Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le CLUSIF publie son livrable sur : La gestion des vulnérabilités informatiques

juillet 2014 par CLUSIF

Les vulnérabilités sont des faiblesses ou failles techniques d’un composant ou d’un groupe de composants informatiques (systèmes, équipements réseaux, pare-feux, bases de données, applications Web, etc.), qui, si exploitées, peuvent porter préjudice à l’organisation. Face à l’évolution croissante des attaques, le CLUSIF a créé, l’été dernier, un groupe de travail dédié à la gestion des vulnérabilités.

Suite aux travaux menés, le groupe dévoile ce jour son guide pratique intitulé « Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques ».

Ce nouveau document fournit ainsi aux RSSI des éléments d’accompagnement et de sensibilisation à la gestion des vulnérabilités auprès des DSI, Risk Managers et Dirigeants de leur organisation (grands groupes, administrations publiques, PME.) Il cible plus précisément les vulnérabilités informatiques (logicielles ou de configuration) et non les vulnérabilités organisationnelles, de processus, comportementales, etc., ni les vulnérabilités matérielles (pouvant compromettre la sécurité physique).

Aujourd’hui, la gestion des vulnérabilités est une mesure de sécurité mise en œuvre dans tous les grands référentiels, standards, régulations sectorielles ou bonnes pratiques du marché, comme la famille des normes ISO 27000, les accords de Bâle, le standard PCI-DSS, les standards ETSI ISI, ou encore les « 20 Critical Controls » du SANS Institute et du Conseil de la Cybersécurité.

La gestion des vulnérabilités est devenue également réglementaire, par exemple, pour les Opérateurs d’Importance Vitale (OIV) et leurs prestataires. A ce titre, la Loi relative à la Programmation Militaire (LPM) leur impose la mise en place de systèmes de détection d’évènements pouvant affecter la sécurité de leurs systèmes d’information, et de manière implicite la détection et le traitement des vulnérabilités.

Malgré ces nombreuses références et la pression réglementaire croissante, un grand nombre d’organisations gère leurs vulnérabilités informatiques au rythme de l’évolution de leur système d’information, souvent sur un cycle de plusieurs années.

Cependant, elles s’accordent sur le caractère fondamental de la détection d’évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. Un processus indispensable permettant d’évaluer en continu et « en temps réel » le niveau de sécurité de l’organisation et de décider des actions prioritaires à conduire.

Contrairement aux menaces qui sont difficiles à contrôler, et aux incidents pour lesquels seules les conséquences peuvent être limitées, il est important de garder à l’esprit qu’il est possible d’agir sur les vulnérabilités car elles sont intrinsèques à une organisation.

« L’ensemble de ces éléments ont motivé la rédaction du présent document qui a pour objet de rappeler la valeur et le caractère stratégique de la gestion des vulnérabilités au sein d’une organisation afin d’obtenir une adhésion et un support au plus haut niveau, et de donner les moyens au RSSI de lancer un tel programme et de mettre en place une structure opérationnelle » précise François Gratiolet, responsable du groupe de travail Gestion des vulnérabilités.

Pour télécharger librement ce livrable : http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=DOSSIERS+TECHNIQUES


Voir les articles précédents

    

Voir les articles suivants