Les 5 grandes étapes du processus de gestion des vulnérabilités
L'atténuation des risques est la pièce maîtresse du processus de gestion des vulnérabilités. Bien que la remédiation demeure toujours un objectif louable, il est impossible d'éliminer totalement le risque, quelle que soit la solidité des défenses de votre système. De plus, la principale source de vulnérabilités dans les applications logicielles provient de l'intérieur, du code lui-même.
Dans cet article, j'expliquerai les étapes impliquées dans la gestion des vulnérabilités et comment elles sont utilisées pour gérer, atténuer et remédier aux risques de cybersécurité.
Pourquoi le processus de gestion des vulnérabilités est-il important ?
Dans Code Complete, Steve McConnell indique qu'il existe environ 15 à 50 erreurs ou bogues par tranche de 1 000 lignes de code livrées. McConnell a cependant noté que l'application critique de la NASA, son logiciel de la navette spatiale, ne présentait aucun défaut de code. Mais ce résultat ahurissant a été atteint au prix de milliers de dollars par ligne de code !
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Inutile de préciser que ce coût est tout simplement trop prohibitif pour la plupart des entreprises. D'ailleurs, la majorité d'entre elles n'envoient pas de vaisseaux dans l'espace où la vie des astronautes est littéralement en jeu. La gestion des vulnérabilités constitue donc un objectif bien plus abordable pour l'entreprise classique.
En tant que processus, la gestion des vulnérabilités consiste à identifier, évaluer et hiérarchiser les vulnérabilités de sécurité dans l'ensemble des systèmes, charges de travail et terminaux. Après la classification des vulnérabilités, le processus inclut généralement la remédiation, le reporting et la résolution satisfaisante des menaces détectées.
Quelle est la différence entre un programme de gestion des vulnérabilités et un processus ?
Les termes « programme de gestion des vulnérabilités » et « processus de gestion des vulnérabilités » sont liés mais représentent des aspects différents de la gestion des vulnérabilités dans les pratiques de sécurité d'une organisation.
Un programme de gestion des vulnérabilités est une approche globale et stratégique permettant de gérer les vulnérabilités sur l'ensemble des logiciels et systèmes d'infrastructure IT d'une organisation. Il s'agit d'un concept à un niveau plus élevé, qui comprend divers éléments, dont des politiques, des procédures, des outils et des ressources, destinés à réduire le risque global associé aux vulnérabilités.
Un programme de gestion des vulnérabilités inclut généralement les composants suivants :
- Évaluations de vulnérabilité : Analyser régulièrement les systèmes, applications et réseaux afin d'identifier les vulnérabilités potentielles.
- Hiérarchisation des risques : Évaluer et prioriser les vulnérabilités en fonction de leur gravité et de leur impact potentiel sur l’organisation.
- Gestion des correctifs : Développer des processus pour appliquer des correctifs de sécurité et des mises à jour afin d’atténuer les vulnérabilités identifiées. (souvent facilité par des outils de test de sécurité)
- Renseignement sur les menaces : Intégrer le renseignement sur les menaces afin de comprendre les dernières vulnérabilités et les vecteurs d'attaque potentiels.
- Rapports et métriques : Générer des rapports et des indicateurs pour suivre l'efficacité des efforts de gestion des vulnérabilités.
- Responsabilités et rôles : Définir clairement les responsabilités et les rôles des personnes impliquées dans le processus de gestion des vulnérabilités.
Le processus de gestion des vulnérabilités est une partie plus opérationnelle et spécifique du programme de gestion des vulnérabilités. Il fait référence aux procédures et actions détaillées qui sont prises lors du traitement d’une ou plusieurs vulnérabilités. Ce processus implique l’exécution de tâches selon une démarche structurée pour gérer les vulnérabilités de manière efficace.
