Les vulnérabilités non corrigées sont l’une des principales raisons pour lesquelles les entreprises sont confrontées à certaines des cyberattaques les plus importantes. Selon l’étude de vulnérabilité Ponemon menée par Ponemon Institute, 60% des organisations qui ont été victimes de cyberattaques auraient pu éviter de telles occurrences sans effort. Ces violations s’étaient produites en raison de vulnérabilités connues non corrigées.

Selon une autre enquête de Tripwire, environ 21% des organisations mettent quelques mois à découvrir de nouveaux actifs connectés à leur réseau. Ces données illustrent également l’importance d’avoir une stratégie complète de gestion des vulnérabilités au sein d’une organisation.

Le Centre de sécurité Internet (CIS) a joué un rôle déterminant dans la définition des pratiques de sécurité indépendantes de l’industrie et des conseils pour la cyberdéfense. Conformément à leur hiérarchisation des contrôles, la gestion continue des vulnérabilités est le troisième contrôle le plus crucial sur lequel les organisations devraient mettre l’accent. Le premier est d’avoir un inventaire et un contrôle des actifs matériels et logiciels.

Il existe des produits de sécurité qui peuvent aider à la mise en œuvre de ces contrôles, mais la réalisation d’un programme de gestion continue des vulnérabilités est un processus global. Ainsi, il est essentiel de noter qu’un programme de gestion continue des vulnérabilités est un cycle de vie dédié de processus qui doit être mis en œuvre.

Ces dernières années, on note plusieurs cyber incidents dans lesquels des cybercriminels tirent parti de vulnérabilités non corrigées. L’une des plus connus est le cas Travelex, une société de services de conversion de devises, qui a été touchée par une attaque au cours de laquelle les cybercriminels ont exploité une vulnérabilité dans Pulse Secure. En effet, le 14 avril 2019, le fournisseur Pulse Secure a publié un correctif pour la vulnérabilité découverte. Le 31 décembre 2019, Travelex a été frappé par des cybercriminels exploitant la vulnérabilité et distribuant latéralement un ransomware (REvil) dans les systèmes de son organisation. Une conclusion évidente que l’on tire de ce fait est que Travelex n’avait pas tenu compte du correctif publié depuis des mois, d’où le réussite de l’attaque.

Il est donc crucial d’avoir un programme de gestion des vulnérabilités systématique et approfondi dans toute l’organisation. Par conséquent, cela nécessite également une collaboration entre toutes les unités commerciales et tous les rôles au sein d’une organisation pour rationaliser le processus – du service d’assistance, de la gestion des réseaux et des systèmes, de la gestion des produits aux équipes de développement – chacune d’elles peut contribuer au niveau croissant de sécurité dans l’organisation.

Le programme de gestion des vulnérabilités

En conséquence, le programme de gestion des vulnérabilités d’une entreprise doit être assez simple et structuré à suivre. Nous avons rassemblé quelques pratiques qui devraient être respectées, au minimum, pour développer un processus systématique :

1. Répertorier

Obtenir une visibilité complète sur les actifs logiciels et matériels d’une organisation est obligatoire, c’est-à-dire tous les composants de l’infrastructure, les systèmes d’exploitation, les services et les applications respectives (applications internes et tierces).

2. Administrer

Répartir les systèmes et les applications selon les domaines d’activité et/ou emplacement géographique et identifier des administrateurs pour chaque groupe. Ces administrateurs devront être responsables de la gestion des correctifs de leurs systèmes et applications respectifs, qu’ils gèrent.

3. Prioriser

Chaque système et application doit être priorisé en fonction de la criticité de l’entreprise et de la gravité des vulnérabilités potentielles identifiées via un produit d’analyse de vulnérabilité.

4. Remédier

Le plan de remédiation doit être élaboré et la production de rapports doit être activée périodiquement.

5. Évaluer 

Exécuter un outil d’analyse de vulnérabilité pour vous assurer que les vulnérabilités identifiées sont corrigées.

Si les processus énumérés ci-dessus sont périodiquement réitérés tout au long de l’année, cela aiderait les organisations de manière cohérente à réduire la surface d’attaque et à mettre en place une surveillance continue de la vulnérabilité.

Source: AfricaCyberMag