Qu’est-ce que le cycle de vie de la gestion des vulnérabilités ?

Chaque mois, le National Institute of Standards and Technology (NIST) ajoute plus de 2 000 nouvelles vulnérabilités de sécurité à la National Vulnerability Database. Les équipes de sécurité n'ont pas besoin de suivre toutes ces vulnérabilités, mais elles ont besoin d'un moyen d'identifier et de résoudre celles qui représentent une menace potentielle pour leurs systèmes. C’est à cela que sert le cycle de vie de la gestion des vulnérabilités.

Une phase classique du cycle de vie comporte cinq étapes :

1. Inventaire des actifs et évaluation de la vulnérabilité.
2. Hiérarchisation des vulnérabilités
3. Résolution des vulnérabilités.
4. Vérification et surveillance.
5. Rapports et améliorations.

Le cycle de vie de la gestion des vulnérabilités permet aux organisations d’améliorer leur posture de sécurité en adoptant une approche plus stratégique de la gestion des vulnérabilités. Au lieu de réagir aux nouvelles vulnérabilités dès qu’elles apparaissent, les équipes de sécurité recherchent activement les failles de leurs systèmes. Les organisations peuvent identifier les vulnérabilités les plus critiques et se protéger avant que les acteurs de la menace ne frappent.

Une vulnérabilité est une faille de sécurité dans la structure, la fonction ou la mise en œuvre d'un réseau ou d'un actif que les hackers peuvent exploiter pour nuire à une entreprise.

Des vulnérabilités peuvent résulter de défauts fondamentaux dans le développement d'un actif. Ce fut le cas de la célèbre vulnérabilité Log4J, où des erreurs de codage dans une bibliothèque Java populaire permettaient aux hackers d’exécuter à distance des logiciels malveillants sur les ordinateurs des victimes. D’autres vulnérabilités sont causées par une erreur humaine, comme un compartiment de stockage cloud mal configuré qui expose des données sensibles sur le réseau Internet public.

Chaque vulnérabilité représente un risque pour l’entreprise. Selon le X-Force Threat Intelligence Index d’IBM, l’exploitation des vulnérabilités dans les applications destinées au public est l’un des vecteurs de cyberattaque les plus courants. 

Les hackers disposent d’un stock croissant de vulnérabilités. En réponse, les entreprises ont fait de la gestion des vulnérabilités un élément clé de leurs stratégies de gestion des cyberrisques. Le cycle de vie de la gestion des vulnérabilités offre un modèle formel pour des programmes efficaces de gestion des vulnérabilités dans un paysage de cybermenaces en constante évolution. En adoptant le cycle de vie, les organisations peuvent bénéficier de certains des avantages suivants :

• Détection et résolution proactives des vulnérabilités : les entreprises ne connaissent souvent pas leurs vulnérabilités tant que les hackers ne les ont pas exploitées. Le cycle de vie de la gestion des vulnérabilités repose sur une surveillance continue afin que les équipes de sécurité puissent découvrir les vulnérabilités avant que les hackers ne le fassent.
  
  
• Allocation stratégique des ressources : des dizaines de milliers de nouvelles vulnérabilités sont découvertes chaque année, mais seules quelques-unes sont pertinentes pour une organisation. Le cycle de vie de la gestion des vulnérabilités aide les entreprises à identifier les vulnérabilités les plus critiques de leurs réseaux et à hiérarchiser les risques les plus importants en matière de résolution.
  
  
• Un processus de gestion des vulnérabilités plus cohérent : le cycle de vie de la gestion des vulnérabilités donne aux équipes de sécurité un processus reproductible à suivre, de la découverte des vulnérabilités à la résolution et au-delà. Un processus plus cohérent produit des résultats plus cohérents et permet aux entreprises d’automatiser des workflows clés tels que l’inventaire des actifs, l’évaluation des vulnérabilités et la gestion des correctifs.

De nouvelles vulnérabilités peuvent survenir dans un réseau à tout moment, de sorte que le cycle de vie de la gestion des vulnérabilités est une boucle continue plutôt qu’une série d’événements distincts. Chaque phase du cycle de vie alimente directement le suivant. Une seule phase contient généralement les étapes suivantes :

Étape 0 : planification et travail préliminaire

Techniquement, la planification et les travaux préliminaires se font avant le cycle de vie de la gestion des vulnérabilités, d'où la désignation « Étape 0 ». Au cours de cette étape, l'organisation met au point les détails essentiels du processus de gestion des vulnérabilités, notamment les suivants :

• Les parties prenantes qui seront impliquées et les rôles qu’elles auront
  
  
• Ressources (personnes, outils et financements) disponibles pour la gestion des vulnérabilités
  
  
• Lignes directrices générales pour prioriser et corriger les vulnérabilités
  
  
• Indicateurs permettant de mesurer le succès du programme

Les organisations ne passent pas par cette étape avant chaque cycle de vie. En règle générale, une entreprise effectue une phase de planification et de travail préparatoire approfondie avant de lancer un programme formel de gestion des vulnérabilités. Lorsqu’un programme est en place, les parties prenantes revoient périodiquement la planification et le travail préparatoire pour mettre à jour leurs directives et stratégies globales selon les besoins.

Étape 1 : découverte des actifs et évaluation de la vulnérabilité

Le cycle de vie formel de la gestion des vulnérabilités commence par un inventaire des actifs, c’est-à-dire un catalogue de tout le matériel et les logiciels présents dans le réseau de l’organisation. L'inventaire comprend les applications et les points de terminaison officiellement approuvés, ainsi que tous les actifs de shadow IT que les employés utilisent sans approbation.

