Quantifier et réduire le cyber-risque grâce à l’évaluation des vulnérabilités

Une vulnérabilité est une faille ou brèche de sécurité pouvant être exploitée par un criminel. L’évaluation des vulnérabilités consiste en l’identification et l’analyse des cyber-risques et vulnérabilités sur les réseaux informatiques, systèmes, équipements, applications et autres actifs IT, sur site et dans le cloud. Elle informe les équipes de sécurité et autres personnes concernées pour qu’elles puissent évaluer et prioriser les risques à traiter dans le contexte approprié. C’est un aspect fondamental des cycles de vie de gestion des vulnérabilités et de gestion des risques IT, afin de protéger les systèmes et les données des accès non autorisés et des compromissions de données. Mais quelles sont les bases des évaluations de vulnérabilités ? Comment identifier et réduire le cyber-risque ? Quels sont les autres composants complémentaires du framework de gestion des vulnérabilités ?

1. Quels sont les principaux avantages des évaluations de vulnérabilités ?

Les évaluations de vulnérabilités permettent aux équipes IT d’appliquer une approche claire, globale et cohérente d’identification et de résolution des menaces de sécurité et des risques. Ceci confère plusieurs avantages dans toute l’entreprise :

• Identification précoce et cohérente des menaces et faiblesses de sécurité IT
• Mesures de correction (correctifs, renforcement des systèmes, etc.) pour combler les écarts et protéger les systèmes et informations sensibles
• Satisfaction des obligations réglementaires et de conformité de la cybersécurité, de type HIPAA et PCI DSS
• Protection contre les compromissions de données et autres accès non autorisés

Les évaluations de vulnérabilités peuvent amener une organisation à procéder des ajustements pour atténuer l’impact d’une vulnérabilité zero-day (vulnérabilité publiée et connue, mais pour laquelle il n’existe pas de correctif). Par exemple, anticipant une vulnérabilité zero-day, l’organisation pourrait isoler des applications ou des parties du système touché et superposer des contrôles supplémentaires afin de renforcer la cyber résilience dans l’attente d’un correctif.

2. Quel lien entre évaluation des vulnérabilités et gestion des risques ?

La plupart des évaluations de vulnérabilité attribuent un niveau de risque à chaque cyber menace. Ces risques peuvent être associés à une priorité, un degré d’urgence et un impact, de façon à se focaliser sur les cyber menaces les plus dommageables pour l’entreprise et organiser l’action corrective ou décider de courir le risque. C’est une part importante de la gestion des vulnérabilités, l’équipe de sécurité IT étant généralement limitée en temps et en ressources et devant donc se concentrer sur les zones les plus à risque pour l’entreprise. C’est ce qui inscrit les évaluations de vulnérabilité dans le cadre plus large de la gestion des risques IT.

3. Méthodologie d’évaluation et analyse des vulnérabilités

L’une des approches les plus courantes d’évaluation des vulnérabilités réside dans l’utilisation d’un logiciel d’analyse automatisée des vulnérabilités. Ces outils s’appuient sur des bases de données de vulnérabilités connues pour identifier des brèches potentielles sur les réseaux, applis, conteneurs, systèmes, données, équipements, etc. L’outil d’évaluation des vulnérabilités analyse de façon exhaustive chaque aspect de la technologie. Une fois les analyses effectuées, l’outil rend compte de tous les problèmes détectés et émet des suggestions pour supprimer les menaces. Les outils les plus complets aideront à décider s’il vaut mieux corriger ou accepter le risque selon l’impact sur les opérations métier et la sécurité. Les entreprises intègrent fréquemment l’analyse de vulnérabilités à une solution SIEM et la combinent avec d’autres données sur les menaces pour produire une analyse plus holistique encore.

L’analyse de vulnérabilités s’inscrit dans l’évaluation des vulnérabilités ; d’autres processus, comme les tests de pénétration, permettent d’identifier différents types de menaces pour l’environnement IT de votre organisation. Les tests de pénétration complètent l’analyse des vulnérabilités et sont utiles pour savoir si la vulnérabilité peut être exploitée et avec quels dommages à la clé, perte de données ou autre problème. Certaines entreprises appliquent aussi une méthodologie d’évaluation manuelle. Plus les méthodes d’évaluation se chevauchent, plus la probabilité est grande de révéler des failles, portes dérobées, brèches logicielles et applicatives, et d’autres menaces encore.

L’outil d’analyse des vulnérabilités est l’élément le plus vital d’une évaluation de vulnérabilité. Avant de le choisir, il faut considérer les caractéristiques et fonctionnalités suivantes :

• Fréquence des mises à jour
• Qualité et quantité de vulnérabilités, y compris minimisation des faux positifs et des faux négatifs. Elimination des faux positifs
• Exploitabilité des résultats
• Intégration d’autres outils de gestion des vulnérabilités et de sécurité IT (gestion des correctifs, SIEM, etc.)

Les évaluations de vulnérabilités devraient toujours produire des informations claires et exploitables concernant les menaces identifiées et suggérer les actions correctives requises. Cela permet aux équipes de sécurité IT de hiérarchiser les correctifs en fonction du profil de risque global de l’entreprise. Une approche mature d’évaluation des vulnérabilités atténuera grandement votre exposition au cyber risque et améliorera votre base de protection de l’ensemble des systèmes et données de l’entreprise.