Parlez à

un expert

L’importance de la gestion des vulnérabilités et comment établir un processus bien défini

Processus gestion des vulnérabilités scans

Ces derniers temps, sur notre blogue, nous avons surtout écrit au sujet de la gouvernance de la sécurité, en parlant de stratégie, sensibilisation, planification, choix d’assurance…

Nous avons voulu commencer une série d’articles plus tournée vers la sécurité opérationnelle et qui abordera la cybersécurité d’un point de vue plus pratique, avec une touche technique.

En effet, si par exemple, vous êtes responsable de serveurs et d’équipements informatiques, il est indispensable que vous en sachiez plus sur la sécurité opérationnelle.

Yannick Vollenberg processus de gestion des vulnérabilités

Pour amorcer cette série, nous avons laissé la parole à Yannick Vollenberg, conseiller en sécurité en mandat pour CyberSwat et diplômé de Polytechnique Montréal en cybersécurité des réseaux informatiques.

Il a voulu nous parler de la gestion des vulnérabilités dans les opérations informatiques.

Les vulnérabilités, ainsi que leur exploitation, sont encore aujourd’hui la cause profonde de la plupart des atteintes à la sécurité des données personnelles.  Dans la plupart des cas, la majorité des hackers n’ont pas recours à des méthodes très complexes pour arriver à leurs fins. Ils misent plutôt sur des vulnérabilités connues. Or, le nombre des vulnérabilités découvertes mensuellement est en général de plus de 30 failles par logiciel!

D’emblée, Yannick a d’ailleurs rappelé cette citation de Bruce Schneier : « La sécurité est un processus, pas un produit ».

En effet, pour bien gérer ces vulnérabilités, il ne faut pas les traiter ponctuellement; il faut mettre en place un véritable processus.  Voici donc ce que Yannick vous conseille à ce sujet.

Tout d’abord, qu’est-ce qu’une vulnérabilité?

Dans le domaine de la sécurité de l’information, une vulnérabilité est une faille dans un système qui permet à une personne malveillante (menace) de l’exploiter et ainsi porter atteinte à la confidentialité, l’intégrité ou encore la disponibilité d’un système informatique (aussi appelé actif).

Quel est l’objectif de l’analyse des vulnérabilités?

L’objectif de l’analyse des vulnérabilités est de les limiter l’exposition aux risques afin de mieux les maîtriser. Nous pouvons représenter le processus d’analyse à l’aide du diagramme ci-dessous.

diagramme analyse processus gestion des vulnérabilités

Comment est-il possible de gérer une vulnérabilité?

Certaines bonnes pratiques peuvent être appliquées pour gérer ses vulnérabilités. Avant toute chose, il faut mener une analyse constante.

La mise en place d’un processus dédié à la gestion des vulnérabilités est importante et celui-ci repose principalement sur :

  1. la veille des vulnérabilités;
  2. les scans de vulnérabilités;
  3. les campagnes de mises à jour.

De plus, il est important de suivre ces différentes phases:

  • La mise en place d’un processus d’analyse basé sur les besoins d’affaires de l’entreprise.
  • L’identification des actifs ainsi que les différentes applications utilisées (inventaire).
  • La classification de vos actifs par ordre d’importance, du plus critique au moins critique.
  • Valider si notre entreprise doit se conformer à des réglementations particulières pouvant avoir un impact sur la façon et la fréquence d’analyse des vulnérabilités (ex. : PCI DSS, RGPD, etc.).
  • Bien sûr, il faut également avoir en place des mesures de sécurité comme Pare-feu, IDS, IPS, WAF, SoC, politiques, etc.

 

La veille des vulnérabilités

Une veille des vulnérabilités repose sur les différents bulletins des éditeurs et solutions centralisées de gestion des vulnérabilités. Certaines plateformes publiques centralisent ces bulletins. Par exemple :

  • La Sécurité publique du Canada
  • Le CERT-Fr (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)
  • Le CERT-US (United state computer emergency readiness team)
  • Le ZDI ( Zero Day Initative)
  • Le CERT/AQ (Équipe de réponse aux incidents de sécurité de l’information de l’administration québécoise.)

