Comment construire un programme de gestion des vulnérabilités
Un programme de gestion des vulnérabilités identifie, évalue, hiérarchise et atténue systématiquement les vulnérabilités qui peuvent représenter un risque pour l’infrastructure et les applications d’une entreprise. Un programme moderne de gestion des vulnérabilités combine l’automatisation, les renseignements sur les menaces et la science des données pour prédire quelles vulnérabilités représentent le plus grand risque pour un environnement spécifique.
Pourquoi un programme de gestion des vulnérabilités est-il essentiel ?
Le nombre de vulnérabilités observées dans les appareils, les réseaux et les applications a augmenté de façon spectaculaire ces dernières années. Un coup d’œil à la base de données nationale sur les vulnérabilités révèle que le nombre de vulnérabilités et d’exploits communs (CVE) a triplé depuis 2016.
Aussi en hausse : des efforts très sophistiqués pour exploiter ces vulnérabilités. Selon l’Identity Theft Resource Center (ITRC), le nombre de violations de données enregistrées a bondi de 17 % entre 2018 et 2019. Au cours des seuls deux premiers mois de 2020, 1,66 milliard d’enregistrements ont été exposés dans 11 476 brèches.
Pourtant, la plupart des entreprises ne sont toujours pas suffisamment préparées. En 2019, PwC a constaté que « moins de la moitié des entreprises dans le monde sont suffisamment préparées à une attaque de cybersécurité. » Les cybercriminels sont de plus en plus avancés et les organisations ont du mal à s’assurer que les compétences, les outils et les processus de cybersécurité de leur équipe peuvent faire face à ces menaces.
Tout cela a un coût réel pour les entreprises. D’ici 2021, Cybersecurity Ventures prévoit que les dommages causés par la cybercriminalité coûteront au monde 6 000 milliards de dollars par an (contre 3 000 milliards de dollars en 2015) – des coûts que, dans une période de perturbations économiques historiques, les entreprises peuvent difficilement se permettre.
Alors que les vulnérabilités et les attaques diversifiées ne cessent de croître, vous avez besoin d’un programme de gestion des vulnérabilités pour protéger correctement votre infrastructure, vos applications et vos données.
Un programme de gestion des vulnérabilités traditionnel peut-il suivre ?
De nombreuses entreprises ont encore l’habitude de patcher tout ce qui dépasse un certain seuil, comme les scores CVSS (Common Vulnerability Scoring System) de sept ou plus. Certaines continuent à utiliser d’énormes feuilles de calcul des vulnérabilités qu’elles trient ensuite en fonction de leur intuition, du profil public d’une vulnérabilité ou du nombre d’actifs affectés. Dans la plupart des cas, cette approche de base d’un programme de gestion des vulnérabilités fonctionnait – c’est-à-dire jusqu’à ce que les attaquants deviennent plus sophistiqués et que les infrastructures deviennent plus complexes, plus sensibles et plus étendues.
Le problème pour les organisations d’aujourd’hui est que ces modèles traditionnels de programme de gestion des vulnérabilités les obligent à essayer de hiérarchiser les vulnérabilités sans le contexte nécessaire pour évaluer avec précision le risque qu’une vulnérabilité pose à leur organisation spécifique. Par exemple, une vulnérabilité peut faire la une des journaux et susciter l’inquiétude des parties prenantes et des dirigeants. De nombreuses vulnérabilités ont été corrigées dans ces conditions. Mais dans de nombreux cas, il se peut que la vulnérabilité ne soit pas activement exploitée dans votre secteur ; en d’autres termes, elle présente un risque relativement faible pour votre infrastructure. Disposer de ce contexte vous aiderait à déterminer quelles vulnérabilités méritent d’être corrigées – et à défendre ensuite auprès des autres votre décision de priver de priorité la remédiation des vulnérabilités qui font la une des journaux.
