Mielabelo

Login
Home » Publications » White papers »
A+ R A-

La Gestion des vulnerabilites, reponse necessaire a une problematique d’actualite

Par Mathieu Briol et Joffrey Goumet

 

De nos jours, les médias commentent régulièrement des attaques, piratages ou fuites de données dont sont victimes de nombreux organismes, tant publics que privés et tous secteurs confondus. Pourtant, ces événements relayés par les médias ne reflètent que la partie visible de l’iceberg et tant les grandes organisations que les petites et moyennes entreprises sont sous la menace de l’exploitation des vulnérabilités techniques inhérentes à tout système d’information. Comment se prémunir face à ce risque?

Pour consulter cet article en PDF ou l'enregistrer, c'est par ici

 

Les personnes malveillantes qui tentent de s’introduire dans les systèmes d’information (hacktivistes, concurrents peu scrupuleux, gouvernements, etc.) ne rencontrent pas de grandes difficultés : plusieurs milliers de vulnérabilités sont découvertes chaque année. Celles-ci affectent la quasitotalité des composants logiciels ou matériels du monde informatique, des systèmes d’exploitation aux progiciels et applications. Beaucoup de (nouvelles) opportunités pour ces personnes et beaucoup de brèches à identifier et à combler donc pour les organismes…

Les études récentes tendent à montrer que la majorité des attaques analysées font appel à des techniques peu complexes utilisant des vulnérabilités connues. Les incidents identifiés auraient ainsi pu être évités si les victimes avaient, entre autres, déployé les correctifs de sécurité adéquats.


1. Les risques associés

Le niveau de risque associé à une vulnérabilité peut être défini comme suit :

Niveau de risque = impact potentiel × probabilité d’occurrence / mesure de protection

Le niveau de risque est donc proportionnel aux conséquences liées à l’exploitation d’une vulnérabilité et à la probabilité d’occurrence de cette exploitation. Bien que cette probabilité soit accrue par la diffusion des informations concernant une vulnérabilité, cette divulgation est nécessaire afin de pouvoir estimer au mieux les cibles vulnérables et la nature des risques.

 

La mise en place d’une mesure de protection a pour effet de diminuer le niveau de risque. Il en est ainsi de l’application des correctifs de sécurité.

Le facteur temps est aussi important : plus vite un correctif de sécurité sera mis en oeuvre (TTF, Time To Fix) et protègera les ressources vulnérables, moins celles-ci seront menacées par les attaques visant à exploiter les vulnérabilités couvertes par ce correctif. De manière à réduire l’exposition au risque, toute organisation a donc intérêt à réduire ce Time To Fix au minimum via un processus de gestion de vulnérabilités efficace. Les publications sont issues, entre autres, de groupes de recherche en sécurité. L’organisation elle–même a peu d’impact sur ces publications. Par contre, via une veille et un outil de gestion de vulnérabilités performants, les informations concernant les vulnérabilités publiées peuvent être intégrées rapidement dans le processus de gestion et permettre un temps de détection (TTD, Time To Detect) réduit au minimum. 

L’exposition au risque d’une organisation sera donc limitée en jouant sur les paramètres TTD et TTF. Mais comment y parvenir ?

 

2. La gestion des vulnérabilités en pratique

La gestion des vulnérabilités est une saine pratique de sécurité qui a pour objectif de prévenir de façon proactive l’exploitation des
vulnérabilités par des personnes malveillantes. Nous nous attardons sur les 3 éléments essentiels pour la mise en oeuvre d’un programme
de gestion des vulnérabilités que sont les processus, la technologie utilisée et les personnes impliquées. Le processus générique de gestion des vulnérabilités s’appuie sur le modèle ITIL et s’intègre avec les autres processus IT existants. Le modèle ITIL ne prescrit pas une
méthode particulière mais place celle-ci dans des catégories plus vastes de gestion des changements et de gestion des mises en production.

 

Une compréhension précise de l’environnement informatique est également essentielle tout au long du processus de gestion des vulnérabilités, une interaction de celui-ci avec le processus de gestion des actifs et des configurations est donc primordiale. 

 

Il convient de prêter une attention particulière à l’aspect technologique indispensable à l’industrialisation de la gestion des vulnérabilités. En effet, la mise en place d’un outil de scan de vulnérabilités permet d’automatiser les activités de recherche et d’évaluation des vulnérabilités. Ce type d’outil offre également des informations essentielles sur les vulnérabilités présentes sur les systèmes d’information ainsi que sur les mesures correctives à mettre en oeuvre (correctif à installer, partie de code vulnérable à modifier, etc.). En parallèle, une veille technologique efficace s’avère aussi nécessaire afin d’être informé rapidement de l’existence de nouvelles vulnérabilités et des correctifs de sécurité associés.


Enfin, il est primordial d’impliquer les différentes parties prenantes concernées par le programme. En premier lieu, il convient que le management soit informé de la valeur et de l’intérêt d’un tel programme afin d’allouer les ressources nécessaires à sa mise en oeuvre. Les directions métier et le département informatique ont pour leur part un rôle essentiel afin d’identifier les impacts opérationnels potentiels et les coûts associés.

 

Conclusion


Encore trop souvent sous-évaluée, la gestion des vulnérabilités s’avère actuellement un élément indispensable dans la protection du patrimoine informationnel d’une organisation. Reposant sur les trois piliers que sont le processus, la technologie et les individus, cette gestion doit immanquablement être adaptée au contexte de l’organisation et doit être mise en oeuvre de façon transverse au sein de celle-ci.

Enfin, la gestion des vulnérabilités ne pourrait se suffire à elle-même et doit être considérée comme partie intégrante d’un système de gestion des risques lié à la sécurité de l’information. En particulier, des initiatives telles que la sensibilisation des utilisateurs ou l’intégration de la sécurité dans les projets informatiques revêtent également une importance cruciale et doivent donc être pris en compte.

 

Pour plus d'informations, This e-mail address is being protected from spambots. You need JavaScript enabled to view it !

Pour consulter cet article en PDF ou l'enregistrer, c'est par ici

 

Last modified on Tuesday, 16 September 2014 13:47

NOUVELLE ADRESSE !!!

Boulevard Dolez, 23
7000
Mons - Belgique

Reseaux sociaux

linked intwitter 

Inscription/Newsletter

cliquez ici pour vous inscrire à la newsletter

Login