Une autre approche est celle de la CAPEC (Common Attack Pattern Enumeration and Classification) qui énumère :

  • Les mécanismes de cyber attaques possibles
  • Les domaines de cyber attaques possibles

Suite à la publication d’un bulletin de sécurité, il est nécessaire de :

  • valider si la vulnérabilité concerne une solution utilisée par l’organisation.
  • valider si l’actif touché par cette vulnérabilité est exposé sur Internet, depuis l’intranet, etc.
  • valider la sévérité de cette vulnérabilité, c’est-à-dire de déterminer si celle-ci est exploitable à distance ou s’il est nécessaire d’être physiquement devant l’ordinateur par exemple.
  • rédiger une fiche de vulnérabilité telle que définie dans le processus interne de l’organisation.
  • planifier la mise en place du correctif. Si la mise à jour n’est pas possible dans un délai raisonnable en fonction de sa sévérité, il faudra mettre en place des solutions de contournement afin de réduire la surface d’attaque en attendant de pouvoir appliquer le correctif.

 

Les scans de vulnérabilités

En plus de faire la veille des vulnérabilités, il est recommandé d’avoir une solution de détection des vulnérabilités en entreprise. Il en existe plusieurs telles que Qualys, Nessus, Nexpose, QRadar, etc. Ce sont en règle générale des solutions de détection qui reposent sur un outil capable de balayer/scanner tout type d’application et d’équipement possédant une adresse IP et d’en énumérer les vulnérabilités si celles-ci sont connues. Si vous n’avez pas ce type d’outil, des entreprises comme CyberSwat peuvent vous aider à réaliser des tests de ce genre sur votre infrastructure périodiquement.

Contrairement au service de veille qui vous communique tout type de vulnérabilité, le scanneur détermine qu’elles sont les vulnérabilités réellement présentes dans votre environnement.

Idéalement, il faut procéder à un scan de vulnérabilité sur chaque nouvel actif informatique installé sur le réseau de l’entreprise avant sa mise en production. Il coûte généralement moins cher de procéder à la correction des systèmes  avant la mise en production.

Les campagnes de mises à jour

Avant de parler des campagnes de mises à jour plus en détail, il importe de s’entretenir d’abord sur les enjeux liés à la disponibilité et des périodes de maintenance des environnements informatiques. Logiquement, toute organisation utilise la notion d’un taux de disponibilité qui est souvent mesuré en pourcentage; par exemple 99 %.

Dans notre exemple, ce pourcentage indique que l’entreprise est en mesure de tolérer une indisponibilité non planifiée du système informatique de 3.65 jours par année. En plus de l’identification de ce besoin de disponibilité, il est habituel de réserver des périodes de maintenance à des moments moins achalandés, notamment pour réaliser les mises à jour des systèmes et la mise en place des correctifs. Avoir des périodes de maintenances bien établies et en cohérence avec les besoins d’affaires de l’organisation aidera grandement un déploiement efficace des correctifs de sécurité.

Lors du déploiement d’un correctif, il faut également que l’organisation ait des lignes directrices et les principes à respecter en fonction de la sensibilité de l’actif et de la criticité de la vulnérabilité.

Ainsi, une vulnérabilité critique pouvant être exploitée à distance par une personne sur Internet devrait être corrigée dans de très court délai, amenant souvent à réaliser une maintenance d’urgence. D’un autre côté, une vulnérabilité de criticité « moyenne » et pouvant être exploité uniquement dans les bureaux de l’organisation pourrait être traitée uniquement lors d’une plage de maintenance planifiée, par exemple, tous les troisièmes mardis soir du mois.

Mot de la fin : être accompagné pour réussir son analyse de vulnérabilités

Au quotidien, le mandat que j’occupe actuellement au sein d’un organisme gouvernemental m’amène régulièrement à traiter différentes vulnérabilités telles que présentées dans cet article.

Mon expertise ainsi que mon expérience me permettent  de traiter ces vulnérabilités dans un temps raisonnable. Ce traitement est efficace grâce à un processus de gestion des risques bien défini et efficace. Toute organisation détenant des systèmes informatiques doit réaliser l’analyse et la gestion de ses vulnérabilités, que celle-ci soit réalisée en interne, ou bien donnée à un tiers.

Si vous avez des questions sur le sujet ou si vous avez d’autres méthodes que vous utilisez et que vous désireriez partager avec nous, n’hésitez pas à nous contacter!

Vous trouvez ça compliqué? N’ayez crainte! CyberSwat peut vous accompagner à évaluer la criticité de vos vulnérabilités et à mettre en place des méthodes/processus pour les gérer dans votre entreprise.

Jean-Philippe Racine

Jean-Philippe Racine

Entrepreneur depuis 2009, Jean-Philippe Racine sait expliquer les concepts et les enjeux de sécurité à une clientèle d’affaires tout en restant au fait des derniers développements technologiques du marché. M. Racine détient une maîtrise en administration, option gouvernance, audit et sécurité des TI. Il s’est également spécialisé en obtenant plusieurs certifications, dont celle de CISA, de CISSP ainsi que le CCSK de Cloud Security Alliance.

