Si le RSSI s’intéresse d’abord aux vulnérabilités du système d’information de l’organisation, il doit aujourd’hui, compte tenu de l’importance des attaques cyber, élaborer une stratégie de gestion des risques et la faire partager au COMEX de l’entreprise qui pourra allouer les moyens nécessaires. Le métier du RSSI est donc en train de changer et glisse du « tactique » au « stratégique ».

Comment doit évoluer la gestion des vulnérabilités (du point de vue des fournisseurs de solution) ?

Pour Guillaume Vassault-Houlière , une approche nouvelle de la gestion des vulnérabilités doit être diversifiée c’est-à-dire utiliser plusieurs outils et s’adapter en temps réel aux évolutions de la menace et des périmètres exposés. On peut citer les scanners de vulnérabilités, les audits de conformité, les bug bountys… L’agilité est donc essentielle. Les informations sur les vulnérabilités doivent être partagées sur des plateformes et organisées en données structurées, exploitables rapidement par des SOCs. L’analyse des vulnérabilités peut être réalisée en continu et en automatique. Le partage et l’exploitation des résultats permettent d’améliorer les outils et les systèmes de défense, et finalement de mieux maitriser ses risques.

Selon Thibaut Signat, il est nécessaire de faire évoluer le modèle de gestion des vulnérabilités. Il est important d’analyser l’exposition au risque cyber (la « cyber exposure »). Traditionnellement, l’analyse de vulnérabilités est réalisée sur un périmètre réduit d’actifs et produit des rapports volumineux sur les failles du SI. Le nombre de vulnérabilités a triplé depuis 2017, et 50% de ces vulnérabilités sont considérés comme critiques selon le score CVSS. Il est donc clair que l’on ne pourra pas traiter toutes ces vulnérabilités faute de ressources alors même que le périmètre analysé est réduit.

De plus Thibaut Signatestime qu’il faut changer l’approche : le périmètre de l’analyse doit être global, inclure les actifs fixe (postes, serveurs..) , les postes nomades, les environnement cloud et les actifs industriels tels les automates utilisés dans la logistique, le transport, l’énergie…
L’évaluation doit être dynamique car la menace est évolutive : la vulnérabilité peut ou non avoir déjà été exploitée, si oui depuis quand ? souvent ? si non, est-elle souvent mentionnée sur les réseaux des hackers ? va-t-elle être exploitée ?.... Grâce à une « threat intelligence », on peut donc déterminer une criticité prédictive efficace d’une vulnérabilité qui évolue au cours du temps. On note que seules 20% des vulnérabilités critiques disposent d’un exploit et que 2% d’entre elles seulement utilisent des moyens sophistiqués.
On peut réduire ainsi à 5% le nombre vulnérabilités dite critiques du modèle CVSS à traiter.

Par ailleurs, deux postes identiques utilisés à des fins opérationnelles différentes peuvent présenter une criticité « business » différente. Il faut donc évaluer la criticité opérationnelle de chaque actif. En croisant, le score technique dynamique de chaque actif et sa criticité business, on obtient sa criticité globale. Ceci permet de prioritiser les remédiations des vulnérabilités et de maximiser l’impact de ressources utilisées pour les corrections : corriger les vulnérabilités techniques les plus critiques sur le parc le plus critique pour l’activité de l’entreprise.

Comment présenter l’approche Cybersécurité au COMEX ?

Thibaut Signat considère que le RSSI doit pouvoir adresser des questions simples posées au niveau COMEX en des termes non techniques . Par exemple :
« Sommes-nous en sécurité ? » malheureusement il n’y a pas de sécurité absolue
« Quel est le ROI d’un investissement de cyber sécurité ? » il s’agit de montrer les progrès en termes de sécurité du systèmes d’information grâce aux investissement réalisés alors que simultanément l’exposition et la menace augmentent.
« Sommes-nous aussi bien sécurisés que nos concurrents, nos partenaires, fournisseurs ou clients » ? Il est complexe d’obtenir ce type d’information sans intelligence extérieure.

Afin d’aider le RSSI, Tenable propose sur sa « Cyber exposure plateform » des indicateurs dédiées aux cadres dirigeants en collectant des informations de ses clients, telles que la profondeur et le taux de couverture des analyse de risque, la performance de la remédiation… Ces indicateurs peuvent être comparés à la pratique dans le secteur d’activité de l’entreprise.

Selon le RSSI d’un groupe bancaire, il faut être en capacité de gérer les différents types d’actifs de l’entreprise dans leur diversité. Il faut donc combiner les outils (scan, pentest, bug bounty…) avec discernement pour évaluer les vulnérabilités de façon unitaire. A partir de cette analyse, une vision consolidée des vulnérabilités est établie ce qui permet de construire des scénarios de risque pour une présentation au COMEX. La sémantique doit être adaptée au langage bancaire et utiliser des KPI. Les risques SSI sont donc présentés au même titre que les risques financiers. Au-delà de la remédiation, il faut faire accepter au COMEX que le risque Zéro n’existe pas en matière de cyber et qu’il y aura des incidents. Il est indispensable alors de préparer les réponses à incidents.