Le processus de gestion des vulnérabilités comprend généralement les étapes suivantes :
- Identification : Cette étape consiste à découvrir et à inventorier les vulnérabilités à l’aide de diverses méthodes, telles que le scan de vulnérabilités, des évaluations manuelles ou des tests d’intrusion.
- Évaluation : Une fois les vulnérabilités identifiées, elles sont évaluées afin de déterminer leur gravité et leur impact potentiel sur les actifs et opérations de l’organisation.
- Remédiation : À ce stade, l’organisation prend des mesures pour traiter les vulnérabilités identifiées. Cela peut inclure l’application de correctifs de sécurité, des changements de configuration ou la mise en place de contournements.
- Vérification : Après la mise en œuvre des mesures correctives, l'organisation vérifie si les vulnérabilités ont été effectivement traitées et atténuées.
- Rapport : Tout au long du processus, la documentation et le reporting sont essentiels pour suivre l’avancée, maintenir la conformité et communiquer avec les parties prenantes.
En résumé, un programme de gestion des vulnérabilités est une stratégie globale qui regroupe divers éléments pour gérer efficacement les vulnérabilités au sein d’une organisation. Le processus de gestion des vulnérabilités, quant à lui, est un ensemble précis d’étapes et d’actions destinées à identifier, évaluer et remédier aux vulnérabilités individuelles dans le cadre de ce programme plus large. Ce processus fait partie intégrante du programme et contribue à sa réussite globale.
Les cinq étapes du processus de gestion des vulnérabilités
Contrairement à l’évaluation des vulnérabilités, qui constitue un événement ponctuel, la gestion des vulnérabilités est un processus continu et permanent. Voici les étapes à suivre dans un cycle de vie de la gestion des vulnérabilités.
Étape 1 : Identification des vulnérabilités
Cette étape consiste à identifier et à classer les vulnérabilités. Les vulnérabilités sont généralement classées à l'aide du Système Commun de Notation des Vulnérabilités (CVSS).
Le rôle du CVSS est plus important lors de la deuxième étape ; cependant, l’élément central à ce stade est l'analyse des vulnérabilités. L'analyse des vulnérabilités est souvent effectuée dans le cadre d'un test d'intrusion par un pentester ou une équipe de sécurité composée de testeurs d’intrusion.
Dans ce processus, un scanner de vulnérabilités est un outil automatisé utilisé pour rechercher, identifier et signaler les vulnérabilités connues présentes dans l’infrastructure informatique d’une entreprise.
Il dresse un inventaire de tous les actifs informatiques présents dans le système, en particulier ceux qui sont activement connectés au réseau de l’organisation. Cela inclut généralement les pare-feu, serveurs, systèmes d’exploitation, conteneurs, machines virtuelles, routeurs, imprimantes, ordinateurs portables, ordinateurs de bureau et commutateurs.
Ils inspectent également les points de terminaison tels que les ports ouverts, les appareils IoT, les configurations système, les logiciels installés, les applications tierces et la structure du système de fichiers.
Puisque les scanners de vulnérabilités effectuent des analyses sur l’ensemble du réseau d’une organisation pour rechercher des vulnérabilités, le risque de perturber le système ou certains de ses éléments est élevé. C’est pourquoi les hackers éthiques adaptent généralement leurs méthodes pour en tenir compte lors des tests d’intrusion. Par conséquent, ils peuvent exclure certains systèmes susceptibles d’être instables ou de présenter un comportement erratique, ou ajuster leur approche pour minimiser l’impact. Par exemple, si la bande passante réseau pose problème, ils peuvent choisir d’effectuer les analyses pendant les heures creuses, lorsque la bande passante n’est pas limitée.
Les solutions de gestion des vulnérabilités sont également capables de collecter en continu des données à partir des systèmes via des agents sur les points de terminaison. Au fil de leur évolution, elles sont devenues plus agiles ; elles peuvent ainsi analyser un nouveau système ou appareil dès sa connexion au réseau.
