La gestion des vulnérabilités, réponse nécessaire à une problématique d’actualité

Pratique
Par Mathieu Briol, Joffrey Goumet · 10/10/2014

Les personnes malveillantes qui tentent de s’introduire dans les systèmes d’information (“hacktivistes”, concurrents peu scrupuleux, gouvernements, etc.) ne rencontrent pas de grandes difficultés: plusieurs milliers de vulnérabilités sont découvertes chaque année. Celles-ci affectent la quasi totalité des composants logiciels ou matériels du monde informatique, depuis les systèmes d’exploitation jusqu’aux progiciels et applications. Beaucoup de (nouvelles) opportunités pour ces personnes et beaucoup de brèches à identifier et à combler donc pour les organismes…

Les études récentes tendent à montrer que la majorité des attaques analysées font appel à des techniques peu complexes utilisant des vulnérabilités connues. Les incidents identifiés auraient ainsi pu être évités si les victimes avaient, entre autres choses, déployé les correctifs de sécurité adéquats.

1. Les risques associés

Le niveau de risque associé à une vulnérabilité peut être défini comme suit :

Niveau de risque = impact potentiel × probabilité d’occurrence / mesure de protection

Le niveau de risque est donc proportionnel aux conséquences liées à l’exploitation d’une vulnérabilité et à la probabilité d’occurrence de cette exploitation.

Bien que cette probabilité soit accrue par la diffusion des informations concernant une vulnérabilité, cette divulgation est nécessaire afin de pouvoir estimer au mieux les cibles vulnérables et la nature des risques.

La mise en place d’une mesure de protection a pour effet de diminuer le niveau de risque. Il en est ainsi de l’application des correctifs de sécurité.

Les études récentes tendent à montrer que la majorité des attaques analysées font appel à des techniques peu complexes utilisant des vulnérabilités connues.

Le facteur temps est aussi important: plus vite un correctif de sécurité sera mis en œuvre (principe TTF, Time To Fix) et protégera les ressources vulnérables, moins celles-ci seront menacées par les attaques visant à exploiter les vulnérabilités couvertes par ce correctif.

De manière à réduire l’exposition au risque, toute organisation a donc intérêt à minimiser ce Time To Fix via un processus de gestion de vulnérabilités efficace.

Les publications sont issues, entre autres, de groupes de recherche en sécurité. L’organisation elle–même a peu d’impact sur ces publications. Par contre, via une veille et un outil de gestion de vulnérabilités performants, les informations concernant les vulnérabilités publiées peuvent être intégrées rapidement dans le processus de gestion et permettre un temps de détection (TTD, Time To Detect) réduit au minimum.

L’exposition au risque d’une organisation sera donc limitée en jouant sur les paramètres TTD et TTF. Mais comment y parvenir?

2. La gestion des vulnérabilités en pratique

La gestion des vulnérabilités est une saine pratique de sécurité qui a pour objectif de prévenir de façon proactive l’exploitation des vulnérabilités par des personnes malveillantes. Nous nous attardons sur les 3 éléments essentiels pour la mise en œuvre d’un programme de gestion des vulnérabilités que sont les processus, la technologie utilisée et les personnes impliquées.

Le processus générique de gestion des vulnérabilités s’appuie sur le modèle ITIL et s’intègre avec les autres processus IT existants. Le modèle ITIL ne prescrit pas une méthode particulière mais place celle-ci dans des catégories plus vastes de gestion des changements et de gestion des mises en production.

Une compréhension précise de l’environnement informatique est également essentielle tout au long du processus de gestion des vulnérabilités. Une interaction de celui-ci avec le processus de gestion des actifs et des configurations est donc primordiale.

La mise en œuvre d’un programme de gestion des vulnérabilités repose sur trois piliers essentiels: les processus, la technologie utilisée et les personnes impliquées.

Il convient de prêter une attention particulière à l’aspect technologique indispensable à l’industrialisation de la gestion des vulnérabilités. En effet, la mise en place d’un outil de scan de vulnérabilités permet d’automatiser les activités de recherche et d’évaluation des vulnérabilités. Ce type d’outil offre également des informations essentielles sur les vulnérabilités présentes sur les systèmes d’information ainsi que sur les mesures correctives à mettre en oeuvre (correctif à installer, partie de code vulnérable à modifier, etc.).

En parallèle, une veille technologique efficace s’avère aussi nécessaire afin d’être informé rapidement de l’existence de nouvelles vulnérabilités et des correctifs de sécurité associés.

Enfin, il est primordial d’impliquer les différentes parties prenantes concernées par le programme. En premier lieu, il convient que le management soit informé de la valeur et de l’intérêt d’un tel programme afin d’allouer les ressources nécessaires à sa mise en œuvre. Les directions métier et le département informatique ont pour leur part un rôle essentiel afin d’identifier les impacts opérationnels potentiels et les coûts associés.

Conclusion

Encore trop souvent sous-évaluée, la gestion des vulnérabilités s’avère actuellement un élément indispensable dans la protection du patrimoine informationnel d’une organisation. Reposant sur les trois piliers que sont le processus, la technologie et les individus, cette gestion doit immanquablement être adaptée au contexte de l’organisation et doit être mise en œuvre de façon transverse au sein de celle-ci.

Enfin, la gestion des vulnérabilités ne pourrait se suffire à elle-même et doit être considérée comme partie intégrante d’un système de gestion des risques lié à la sécurité de l’information. En particulier, des initiatives telles que la sensibilisation des utilisateurs ou l’intégration de la sécurité dans les projets informatiques revêtent également une importance cruciale et doivent donc être pris en compte.

Mathieu Briol et Joffrey Goumet sont, tous deux, consultants chez Mielabelo.