Prenez maintenant en compte que seulement 2 à 5 % des vulnérabilités d’une organisation sont susceptibles d’être exploitées. Les méthodes traditionnelles de gestion des vulnérabilités ne seront probablement pas d’une grande aide pour repérer celles qui sont le plus susceptibles d’être exploitées. Les scanners de vulnérabilités et les scores CVSS offrent aux équipes informatiques et de sécurité peu de visibilité sur le risque spécifique que chaque vulnérabilité représente pour une organisation.
Les équipes de sécurité tentent donc d’inciter l’informatique et les DevOps à remédier à un volume élevé de vulnérabilités qui, en fin de compte, pourraient ne pas réduire le risque et gaspiller des cycles précieux qui pourraient être consacrés à des initiatives plus stratégiques et plus significatives. La friction entre les équipes de sécurité et d’informatique est quelque chose que les organisations ayant des programmes traditionnels de gestion des vulnérabilités ne connaissent que trop bien.
Programmes de gestion des vulnérabilités traditionnels contre programmes de gestion des vulnérabilités basés sur les risques
Une alternative plus moderne aux méthodes traditionnelles est appelée gestion des vulnérabilités basée sur les risques, qui infuse la science des données, l’intelligence des vulnérabilités en temps réel et l’automatisation pour créer une approche hiérarchisée et efficace pour mieux isoler et comprendre les risques qui constituent réellement une menace pour une organisation. Les entreprises qui cherchent à gagner du temps, à créer des flux de travail de remédiation plus efficaces et à réduire leur profil de risque se sont tournées vers la gestion des vulnérabilités basée sur les risques.
Selon les principaux analystes, l’avenir des programmes de gestion des vulnérabilités est basé sur les risques. Ces derniers mois, alors que les vulnérabilités et les menaces continuent d’augmenter et d’évoluer, Gartner a reconnu la nécessité de hiérarchiser les vulnérabilités en fonction du risque. « Gartner a souligné le besoin crucial d’évaluer les actifs pour les problèmes de configuration et les vulnérabilités, et d’être capable de prioriser ce que vous faites avec cette évaluation, en fonction du risque pour votre organisation. »
Et à la fin de l’année dernière, Forrester a également observé que la priorisation basée sur les risques définira les futurs programmes modernes de gestion des vulnérabilités.
Quelles sont les étapes de l’élaboration d’un programme de gestion des vulnérabilités ?
Les organisations qui cherchent à établir ou à renforcer leurs programmes de gestion des vulnérabilités devraient commencer par suivre ces six étapes clés.
- Réunissez votre équipe. Commencez à jeter les bases de votre programme en identifiant tous les acteurs clés nécessaires. Les organisations ont souvent un directeur ou un responsable de la sécurité chargé de la gestion des vulnérabilités et au moins un analyste qui identifie, suit et évalue les vulnérabilités dans l’ensemble de votre environnement. Le membre de votre équipe de remédiation, chargé de corriger les vulnérabilités, peut couvrir plusieurs départements tels que l’informatique, DevOps et AppSec.
- Acquérir les bons outils. Les outils courants de recherche de vulnérabilités utilisés par les équipes de sécurité dénichent des vulnérabilités dans l’environnement. Une fois ces vulnérabilités localisées, une base de données de gestion des configurations fournit des informations détaillées sur tous les actifs matériels et logiciels d’une organisation. Une solution de gestion des vulnérabilités donne un sens à ces données et les trie, ce qui permet d’identifier les principales vulnérabilités qui représentent le plus grand risque pour l’organisation. Celles-ci sont ensuite introduites dans un flux de remédiation (généralement à l’aide d’un système de billetterie) qui est partagé avec l’informatique et les DevOps.
- Croisez le paysage des menaces avec votre environnement. Prenez votre compréhension de vos actifs et des vulnérabilités connues au sein de votre organisation et croisez-les avec vos renseignements sur les menaces. Cela vous aidera à déterminer l’impact d’un exploit potentiel – un autre facteur clé pour déterminer le risque. Des outils tels que les listes CVE, les informations CPE (dénombrement des plates-formes communes) et CWE (dénombrement des faiblesses communes) offrent un début, mais pour croiser efficacement les références, vous avez besoin de données larges et réelles qu’un seul programme moderne de gestion des vulnérabilités intégrera.