Mais l’objectif principal de cette étape ne se limite pas à l’analyse des systèmes.
De manière générale, la sécurité du système et du réseau d’une organisation est renforcée grâce à la cartographie des actifs informatiques réalisée à cette étape. Avec cette découverte des actifs, l’organisation peut facilement déterminer quels appareils sont protégés, quels éléments ne le sont pas et comment les points de terminaison du système peuvent potentiellement être accessibles.
Cette étape est cruciale car elle permet de déterminer la surface d’attaque exposée ou vulnérable à une exploitation. De plus, les informations collectées par la solution de gestion des vulnérabilités servent à générer des rapports et des indicateurs système utilisés lors de l’étape suivante du processus de gestion des vulnérabilités.
Assurer un stockage sécurisé des données est essentiel en gestion des vulnérabilités. L’une des manières d’y parvenir est d’utiliser un logiciel de gestion de base de données de premier plan.
Étape 2 : Évaluation des vulnérabilités
Une fois les vulnérabilités découvertes, l’étape suivante consiste à évaluer celles-ci en fonction de leur degré de risque. À l’étape 1, j’ai brièvement mentionné le CVSS et son utilisation comme système de classement des vulnérabilités en cybersécurité.
Le CVSS est une norme libre et ouverte utilisée pour communiquer la gravité des vulnérabilités. Il fournit un score allant de 0,0 à 10,0. Pour compléter l’évaluation, la Base de données nationale sur les vulnérabilités (NVD) inclut une échelle de sévérité pour les scores CVSS, comme indiqué dans le tableau ci-dessous.
| Score CVSS | Niveau de sévérité |
| 0.0 | Aucun |
| 0.1 - 3.9 | Faible |
| 4.0 - 6.9 | Moyen |
| 7.0 - 8.9 | Élevé |
| 9.0 - 10.0 | Critique |
Ces scores permettent aux organisations de comprendre le risque que chaque vulnérabilité fait peser sur leur infrastructure. Ainsi, elles peuvent établir les priorités concernant les vulnérabilités et menaces à traiter en premier. Cette évaluation oriente aussi la stratégie de gestion des risques et les efforts de remédiation de l’organisation.
Bien que les scanners de vulnérabilités et les scores CVSS soient d’excellents outils, ils ne fournissent pas toujours une vision complète des risques encourus par une organisation.
Cela s’explique par le fait que ces scores de notation standardisés ne fournissent pas toujours la meilleure visibilité sur les menaces auxquelles votre entreprise est exposée, en raison de son profil de risque particulier. Bien que les outils intelligents de gestion des vulnérabilités puissent hiérarchiser les risques, ils ne sont pas toujours suffisamment nuancés pour prendre en compte d’autres facteurs additionnels.
Les professionnels de la cybersécurité peuvent fournir un meilleur contexte, plus complet, de votre exposition aux risques à l’aide de l’inventaire des renseignements sur les menaces rassemblés. Ces experts en sécurité prennent souvent en compte une multitude de facteurs comme ceux-ci pour déterminer une évaluation des risques appropriée :
- Est-ce une vulnérabilité réelle ou simplement un faux positif ?
- Quel est le degré de difficulté d’exploitation de la vulnérabilité ?
- Cette vulnérabilité peut-elle être exploitée à distance ?
- Quelle est la facilité d’exploitation de cette vulnérabilité ?
- Existe-t-il des exploits publiquement connus pour cette vulnérabilité ?
- Combien d’appareils sont signalés avec cette vulnérabilité ?
- S’agit-il d’une nouvelle vulnérabilité (les anciennes vulnérabilités posent généralement un risque plus important) et savez-vous depuis combien de temps elle existe dans votre réseau ?
- Des politiques, protocoles et contrôles de sécurité sont-ils en place dans votre infrastructure pour atténuer l’impact de la vulnérabilité si elle est exploitée ?
