Gestion des vulnérabilités informatiques : la détection

La politique de sécurité des systèmes d’information (PSSI) reflète la vision stratégique d’une organisation, qu’elle soit publique ou privée, de grande ou de petite taille. La PSSI fixe ainsi les règles de cybersécurité qu’une entreprise souhaite respecter. Pour plus de lisibilité, elle peut être déclinée en politiques thématiques qui vont couvrir différents aspects de la cybersécurité, comme par exemple, les processus de sécurité appliqués aux :

• composants sensibles,
• postes de travail,
• réseaux,
• systèmes,
• accès logiques,
• accès externes.

La gestion des vulnérabilités fait également partie des thématiques cruciales. Elle débute par la définition d’un champ d’application, c’est-à-dire les populations sur lesquelles va s’exercer cette politique. Elles peuvent concerner tout ou partie des structures ou des entités de l’organisation en fonction des objectifs visés.

Ensuite, seront définies les différentes règles à respecter, qui peuvent prendre la forme de mesures organisationnelles et/ou techniques, à partir desquelles il sera possible de constituer un processus de gestion des vulnérabilités.

Toutes ces règles et ces principes sont compilés dans un document complémentaire à la PSSI. Les informations peuvent être regroupées sous forme de chapitres, où l’on retrouvera les étapes clés de la gestion des vulnérabilités :

• la collecte des vulnérabilités et leur analyse,
• la prise de décisions,
• l’élaboration d’un plan d’actions lorsque nécessaire,
• le suivi de l’application des correctifs,
• le contrôle,
• la capitalisation,
• et la sensibilisation.

De nombreuses méthodes de détection des vulnérabilités des SI (systèmes d’information) existent. Elles passent par des moyens variés tels que l’activité de veille, les alertes utilisateurs, les tests d’intrusion, les audits de sécurité ou encore les scans automatiques.

La veille

L’activité de veille consiste à s’informer de façon systématique sur les technologies utilisées au sein de l’organisation. Il s’agit de récolter des informations concernant la sécurité des composants auprès de sources d’informations fiables (éditeurs, sites spécialisés, CERT-FR*…), pour identifier les vulnérabilités potentielles des composants du SI.

Elle suppose donc d’avoir une base de connaissances à jour des technologies (matériels, systèmes d’exploitation, services, applications, librairies …) et de leur version. Plus la base de connaissances est à jour, plus l’activité de veille sera pertinente.

Cette opération peut tout à fait être portée par un CERT (computer emergency response team) interne à l’organisation. Le principe est simple : à partir d’une base de connaissances mise à jour continuellement, un rapport quotidien des vulnérabilités ciblées sur les technologies est envoyé au client. Ce dernier est agrémenté de descriptions, d’une évaluation de la criticité, et parfois même de propositions de correctifs.

Les audits

Pour évaluer le niveau de sécurité d’un périmètre défini, il est fréquent et recommandé de réaliser un audit de sécurité. Il permettra de donner une image à un instant T des points faibles et des points forts du périmètre ciblé. Il peut comprendre différentes activités (audit organisationnel, de configuration, d’architecture, tests d’intrusion) à moduler en fonction du besoin.

Les auditeurs analysent :

• les politiques,
• les processus,
• les procédures,
• les pratiques,
• les configurations,
• l’architecture des logiciels, des systèmes et réseaux.

Il est également recommandé de réaliser des tests d’intrusion. A l’issue de l’audit, les consultants remettent un rapport qui propose des recommandations pour chaque vulnérabilité identifiée. A noter que l’ANSSI** propose un label de qualité des consultants et sociétés qui sont prestataires d’audit de la sécurité de systèmes d’information (PASSI).

Les audits automatisés

Il est possible d’automatiser une recherche de vulnérabilités en utilisant des scanneurs de vulnérabilités automatisés pour détecter les failles sur un périmètre restreint. Cela permet notamment de répondre à la réglementation, par exemple dans le cadre de la norme PCI DSS (Payment Card Industry Data Security Standard), label de sécurité des données pour les cartes de paiement comme Visa ou MasterCard.

Il existe plusieurs types de scanneurs qu’il conviendra de choisir en fonction des technologies et du volume à traiter. Bien évidemment, les scans seront bien moins pertinents qu’un audit manuel car les faux positifs sont nombreux.

Le partage de connaissances

Les vulnérabilités peuvent également tout simplement être remontées par les exploitants, les administrateurs, les utilisateurs et parfois même les clients. Que ces informations proviennent de l’interne ou de l’externe, elles doivent être partagées via un système simple et sécurisé.

Comment se protéger efficacement contre l’exploitation des vulnérabilités ?
Découvrir

Glossaire :

*CERT-FR : computer emergency response team français (organisme gouvernemental)

**ANSSI : Agence nationale de la sécurité des systèmes d’information