Qu’est-ce que la gestion des vulnérabilités ?

Une vulnérabilité est une faille ou une faiblesse dans la structure, le fonctionnement ou la mise en œuvre d’un réseau ou d’un actif en réseau, que les pirates peuvent exploiter pour lancer des cyberattaques, obtenir un accès non autorisé aux systèmes ou aux données, ou nuire de toute autre manière à l’entreprise.

Parmi les vulnérabilités courantes, citons les erreurs de configuration du pare-feu, qui peuvent permettre à certains types de logiciels malveillants de pénétrer dans le réseau, ou les bogues non corrigés dans le protocole de bureau à distance d’un système d’exploitation, que les pirates peuvent exploiter pour prendre le contrôle d’un appareil.

Dans un contexte où les réseaux d’entreprise sont distribués et de nouvelles vulnérabilités sont découvertes tous les jours, une gestion manuelle ou ad hoc efficace de ces dernières s’avère quasi impossible. Les équipes de cybersécurité s’appuient généralement sur des solutions de gestion des vulnérabilités pour automatiser le processus.

Le CIS (Center for Internet Security) classe la gestion continue des vulnérabilités parmi ses contrôles de sécurité essentiels pour se protéger contre les cyberattaques les plus courantes. La gestion des vulnérabilités permet aux équipes de sécurité informatique d’adopter une posture de sécurité plus proactive, qui consiste à identifier et à corriger les vulnérabilités avant qu’elles ne soient exploitées.

De nouvelles vulnérabilités peuvent survenir à tout moment, c’est pourquoi les équipes de sécurité abordent leur gestion comme un cycle de vie continu, et non comme un événement discret. Ce cycle de vie comprend cinq workflows continus qui se chevauchent : découverte, classification et hiérarchisation, résolution, réévaluation et reporting.

Le workflow de découverte s’articule autour de l’évaluation des vulnérabilités, un processus qui consiste à vérifier si les actifs informatiques de l’entreprise présentent des vulnérabilités connues. En général, les équipes de sécurité automatisent ce processus à l’aide d’un logiciel d’analyse des vulnérabilités. Certains scanners de vulnérabilité procèdent régulièrement à une analyse complète du réseau, tandis que d’autres s’appuient sur des agents que l’on installe sur les ordinateurs portables, les routeurs et d’autres terminaux pour collecter des données. Les équipes de sécurité peuvent également procéder à des évaluations épisodiques, comme les tests de pénétration, pour détecter les vulnérabilités qui échappent aux scanners.

Une fois les vulnérabilités identifiées, elles sont classées par type (par exemple, mauvaise configuration des appareils, problèmes de chiffrement, exposition des données sensibles) et hiérarchisées en fonction de leur criticité. Ce processus permet d’estimer le niveau de gravité et d’exploitabilité de chaque vulnérabilité, ainsi que le risque d’attaque associé.

Les solutions de gestion des vulnérabilités s’appuient généralement sur des sources de renseignement sur les menaces comme le Common Vulnerability Scoring System (CVSS), une norme ouverte du secteur de la cybersécurité, pour noter la criticité des vulnérabilités connues sur une échelle de 0 à 10. Deux autres sources largement utilisées sont la liste Common Vulnerabilities and Exposures (CVE) de MITRE et la National Vulnerability Database (NVD) du NIST.

Une fois les vulnérabilités hiérarchisées, les équipes de sécurité disposent de trois options :

• Résolution :correction complète d’une vulnérabilité afin qu’elle ne puisse plus être exploitée (par exemple, installer un correctif pour résoudre un bogue logiciel ou retirer un actif vulnérable). Bon nombre de plateformes de gestion des vulnérabilités proposent des outils de résolution comme le téléchargement et le test automatique des correctifs, ainsi que la gestion des configurations pour corriger les erreurs au niveau du réseau et des appareils à partir d’un tableau de bord ou d’un portail centralisé.
• Atténuation :rendre une vulnérabilité plus difficile à exploiter et en réduire l’impact sans la supprimer complètement. Il peut s’agir de laisser un appareil vulnérable en ligne, tout en le segmentant du reste du réseau. L’atténuation intervient généralement lorsque aucun correctif ni aucun autre moyen de correction n’est encore disponible. 
• Acceptation : choisir de ne pas corriger une vulnérabilité. Les vulnérabilités dont le score de criticité est faible, qui sont peu susceptibles d’être exploitées ou de causer des dommages importants, sont souvent acceptées.

Lorsque les vulnérabilités sont corrigées, les équipes de sécurité procèdent à une nouvelle évaluation pour s’assurer que leurs efforts d’atténuation ou de résolution ont porté leurs fruits et n’ont pas introduit de nouvelles vulnérabilités.

Les plateformes de gestion des vulnérabilités proposent généralement des tableaux de bord pour générer des rapports sur des indicateurs comme le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). De nombreuses solutions comportent également une base de données contenant les vulnérabilités identifiées pour permettre aux équipes de sécurité de suivre leur résolution et de vérifier la gestion des vulnérabilités antérieures.

