De nouvelles vulnérabilités peuvent survenir à tout moment, c’est pourquoi les équipes de sécurité abordent leur gestion comme un cycle de vie continu, et non comme un événement discret. Ce cycle de vie comprend cinq workflows continus qui se chevauchent : découverte, classification et hiérarchisation, résolution, réévaluation et reporting.
1. Découverte
Le workflow de découverte s’articule autour de l’évaluation des vulnérabilités, un processus qui consiste à vérifier si les actifs informatiques de l’entreprise présentent des vulnérabilités connues. En général, les équipes de sécurité automatisent ce processus à l’aide d’un logiciel d’analyse des vulnérabilités. Certains scanners de vulnérabilité procèdent régulièrement à une analyse complète du réseau, tandis que d’autres s’appuient sur des agents que l’on installe sur les ordinateurs portables, les routeurs et d’autres terminaux pour collecter des données. Les équipes de sécurité peuvent également procéder à des évaluations épisodiques, comme les tests de pénétration, pour détecter les vulnérabilités qui échappent aux scanners.
2. Classification et priorisation
Une fois les vulnérabilités identifiées, elles sont classées par type (par exemple, mauvaise configuration des appareils, problèmes de chiffrement, exposition des données sensibles) et hiérarchisées en fonction de leur criticité. Ce processus permet d’estimer le niveau de gravité et d’exploitabilité de chaque vulnérabilité, ainsi que le risque d’attaque associé.
Les solutions de gestion des vulnérabilités s’appuient généralement sur des sources de renseignement sur les menaces comme le Common Vulnerability Scoring System (CVSS), une norme ouverte du secteur de la cybersécurité, pour noter la criticité des vulnérabilités connues sur une échelle de 0 à 10. Deux autres sources largement utilisées sont la liste Common Vulnerabilities and Exposures (CVE) de MITRE et la National Vulnerability Database (NVD) du NIST.
3. Résolution
Une fois les vulnérabilités hiérarchisées, les équipes de sécurité disposent de trois options :
- Résolution :correction complète d’une vulnérabilité afin qu’elle ne puisse plus être exploitée (par exemple, installer un correctif pour résoudre un bogue logiciel ou retirer un actif vulnérable). Bon nombre de plateformes de gestion des vulnérabilités proposent des outils de résolution comme le téléchargement et le test automatique des correctifs, ainsi que la gestion des configurations pour corriger les erreurs au niveau du réseau et des appareils à partir d’un tableau de bord ou d’un portail centralisé.
- Atténuation :rendre une vulnérabilité plus difficile à exploiter et en réduire l’impact sans la supprimer complètement. Il peut s’agir de laisser un appareil vulnérable en ligne, tout en le segmentant du reste du réseau. L’atténuation intervient généralement lorsque aucun correctif ni aucun autre moyen de correction n’est encore disponible.
- Acceptation : choisir de ne pas corriger une vulnérabilité. Les vulnérabilités dont le score de criticité est faible, qui sont peu susceptibles d’être exploitées ou de causer des dommages importants, sont souvent acceptées.
4. Réévaluation
Lorsque les vulnérabilités sont corrigées, les équipes de sécurité procèdent à une nouvelle évaluation pour s’assurer que leurs efforts d’atténuation ou de résolution ont porté leurs fruits et n’ont pas introduit de nouvelles vulnérabilités.
5. Reporting
Les plateformes de gestion des vulnérabilités proposent généralement des tableaux de bord pour générer des rapports sur des indicateurs comme le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). De nombreuses solutions comportent également une base de données contenant les vulnérabilités identifiées pour permettre aux équipes de sécurité de suivre leur résolution et de vérifier la gestion des vulnérabilités antérieures.
Ces capacités de reporting leur permettent d’établir une base de référence pour les activités de gestion des vulnérabilités en cours, et de surveiller la performance du programme au fil du temps. Ces rapports permettent également d’informer les équipes informatiques chargées de la gestion des actifs, qui ne sont pas directement impliquées dans le processus de gestion des vulnérabilités.