Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les entreprises doivent s’appuyer sur leur écosystème pour gérer les vulnérabilités informatiques

octobre 2020 par Benjamin De Rose, VP Europe du Sud chez DriveLock

La réussite de la transition digitale suppose que les entreprises protègent leur réseau informatique, sensibilisent leurs équipes au cyber risque et sécurisent leurs données sensibles. Plus le réseau s’étend et se complexifie, plus il devient difficile à sécuriser. La plupart des attaques exploitent des vulnérabilités pour prendre le contrôle des systèmes informatiques, voler des informations sensibles et perturber les opérations.

Les vulnérabilités peuvent se trouver dans les composants les systèmes d’exploitation ou dans les applications logicielles, c’est pourquoi il est capital de les identifier et d’y remédier. Or les systèmes sont devenus trop complexes pour réaliser cette tâche manuellement. Il devient nécessaire d’utiliser une solution de gestion des vulnérabilités qui offre une visibilité complète de la surface d’attaque afin de gérer et mesurer le cyber-risque.

Un paysage de la menace hétérogène

La cyberattaque qui a visé Equifax en 2017, et qui a conduit au vol des données personnelles de près de 150 millions de personnes, a exploité une vulnérabilité connue mais qui n’avait pas été corrigée. Il aurait suffi de suivre les conseils de base en cybersécurité - à savoir, ici, mettre ses logiciels à jour - pour éviter cela.

D’autres attaques sont plus sophistiquées et exploitent une faille zero day, pas encore découverte et pour laquelle les correctifs ne sont pas disponibles. Il suffit parfois d’une seule faille (un terminal, un serveur ou une application) pour toucher des millions de personnes. Et les exemples sont légion : en 2017, 1 522 vulnérabilités ont été signalées publiquement. L’initiative "Zero Day" a découvert que 929 de ces vulnérabilités zero day étaient qualifiées de "critiques" ou "élevées".

Tout cela a un coût. En 2019 il fallait en moyenne 279 jours pour détecter et combler une brèche. Or les coûts infligés par une attaque augmentent pour chaque jour qui passe avant d’être détectée. Ainsi, le coût moyen des fuites de données est de 3,9 millions de dollars.

Gestion des vulnérabilités

Le Centre australien de cybersécurité (ACSC) exhorte les organisations à mener des activités de gestion des vulnérabilités afin d’être mieux équipées pour identifier, hiérarchiser et remédier aux vulnérabilités. Ce travail doit être continu pour suivre l’évolution du paysage de la menace. La National Vulnerability Database (NDV) américaine apporte un grand secours en offrant une base de données fiable et à jour sur les vulnérabilités selon le Security Content Automation Protocol (SCAP), qui permet d’automatiser la gestion des vulnérabilités, des mesures de sécurité et la conformité réglementaire. Cette automatisation est d’autant plus importante que les outils peuvent être complexes et rebutants à utiliser alors que ce travail doit être fait au jour le jour.

Un aspect important de l’automatisation est la normalisation des données. Celle-ci permet de les combiner pour établir de corrélations entre les évènements et des analyses poussées afin d’avoir une vision claire de la situation. C’est un réel défi, et la multiplicité des sources rend ce travail quasiment impossible à réaliser manuellement. Les solutions automatisées peuvent réduire les coûts, augmenter l’efficacité et améliorer l’efficacité des efforts de cybersécurité à long terme.

Le SCAP comme standard fiable et simple

En tant que langage commun de description des vulnérabilités et des mauvaises configurations, le SCAP permet d’éviter un certain nombre d’écueils et constitue un bon point de départ pour les entreprises dans l’amélioration de leur sécurité. Il comprend aussi un ensemble de spécifications qui standardisent les informations (format, classification) relatives aux erreurs logicielles et configurations sécurisées.

Par exemple, le Common Vulnerability Scoring System (CVSS) est une spécification au sein du SCAP qui fournit un cadre ouvert pour communiquer les caractéristiques des vulnérabilités des logiciels et pour calculer leur gravité relative. Le CVSS permet de saisir les principales caractéristiques d’une vulnérabilité pour produire un score numérique qui reflète la gravité de la vulnérabilité. Les évaluations CVSS peuvent être utilisées pour améliorer votre posture de sécurité.

Un autre exemple est OVAL®, une marque déposée du Département américain de la sécurité intérieure. Le langage OVAL (Open Vulnerability and Assessment Language) représente les informations de configuration du système, évalue l’état des machines et communique les résultats des évaluations. Gratuit pour le public dans le monde entier, OVAL® représente un effort de la communauté de la sécurité visant à normaliser la manière d’évaluer et de rendre compte de l’état des systèmes informatiques.

Le paysage de la menace se diversifie et les entreprises doivent y faire face chaque jour. Un certain nombre d’initiatives publiques et privées offre des ressources permettant d’y faire face, par exemple en répertoriant les bonnes pratiques ou grâce à des outils d’automatisation de processus nécessaires à la sécurité informatique des entreprises.




Voir les articles précédents

    

Voir les articles suivants