Une publication récemment Navigateur de sécurité les données du rapport montrent que les entreprises mettent encore 215 jours pour corriger une vulnérabilité signalée. Même pour les vulnérabilités critiques, il faut généralement plus de 6 mois pour corriger.
Une bonne gestion des vulnérabilités ne consiste pas à être assez rapide pour corriger toutes les failles potentielles. Il s’agit de se concentrer sur le risque réel en utilisant la hiérarchisation des vulnérabilités pour corriger les failles les plus importantes et réduire au maximum la surface d’attaque de l’entreprise. Les données de l’entreprise et les renseignements sur les menaces doivent être corrélés et automatisés. Ceci est essentiel pour permettre aux équipes internes de concentrer leurs efforts de remédiation. Les technologies appropriées peuvent prendre la forme d’une plate-forme mondiale de renseignements sur les vulnérabilités. Une telle plateforme peut aider à hiérarchiser les vulnérabilités à l’aide d’un score de risque et permettre aux entreprises de se concentrer sur leur risque organisationnel réel.
Commencer
Trois faits à garder à l’esprit avant d’établir un programme efficace de gestion des vulnérabilités :
1. Le nombre de vulnérabilités découvertes augmente chaque année. En moyenne, 50 nouvelles vulnérabilités sont découvertes chaque jour donc on comprend aisément qu’il est impossible de toutes les patcher.
2. Seules certaines vulnérabilités sont activement exploitées et représentent un risque très élevé pour toutes les organisations. Environ 6 % de toutes les vulnérabilités sont exploitées à l’état sauvage[43]: nous devons réduire la charge et nous concentrer sur le risque réel.
3. La même vulnérabilité peut avoir un impact complètement différent sur l’entreprise et sur l’infrastructure de deux entreprises distinctes, de sorte que l’exposition de l’entreprise et la gravité de la vulnérabilité doivent être prises en compte. Sur la base de ces faits, nous comprenons qu’il est inutile de corriger chaque vulnérabilité. Au lieu de cela, nous devrions nous concentrer sur ceux qui présentent un risque réel en fonction du paysage des menaces et du contexte organisationnel
Le concept de gestion des vulnérabilités basée sur les risques
L’objectif est de se concentrer sur les actifs les plus critiques et les actifs présentant un risque plus élevé d’être ciblés par les acteurs de la menace. Pour aborder un programme de gestion des vulnérabilités basé sur les risques, nous devons considérer deux environnements.
L’environnement interne
Le paysage Clients représente l’environnement interne. Les réseaux des entreprises se développent et se diversifient, ainsi que leur surface d’attaque. La surface d’attaque représente l’ensemble des composants du système d’information qui peuvent être atteints par des pirates. Avoir une vision claire et à jour de votre système d’information et de votre surface d’attaque est la toute première étape. Il est également important de tenir compte du contexte commercial. En effet, les entreprises peuvent être plus visées selon leur secteur d’activité du fait des données et documents spécifiques dont elles disposent (propriété intellectuelle, petites annonces défense…). Le dernier élément clé à considérer est le contexte unique de l’entreprise, individuellement. L’objectif est de classer les actifs selon leur criticité et de mettre en évidence les plus importants. Par exemple : des actifs qui, s’ils n’étaient pas disponibles, entraîneraient une perturbation importante de la continuité des activités, ou des actifs hautement confidentiels qui, s’ils étaient accessibles, rendraient l’organisation passible de multiples poursuites.
L’environnement extérieur
Le paysage des menaces représente l’environnement externe. Ces données ne sont pas accessibles depuis le réseau interne. Les organisations doivent disposer des ressources humaines et financières pour trouver et gérer ces informations. Alternativement, cette activité peut être confiée à des professionnels qui surveilleront le paysage des menaces au nom de l’organisation.
Connaître les vulnérabilités activement exploitées est indispensable car elles représentent un risque plus élevé pour une entreprise. Ces vulnérabilités activement exploitées peuvent être suivies grâce à des capacités de renseignement sur les menaces combinées à des données de vulnérabilité. Pour obtenir les résultats les plus efficaces, il est même préférable de multiplier les sources de renseignements sur les menaces et de les corréler. Comprendre l’activité des attaquants est également précieux, car cela permet d’anticiper les menaces potentielles. Par exemple : les informations concernant une nouvelle attaque de type « zero-day » ou une nouvelle attaque de ransomware peuvent être traitées en temps opportun, afin d’éviter un incident de sécurité.
La combinaison et la compréhension des deux environnements aideront les organisations à définir leur risque réel et à identifier plus efficacement où les actions de prévention et de remédiation doivent être déployées. Il n’est pas nécessaire d’appliquer des centaines de correctifs mais plutôt dix d’entre eux, sélectionnés, qui réduiront considérablement la surface d’attaque d’une organisation.
Cinq étapes clés pour mettre en œuvre un programme de gestion des vulnérabilités basé sur les risques
- Identification: Identifiez tous vos assets pour découvrir votre surface d’attaque : un scan de découverte peut aider à avoir un premier aperçu. Lancez ensuite des analyses régulières sur vos environnements internes et externes et partagez les résultats avec la Vulnerability Intelligence Platform.
- Contextualisation : configurez votre contexte métier ainsi que la criticité de vos actifs dans la Vulnerability Intelligence Platform. Les résultats de l’analyse seront ensuite contextualisés avec une notation de risque spécifique par actif.
- Enrichissement: Les résultats de l’analyse doivent être enrichis à l’aide de sources supplémentaires fournies par la plate-forme de renseignement sur les vulnérabilités, telles que les renseignements sur les menaces et l’activité des attaquants, qui aideront à établir des priorités en tenant compte du paysage des menaces.
- Correction : Grâce au score de risque attribué par vulnérabilité, qui peut être associé à des critères de renseignement sur les menaces tels que « facilement exploitable », « exploité à l’état sauvage » ou « largement exploité » par exemple, il est beaucoup plus facile de hiérarchiser efficacement la remédiation.
- Évaluation: Surveillez et mesurez les progrès de votre programme de gestion des vulnérabilités à l’aide d’indicateurs de performance clés et de tableaux de bord et rapports personnalisés. C’est un processus d’amélioration continue !
Ceci est une histoire des tranchées trouvées dans le Rapport du navigateur de sécurité 2023. Vous trouverez plus d’informations sur les vulnérabilités et d’autres éléments intéressants, notamment l’analyse des logiciels malveillants et la cyber-extorsion, ainsi que des tonnes de faits et de chiffres sur le paysage de la sécurité, dans le rapport complet. Vous pouvez télécharger gratuitement le rapport de plus de 120 pages sur le site Web d’Orange Cyberdefense. Alors jetez un œil, ça vaut le coup !
Note: Cette histoire informative a été rédigée de manière experte par Melanie Pilpre, chef de produit chez Orange Cyberdefense.