?
Par le passé, nombre d’entreprises se sont appuyées sur des solutions traditionnelles de gestion des menaces afin d’identifier les vulnérabilités et les erreurs de configurations potentielles. L’équipe de sécurité devait ensuite traiter manuellement la liste souvent longue des mesures d’atténuation requises. Dans la pratique, les nombreuses mesures d’atténuation identifiées n’étaient pas appliquées en raison d’un manque de ressources ou de la complexité des changements requis. Il apparaît donc nécessaire de mettre en place une nouvelle approche pour aborder les risques liés aux vulnérabilités. Elle doit permettre aux exploitants de se concentrer sur le plus critique et de définir des priorités, l’intelligence artificielle se chargeant de reconnaître les actifs en temps réel, de détecter les vulnérabilités, d’évaluer les risques et d’y remédier automatiquement.

Les bonnes pratiques en matière de gestion des vulnérabilités

1. Avoir, en temps réel, une visibilité de sa surface exposée
Les actifs non gérés tels que les terminaux, les appareils mobiles, les dispositifs IoT et les applications SaaS (Software-as-a-Service) représentent un risque important pour les entreprises. Une étude de DoControl a révélé que jusqu’à 40 % des accès aux données SaaS ne sont pas maitrisés. Au vu de ces chiffres, pour qu’une entreprise puisse identifier l’ensemble de sa surface d’attaque, il est primordial de commencer par localiser tous ses actifs. Pour faciliter cette tâche, les solutions de gestion des vulnérabilités doivent pouvoir combiner des fonctions de reconnaissance des actifs en utilisant les équipements déjà protégés comme des balises pour repérer ceux qui seraient exposés.

2. Effectuer une évaluation continue des vulnérabilités
Compte tenu du volume considérable de vulnérabilités, l’approche traditionnelle consistant à faire appel à un consultant tiers et à lui confier une évaluation périodique des risques est devenue obsolète. Aujourd’hui, la technologie permet d’effectuer une détection et une analyse des vulnérabilités en continu et en temps réel. Les solutions modernes de gestion des vulnérabilités utilisent la puissance de traitement du cloud et l’intelligence artificielle (IA) pour simuler fréquemment les opérations que les solutions d’évaluation des risques traditionnelles, périodiques et manuelles font elles, en temps réel.

3. Comprendre ses risques et son exposition
Toutes les vulnérabilités n’ont pas la même criticité. Il est primordial de discerner les différents types de vulnérabilités :
• Les logiciels non corrigés sont souvent la première chose qui vient à l’esprit quand une gestion des vulnérabilités est envisagée. Les cybercriminels peuvent les utiliser pour s’introduire dans un environnement ou dérober des données sensibles.
• Les cybercriminels s’appuient sur des protocoles d’autorisation et des politiques de mots de passe faibles pour s’introduire par force brute dans un environnement. C’est pourquoi il est crucial d’adopter des méthodes d’authentification modernes, l’accès conditionnel et l’authentification multifactorielle (MFA).
• Le système d’exploitation, les applications utilisateurs ou les services cloud peuvent tous être exposés en raison de mauvaises configurations. Selon le rapport 2022 Cloud Security de Check Point, 27 % des entreprises ont subi un incident de sécurité de leur infrastructure de cloud public, et 23 % d’entre eux étaient imputables à une mauvaise configuration du cloud.
• Lorsque de nouvelles vulnérabilités de type « zero day » sont découvertes, on observe souvent une augmentation des campagnes à grande échelle menées par les acteurs des menaces. Il s’agit par exemple de campagnes mondiales comme WannaCry, NotPetya, Kaseya ou SolarWinds.

4. Utiliser la gestion de la posture de sécurité
Après avoir identifié le risque et l’exposition aux vulnérabilités, l’étape suivante consiste à déterminer comment une entreprise peut réduire le risque auquel elle est exposée. Pour trouver une solution, il est essentiel d’établir une corrélation entre le problème confirmé et l’état actuel de la configuration de l’actif impacté. Ces données permettront à l’entreprise de déterminer la meilleure stratégie. Les solutions modernes de gestion des vulnérabilités s’appuient sur ce type de capacité qui permet d’améliorer sa posture de sécurité.

5. Adopter une hiérarchisation automatique des tâches
Il y aura toujours des vulnérabilités, il est donc nécessaire de hiérarchiser les tâches en s’appuyant sur une compréhension claire du risque exposé. La technologie permet d’identifier les vulnérabilités, de fournir des recommandations de remédiation et, dans une certaine mesure, de hiérarchiser automatiquement les tâches en fonction de l’impact possible. Toutefois, les équipes de sécurité connaissent mieux que quiconque leur environnement et jouent un rôle essentiel dans la hiérarchisation des tâches requises.

6. Utiliser des groupes pilotes pour tester la remédiation
L’un des plus grands défis de la gestion des vulnérabilités est souvent la remédiation. Pourtant, les entreprises rechignent souvent à apporter ces modifications, par crainte d’endommager les processus et les systèmes opérationnels existants. Par conséquent, l’activité de remédiation doit de préférence cibler d’abord des groupes pilotes définis avant d’être déployée dans l’ensemble du parc.

7. Mettre en œuvre de la remédiation automatique
Lorsque la remédiation mise en œuvre dans un groupe pilote a obtenu l’assentiment des équipes informatiques et de sécurité, il est alors temps de la déployer progressivement dans l’ensemble du parc numérique. À ce stade, le risque d’interruption des processus et systèmes opérationnels devrait être minime.

Il y aura toujours des vulnérabilités, le paysage des menaces continuera d’évoluer et la surface d’attaque de s’agrandir. Nous sommes à un moment charnière où nous devons envisager de moderniser notre approche de la gestion des vulnérabilités. L’époque des évaluations de risques périodiques, manuelles et cloisonnées n’est plus ni efficace, ni évolutive. Tout comme nous sommes passés des solutions de sécurité traditionnelles basées sur les signatures à des méthodologies de détection et de réponse basées sur le comportement, nous devons maintenant moderniser notre approche de la gestion des vulnérabilités.