De nouveaux actifs étant régulièrement ajoutés aux réseaux de l’entreprise, l’inventaire des actifs est mis à jour avant chaque cycle de vie. Les entreprises utilisent souvent des outils logiciels tels que des plateformes de gestion de surface d'attaque pour automatiser leurs inventaires.

Après avoir identifié les actifs, l'équipe de sécurité en évalue les vulnérabilités. L’équipe peut utiliser une combinaison d’outils et de méthodes, notamment des scanners de vulnérabilités automatisés, des tests d’intrusion manuels et des renseignements externes sur les menaces provenant de la communauté de cybersécurité.

L’évaluation de chaque actif à chaque étape du cycle de vie serait fastidieuse, c’est pourquoi les équipes de sécurité travaillent généralement en groupe. Chaque cycle du cycle de vie se concentre sur un groupe spécifique d’actifs, les groupes d’actifs plus critiques recevant des analyses plus souvent. Certains outils avancés d’analyse des vulnérabilités évaluent en continu tous les actifs du réseau en temps réel, permettant à l’équipe de sécurité d’adopter une approche encore plus dynamique de la découverte des vulnérabilités.

Étape 2 : priorisation des vulnérabilités

L’équipe de sécurité hiérarchise les vulnérabilités identifiées lors de l’étape d’évaluation. La priorisation permet de traiter en premier les vulnérabilités les plus critiques. Cette étape permet également à l’équipe d’éviter de consacrer du temps et des ressources aux vulnérabilités à faible risque. 

Pour classer les vulnérabilités par ordre de priorité, l'équipe prend en compte les critères suivants :

• Évaluations de criticité des renseignements externes sur les menaces : il peut s’agir de la liste Common Vulnerabilities and Exposures (CVE) de MITRE ou du Common Vulnerability Scoring System (CVSS).
  
  
• Criticité des actifs : une vulnérabilité non critique concernant un actif critique reçoit souvent une priorité plus élevée qu'une vulnérabilité critique pour un actif moins important. 
  
  
• L'impact potentiel : l'équipe de sécurité évalue ce qui pourrait se produire si des hackers exploitaient une vulnérabilité particulière, y compris les effets sur les activités de l'entreprise, les pertes financières et toute possibilité d'action en justice.
  
  
• Probabilité d'exploitation : l'équipe de sécurité accorde plus d'attention aux vulnérabilités dont les exploits sont connus et que les hackers utilisent activement dans la nature.
  
  
• Faux positifs : l’équipe de sécurité s’assure de l’existence réelle des vulnérabilités avant d’y consacrer des ressources.

Étape 3 : résolution de la vulnérabilité

L’équipe de sécurité travaille sur la liste des vulnérabilités classées par ordre de priorité, de la plus critique à la moins critique. Les organisations disposent de trois options pour remédier aux vulnérabilités :

1. Remédiation : corriger complètement une vulnérabilité afin qu'elle ne puisse plus être exploitée, par exemple en corrigeant un bogue du système d'exploitation, en corrigeant une erreur de configuration ou en supprimant un actif vulnérable du réseau. Les mesures de résolution ne sont pas toujours possibles. Pour certaines vulnérabilités, les correctifs complets n'étaient pas disponibles au moment de leur découverte (par exemple, les vulnérabilités zero-day). Pour les autres vulnérabilités, la résolution demanderait trop de ressources.
2. Atténuation :rendre une vulnérabilité plus difficile à exploiter et en réduire l’impact sans la supprimer complètement. Par exemple, l'ajout de mesures d'authentification et d'autorisation plus strictes à une application Web permettrait aux hackers de détourner plus facilement des comptes. L'élaboration de plans de réponse aux incidents pour les vulnérabilités identifiées peut atténuer l'impact des cyberattaques. Les équipes de sécurité choisissent généralement d’atténuer les données lorsque la résolution est impossible ou dont le coût est prohibitif. 
   
   
3. Acceptation : certaines vulnérabilités ont un impact si faible ou peu probable qu’il soit possible de les corriger de manière rentable. Dans ce cas, l’organisation peut choisir d’accepter la vulnérabilité.

Étape 4 : vérification et surveillance

Pour vérifier que les efforts d'atténuation et de résolution ont fonctionné comme prévu, l'équipe de sécurité analyse et teste à nouveau les actifs sur lesquels elle vient de travailler. Ces audits ont deux objectifs principaux : déterminer si l’équipe de sécurité a traité avec succès toutes les vulnérabilités connues et s’assurer que l’atténuation et la résolution n’ont pas introduit de nouveau problème.

Dans le cadre de cette étape de réévaluation, l’équipe de sécurité surveille également le réseau de manière plus large. L’équipe recherche les nouvelles vulnérabilités depuis la dernière analyse, les anciennes mesures d’atténuation qui sont devenues obsolètes ou d’autres modifications qui peuvent nécessiter une action. Toutes ces conclusions permettent d'orienter la prochaine étape du cycle de vie.

Étape 5 : rapport et amélioration

L'équipe de sécurité documente l'activité du cycle de vie le plus récent, y compris les vulnérabilités identifiées, les mesures de résolution prises et les résultats. Ces rapports sont partagés avec les parties prenantes concernées, notamment les responsables, les propriétaires d’actifs, les services de conformité et autres. 

L'équipe de sécurité réfléchit également à la façon dont s'est déroulée la dernière phase du cycle de vie. L'équipe peut examiner des indicateurs clés tels que le temps moyen de détection (MTTD), le temps moyen de réponse (MTTR), le nombre total de vulnérabilités critiques et les taux de récurrence des vulnérabilités. En suivant ces indicateurs au fil du temps, l'équipe de sécurité peut établir une base de référence pour les performances du programme de gestion des vulnérabilités et identifier les opportunités d'amélioration du programme au fil du temps. Les leçons tirées d'un cycle de vie peuvent améliorer l'efficacité du cycle suivant.