Ces capacités de reporting leur permettent d’établir une base de référence pour les activités de gestion des vulnérabilités en cours, et de surveiller la performance du programme au fil du temps. Ces rapports permettent également d’informer les équipes informatiques chargées de la gestion des actifs, qui ne sont pas directement impliquées dans le processus de gestion des vulnérabilités.

La gestion des vulnérabilités basée sur les risques (RBVM) est une approche relativement nouvelle qui associe données de vulnérabilité spécifiques aux parties prenantes, intelligence artificielle et machine learning pour améliorer la gestion des vulnérabilités de trois manières importantes.

Plus de contexte pour une priorisation plus efficace. Les solutions traditionnelles de gestion des vulnérabilités déterminent la criticité en s’appuyant sur des ressources conformes aux normes du secteur, comme le CVSS et la NIST NVD. Ces ressources reposent sur des généralités qui permettent de déterminer la criticité moyenne d’une vulnérabilité, quelle que soit l’entreprise. Le manque de données sur les vulnérabilités spécifiques aux parties prenantes peut toutefois entraîner une priorisation excessive ou insuffisante pour une entreprise donnée.

Par exemple, parce qu’aucune équipe de sécurité n’a le temps ni les ressources nécessaires pour traiter toutes les vulnérabilités de son réseau, beaucoup privilégient les vulnérabilités avec un score CVSS « élevé » (7,0-8,9) ou « critique » (9,0-10,0). Cependant, en cas de vulnérabilité « critique » d’un actif qui ne stocke ni ne traite d’informations sensibles, ou qui n’offre aucun chemin d’accès vers les segments à forte valeur ajoutée du réseau, la correction n’en vaut peut-être pas la peine.

Les vulnérabilités ayant un faible score CVSS peuvent constituer une menace importante pour certaines entreprises. Le bogue Heartbleed, découvert en 2014, avait été classé comme « moyen » (5,0) sur l’échelle CVSS. Les pirates informatiques l’ont toutefois exploité pour lancer des attaques de grande envergure, notamment pour voler les données de 4,5 millions de patients auprès de l’une des plus grandes chaînes d'hôpitaux américains.

La RBVM complète le score par des données de vulnérabilité spécifiques aux parties prenantes (le nombre et la criticité des actifs concernés, la manière dont les actifs sont connectés entre eux et l’impact d’une éventuelle exploitation), ainsi que des données sur la manière dont les cybercriminels interagissent avec les vulnérabilités dans le monde réel. Le machine learning est utilisé pour formuler des scores qui reflètent avec plus de précision le risque que chaque vulnérabilité fait peser sur l’entreprise. Cela permet aux équipes de sécurité informatique de prioriser un plus petit nombre de vulnérabilités critiques, sans compromettre la sécurité du réseau.

Découverte en temps réel. Avec l’approche RBVM, les analyses de vulnérabilité sont souvent effectuées en temps réel, et non selon un planning régulier. En outre, les solutions RBVM permettent de surveiller un plus large éventail d’actifs. Alors que les scanners de vulnérabilité traditionnels sont généralement limités aux actifs connus, directement connectés au réseau, les outils RBVM sont généralement capables d’analyser les appareils mobiles sur site et à distance, les actifs cloud, les applications tierces, ainsi que d’autres ressources.

Réévaluation automatisée. Dans le cadre du processus RBVM, la réévaluation peut être automatisée par une analyse continue des vulnérabilités. Avec une approche traditionnelle de la gestion des vulnérabilités, la réévaluation peut nécessiter une analyse intentionnelle du réseau ou un test de détection.

La gestion des vulnérabilités est étroitement liée à la gestion de la surface d’attaque (ASM). L’ASM consiste à découvrir, analyser, résoudre et surveiller en permanence les vulnérabilités et les vecteurs d’attaque qui composent la surface d’attaque de l’entreprise. La principale différence entre l’ASM et la gestion des vulnérabilités réside dans leur portée. Si les deux processus permettent de surveiller et de corriger les vulnérabilités présentes dans les actifs de l’entreprise, l’ASM implique une approche plus holistique de la sécurité du réseau.

Les solutions ASM proposent des fonctionnalités de découverte des actifs qui permettent d’identifier et de surveiller tous les actifs connus, inconnus, tiers, subsidiaires et malveillants connectés au réseau. En outre, l’ASM couvre bien plus que les actifs informatiques pour identifier les vulnérabilités dans les surfaces d’attaque physique et d’ingénierie sociale de l’entreprise. Ces actifs et vulnérabilités sont ensuite analysés du point de vue du pirate informatique, afin de comprendre comment ce dernier pourrait s’en servir pour infiltrer le réseau.

Avec l’essor de la gestion des vulnérabilités basée sur les risques (RBVM), les frontières entre la gestion des vulnérabilités et l’ASM sont de plus en plus floues. Si les entreprises déploient souvent une plateforme ASM dans le cadre de leur solution RBVM, c’est parce que l’ASM fournit une vision plus complète de la surface d’attaque.