- Connaissez vos actifs, vos applications et votre tolérance au risque. Comprendre vos actifs actuels et le niveau de risque acceptable de votre organisation est essentiel pour une priorisation efficace. Pour développer un inventaire détaillé des actifs, tournez-vous vers des outils automatisés pour vous aider dans cette tâche de découverte, qui balayeront votre organisation pour identifier les actifs tels que les serveurs, les postes de travail, les machines virtuelles, les baies de stockage et les périphériques réseau. Votre tolérance au risque peut être déterminée par votre secteur d’activité ou par les directives spécifiques de votre entreprise. Recherchez des sources au sein de votre entreprise qui vous indiqueront les directives d’évaluation des risques concernant d’autres aspects de l’activité. Pour des vulnérabilités spécifiques, il est essentiel de comprendre quel niveau de risque vous pouvez accepter et les compromis à faire entre remédier maintenant ou attendre.
- Mesurez, évaluez et hiérarchisez vos vulnérabilités. C’est à ce stade que votre choix de plateforme de gestion des vulnérabilités devient critique. Lorsque vous envisagez la bonne plateforme pour votre organisation, recherchez-en une qui intègre des renseignements sur les vulnérabilités du monde réel, la science des données, l’analyse automatisée des risques, des mesures de risque personnalisées et même des accords de niveau de service basés sur les risques. Les meilleures plateformes modernes combinent tout cela dans une métrique – ou un score – qui est simple, compréhensible et reproductible.
- Communiquer, remédier et rendre compte. Votre solution de gestion des vulnérabilités doit aider – et non entraver – votre communication interne entre les équipes clés. Elle doit également soutenir votre capacité à remédier rapidement et efficacement tout en maintenant tout le monde au courant, et rendre le reporting de vos progrès simple et intuitif. Assurez-vous de rechercher une plate-forme offrant une intégration aux systèmes de billetterie les plus courants et la possibilité de développer des mesures et des tableaux de bord personnalisés afin que les principales parties prenantes disposent d’une fenêtre constante et facile à comprendre sur les progrès de la gestion des risques de votre entreprise. La plupart des organisations emploient un mélange de trois tactiques de remédiation courantes, notamment les correctifs automatisés, les outils de gestion des correctifs et les mises à jour manuelles.
Apprendre à mettre en œuvre un programme moderne de gestion des vulnérabilités basé sur les risques
La nécessité pour une entreprise d’établir un programme moderne de gestion des vulnérabilités est claire. S’appuyer sur les méthodes traditionnelles de gestion des vulnérabilités laisse les équipes de remédiation à la poursuite de vulnérabilités qui peuvent ne pas réduire leur risque global et crée des inefficacités au sein des flux de travail. Les programmes modernes de gestion des vulnérabilités permettent aux organisations d’adopter une position proactive et axée sur les données contre les menaces et de rationaliser les opérations internes afin d’économiser du temps et de l’argent, de réduire les efforts inutiles, d’améliorer la collaboration entre les équipes et d’avoir un impact significatif sur leurs profils de risque.
Pour un regard approfondi sur la façon de mettre en œuvre un programme de gestion des vulnérabilités basé sur les risques, téléchargez Comment mettre en œuvre la gestion des vulnérabilités basée sur les risques maintenant : Un guide pratique. Rempli de conseils pratiques et de meilleures pratiques, cet eBook détaille l’importance d’un programme moderne de gestion des vulnérabilités au milieu de l’évolution du paysage des menaces et parcourt en détail les six étapes clés de la mise en place d’un programme de gestion des vulnérabilités basé sur les risques décrites ci-dessus.
Téléchargez l’eBook aujourd’hui, et commencez à préparer l’avenir de votre entreprise.