Articles dans la même catégorie

Laisser un commentaire

1 réflexion au sujet de « L’importance de la gestion des vulnérabilités et comment établir un processus bien défini »

  1. Ping : Les PME québécoises encore trop vulnérables face aux rançongiciels

Laisser un commentaire

Nos publications Twitter

Politique de confidentialité

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

  • Former le cabinet de courtiers à l’assurance en cyberrisque
  • Rehausser sécurité du client avant d’obtenir une assurance
  • Évaluer le niveau de risque du client pour le communiquer à l’assureur

Si vous avez une entente avec nous :

  • Évaluer le niveau de sécurité de l’entreprise pré et post incident
  • Identifier la source de l’incident et les couvertures d’assurance applicables
  • Gérer l’incident de sécurité du client afin de revenir à la normale rapidement
  • Collaborer avec les parties prenantes liées à l’incident (courtier, assureur, services juridiques, service de gestion de crise et de communication avec les médias, etc.)

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

  • Évaluer l’impact des incidents qui vous guette (fuite de données, rançongiciel, etc.)
  • Mettre en place un plan de gestion d’incidents

Pour nos clients avec contrat de service:

  • Gérer l’incident de sécurité afin de revenir à la normale rapidement
  • Réaliser l’enquête de type forensique
  • Référer à nos partenaires en cas de besoins en matière juridiques, communication avec les médias, notification, etc.

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

  • Accompagnement pour le choix de la formule en assurance avec votre courtier
  • Évaluation des risques les plus pertinents à couvrir
  • Mise en place des requis en sécurité pour être couvert par une assurance
  • Mise en place d’un plan de gestion d’incidents en incluant l’assureur

Courtier :

  • Évaluer le niveau de risque de vos clients
  • Sensibiliser vos clients à la cybersécurité pour baisser la probabilité d’un incident
  • Vous aider à mettre en place un plan de gestion des incidents de sécurité pour vos clients
  • Vous aider à mettre en place un plan de gestion des incidents de sécurité pour vos clients

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

  • Élaboration d’ententes de sécurité pour les fournisseurs
  • Formation des décideurs sur les enjeux du cloud
  • Révision des configurations d’outils infonuagiques en mode SaaS (Office 365, Google Suites, etc.)
  • Révision des configurations d’outils infonuagique en mode IaaS (Amazon web services, Microsoft Azure, Google Cloud Platform)
  • Aide à la migration sécuritaire de vos services vers le Cloud

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

  • Catégorisation des actifs 
  • Élaboration et révision d’architectures de sécurité
  • Élaboration de processus de sécurité (p. ex. : gestion des incidents de sécurité et catégorisation des actifs)
  • Rédaction de politiques, de directives et de cadres de gestion de la sécurité
  • Élaboration de plans d’action et de plans directeurs de sécurité
  • Rédaction d’avis de sécurité et de dérogations
  • Mise en place des meilleures pratiques ISO/CEI 27002 et COBIT
  • Élaboration d’ententes de sécurité pour les fournisseurs
  • Évaluation de maturité de pratiques de sécurité

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

  • Atelier de sensibilisation, sur place ou à distance, adapté à chaque corps de métier (employé, direction ou équipe technique)
  • Campagne de sensibilisation pour vos employés
  • Test d’hameçonnage (phising)
  • Mise à disposition d’une plateforme de formation à la cybersécurité en mode asynchrone.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

  • Correction des failles découvertes après un test d’intrusion
  • Accompagnement de projets visant le respect du cadre normatif de sécurité
  • Élaboration et révision d’architectures de sécurité
  • Élaboration de processus de sécurité (p. ex. : gestion des incidents de sécurité et catégorisation des actifs)
  • Mise en place d’une méthode d’analyse de risques dans votre organisation
  • Accompagnement à la sécurité d’une plateforme de gestion des appareils mobiles (BYOD)

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

  • Aide à la sélection d’un fournisseur infonuagique
  • Évaluation du niveau de sécurité d’un fournisseur en infonuagique
  • Élaboration d’ententes de sécurité pour les fournisseurs

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.

  • Évaluation de risques basée sur ISO27005MEHARIEBIOS, etc.
  • Identifications des principaux scénarios de risque pour votre entreprise
  • Mise en place d’un processus de gestion du cyberrisque