Rechercher

  1. Orange Cyberdefense
  2. Insights
  3. Blog
  4. Stop aux correctifs à tout va ! Concentrez-vous sur une gestion basée sur le risque.

Stop aux correctifs à tout va ! Concentrez-vous sur une gestion basée sur le risque.

Share

La gestion des vulnérabilités a atteint un point critique. Alors que la surface exposée aux attaques ne cesse de croître, les entreprises se trouvent dans l’impossibilité d’appliquer autant de correctifs que nécessaire. Une approche basée sur les risques peut aider à déterminer les priorités sur lesquelles les entreprises doivent se concentrer afin de réparer et corriger les vulnérabilités présentes dans leur environnement. 

En 2021, plus de 18 000 nouvelles vulnérabilités ont été découvertes, mais cela n’a rien de surprenant si l’on considère la vitesse à laquelle s’étend le réseau de l’entreprise moyenne.

« Au cours de ces dernières années, l’exploitation des vulnérabilités est devenue l’un des principaux vecteurs initiaux d’attaque pour générer brèches et compromissions », argumente Stephen Carter, DG et cofondateur de Nucleus Security. « Ce vecteur ne figurait même pas sur les radars il y a cinq ou six ans, et maintenant il domine clairement le paysage, et l’exploitation massive des vulnérabilités est clairement sur une tendance haussière. Par conséquent, nombreuses sont les entreprises qui ont du mal à établir les priorités parmi les centaines de milliers de vulnérabilités qu’elles ont à corriger. »

Si les vulnérabilités pouvaient être corrigées rapidement, le problème ne serait évidemment pas aussi préoccupant. Toutefois, 72 % des vulnérabilités ne sont toujours pas corrigées 30 jours après leur détection.  

Quels obstacles à la correction des vulnérabilités ?

Fondamentalement, la gestion des vulnérabilités comporte cinq défis majeurs :

  • Le manque de visibilité : 

La plupart des entreprises n’ont pas une vision claire de l’ensemble de leurs actifs, de leurs connexions et de leurs besoins. En outre, le spectre de l’informatique fantôme qui plane sur de nombreuses organisations signifie que celles-ci utilisent beaucoup plus de logiciels qu’elles ne le pensent, rendant impossible le suivi de la gravité des vulnérabilités pour déterminer où les correctifs sont nécessaires en priorité.

  • L’incohérence des informations : 

Les entreprises reçoivent souvent de la part des fournisseurs de logiciel quantité de communications sur les vulnérabilités, leur disant quoi faire et quand. Le problème est qu’il y a peu ou pas de cohérence du tout dans la façon dont le message est délivré, et encore moins quant à savoir qui il concerne réellement, et le format qu’il prend. Une grande partie de ces messages sont envoyés en masse, avec peu de personnalisation. C’est donc aux entreprises qu’il incombe de comprendre si leurs propres installations sont concernées, ce qui ajoute une pression supplémentaire sur des équipes IT déjà surchargées.

  • Savoir à quoi donner la priorité : 

Si les entreprises ne connaissent pas assurément leur liste d’actifs, il leur est presque impossible de savoir sur quoi se concentrer. De plus, chaque entreprise doit également tenir compte du paysage des menaces, de la manière dont les attaques sont susceptibles de la compromettre et de ce que cela signifie pour les correctifs à mettre en œuvre. Tous ces facteurs font qu’il est très difficile pour une entreprise de savoir par où commencer à se protéger.

  • Être capable de traiter les informations efficacement : 

Obtenir des informations qui ont un sens est déjà un défi en soi, mais il faut ensuite être capable d’utiliser les informations obtenues adéquatement. Une vulnérabilité mineure peut par exemple être signalée sur un système essentiel à la mission d’une entreprise . Étant donné la nature du logiciel, des signaux d’alarme seront déclenchés à travers toute l’entreprise et des ressources seront dédiées à la correction de cette vulnérabilité, malgré son caractère mineur.

  • Le manque de ressources ou d’expertise :

Le fait de ne pas se pourvoir des bonnes compétences entrave la capacité des entreprises à fonctionner efficacement. Du point de vue de la cybersécurité, une multitude d’aspects doivent être couverts, de la gestion des menaces sophistiquées à la mise en œuvre d’un programme complet de gestion des vulnérabilités. Si vous avez des dizaines ou des centaines d’appareils, vous pourrez peut-être vous en sortir. Toutefois, si vous êtes une moyenne ou grande entreprise disposant de milliers d’appareils et d’applications, vous ne pourrez tout simplement pas embaucher suffisamment de personnes pour trier et corriger rapidement autant de vulnérabilités.