- Quel serait l’impact sur l’organisation dans son ensemble en cas d’exploitation réussie de cette vulnérabilité ?
Étape 3 : Corriger les vulnérabilités
Cette étape consiste à traiter et à atténuer les vulnérabilités découvertes. Plusieurs stratégies sont mises en place pour hiérarchiser et éliminer les failles selon le niveau de risque qu’elles font peser sur l’entreprise.
Correction personnalisée
La correction logicielle est souvent la solution la plus simple permettant de remédier à une grande partie des vulnérabilités détectées dans les logiciels. En réalité, la plupart des violations de cybersécurité résultent de logiciels non corrigés. Par conséquent, un système de gestion des correctifs assurant la mise à jour des systèmes d’exploitation et des logiciels tiers est essentiel.
Cependant, il peut arriver qu’un fournisseur n’ait pas encore publié de correctif pour une vulnérabilité donnée. Dans ce cas, les organisations doivent mettre en place des mesures d’atténuation pour limiter l’impact potentiel de l’exploitation de la faille.
Ces mesures peuvent inclure la limitation des droits des utilisateurs pour certaines activités ou—selon leur gravité—l’isolement ou la mise sur liste noire des appareils affectés du réseau.
Là où des menaces et vulnérabilités sont traitées, il convient de mettre en place des contrôles et de montrer les progrès accomplis vers une posture de sécurité renforcée au sein de l’organisation.
Acceptation
L’acceptation est également une stratégie de gestion des vulnérabilités contre-intuitive. Cela consiste à ne prendre aucune mesure vis-à-vis des vulnérabilités identifiées. Cette approche est logique pour les vulnérabilités à faible risque qui présentent peu de menaces pour l’entreprise. D’autant plus quand le coût de correction dépasse le coût potentiel de son exploitation.
Même lorsqu’il n’y a que des vulnérabilités bénignes à corriger, les organisations devraient toujours chercher à optimiser leurs indicateurs de vulnérabilité déclarés. Ainsi, plus le système de gestion des vulnérabilités vise à améliorer ces indicateurs, plus il réduit la surface d’attaque de l’organisation.
En outre, ce processus de remédiation peut établir une base de référence pour la gestion des risques que l’organisation peut sans cesse réajuster avec de nouveaux objectifs plus ambitieux.
Étape 4 : Vérifier les vulnérabilités
Cette étape garantit, via des audits de suivi, que les menaces présentes dans le système ont bien été éliminées. Les tests d’intrusion doivent également être utilisés pour vérifier l’efficacité des mesures de correction adoptées. De plus, cela permet aussi de s’assurer qu’aucune nouvelle vulnérabilité n’a été créée par inadvertance lors du processus.
Étape 5 : Rapporter les vulnérabilités
Il est important de documenter non seulement les vulnérabilités découvertes, mais également un plan de sécurité pour décrire les failles connues et surveiller les activités suspectes. Ces rapports sont essentiels car ils laissent des traces qui aident les entreprises à améliorer leurs réponses face aux incidents à l’avenir.
Ces rapports sont aussi importants à partager avec la direction et dans le cadre des audits de conformité. En effet, démontrer et consigner les vulnérabilités et incidents corrigés prouve la responsabilité en matière de sécurité. Et cette responsabilité est souvent requise pour conserver les standards de conformité.
Heureusement, il existe des logiciels sophistiqués de gestion des vulnérabilités et des outils d’intrusion pour applications web qui peuvent générer automatiquement ces rapports, vous évitant d’avoir à le faire manuellement.
L’importance de la gestion des vulnérabilités
Des processus de gestion des vulnérabilités sont essentiels si vous souhaitez préserver la sécurité de votre réseau en réduisant la présence de menaces et d’exploits.
Pour en savoir plus sur la gestion des vulnérabilités et des menaces, explorez d'autres articles sur notre blog, ou vous pouvez vous abonner à la newsletter de The QA Lead.