La nécessité d’une nouvelle approche

Il est clair qu’essayer de s’attaquer seul à la gestion des vulnérabilités est une tâche ingrate et, en fin de compte, impossible à accomplir pour la plupart des entreprises. Une approche pratique consistant à appliquer des correctifs à tout va ne fonctionnera tout simplement pas. Par conséquent, les entreprises doivent changer d’attitude à l’égard des correctifs afin de maintenir leurs défenses à niveau. Obligatoirement, l’attitude à avoir est celle qui apporte des solutions à ces défis.

Se concentrer sur la nature et l’emplacement des risques réels pour une automatisation à grande échelle est donc l’approche à adopter. Il ne faut pas essayer de corriger toutes les vulnérabilités au risque de se laisser déborder et de perdre de vue les véritables signaux au milieu du bruit ambiant. Une approche de la gestion des vulnérabilités basée sur le risque consiste à déterminer où les vulnérabilités présentent un risque clair et immédiat pour votre entreprise afin de donner la priorité aux correctifs correspondants.

Pour ce faire, chaque entreprise doit combiner des données internes et externes dans le but de créer son profil de risque complet. Les sources internes comprennent la connaissance de la surface attaquable, de l’importance des actifs pour l’activité et des conséquences d’une attaque pour l’entreprise. Les informations externes correspondent à la threat intelligence et activités connues des pirates informatiques.

Les cinq étapes de la gestion des vulnérabilités basée sur le risque

Plus spécifiquement, nous pensons que les entreprises doivent prendre cinq mesures fondamentales pour mettre en œuvre une approche de la gestion des vulnérabilités basée sur le risque :

  1. Identification – Vous devez commencer par déterminer ce que vous tentez de protéger. En utilisant les données disponibles et, si possible, des scanners, identifiez votre surface d’attaque et révisez régulièrement le périmètre à analyser. Plusieurs sources de données peuvent être agrégées pour obtenir une image claire des actifs exposés.
  2. Implication – Une fois que vous avez cette image de vos actifs, vous pouvez appréhender l’impact qu’une attaque peut avoir sur vos opérations commerciales. C’est ici que vous devez déterminer l’importance de vos actifs vis-à-vis du fonctionnement de l’entreprise.
  3. Enrichissement – Vous devez ici dresser le tableau de vos vulnérabilités à l’aide des données internes. Pour comprendre où établir des priorités, des sources telles que les renseignements sur les menaces et activités connues des pirates informatiques vous permettent de voir dans quelle mesure les vulnérabilités identifiées constituent un réel problème.
  4. Remédiation – Après avoir classé les vulnérabilités en fonction du risque de menace, vous pouvez commencer à hiérarchiser les corrections et remédiations correspondantes, sans essayer de tout résoudre.
  5. Évaluation – Les cybermenaces évoluent constamment et les vulnérabilités prolifèrent. Le suivi et la mesure des progrès de votre programme de gestion des vulnérabilités vous permettent d’évaluer les nouvelles lacunes et, si nécessaire, de les combler avant qu’elles ne soient exploitées.

Comme vous pouvez le constater à la lecture de cet article, une approche de la gestion des vulnérabilités basée sur les risques présente de nombreux avantages.

 

Orange Cyberdefense nous nous efforçons d’aider nos clients à mettre en œuvre cette approche dans leur propre programme.

 

Selon un récent rapport Forrester Wave publié en août 2022, « Les services Threat Intelligence et de réponse aux incidents d’Orange, très appréciés des clients, sont de très bonne qualité et offrent une réelle valeur différentielle. Les clients ont d’ailleurs souligné que l’utilisation de Nucleus pour la gestion des vulnérabilités offrait des résultats supérieurs en matière de hiérarchisation des vulnérabilités et de prise en charge des mesures correctives, avec à la clé une véritable amélioration des résultats de leur programme VRM. »

En fin de compte, une approche de la gestion des vulnérabilités basée sur les risques permet de réduire la surface d’attaque et de faire de chaque entreprise une cible plus difficile atteindre pour les acteurs malveillants. En prime, cette approche parvient à ce résultat sans exiger de grandes quantités de nouvelles ressources, mais en utilisant au contraire une grande partie des moyens déjà en place pour les redéployer de manière intelligente et ciblée.

Pour aider les entreprises à mettre en œuvre une approche de gestion des vulnérabilités basée sur le risque, Orange Cyberdefense a développé la solution Managed Vulnerability Intelligence [identify]. Pour en savoir plus, jetez un coup d’œil ici.