SANS FRAIS 1 877-777-6412

L’importance de la gestion des vulnérabilités et comment établir un processus bien défini

processus gestion des vulnérabilités scans

 

Ces derniers temps, sur notre blogue, nous avons surtout écrit au sujet de la gouvernance de la sécurité, en parlant de stratégie, sensibilisation, planification, choix d’assurance…

Nous avons voulu commencer une série d’articles plus tournée vers la sécurité opérationnelle et qui abordera la cybersécurité d’un point de vue plus pratique, avec une touche technique.

En effet, si par exemple, vous êtes responsable de serveurs et d’équipements informatiques, il est indispensable que vous en sachiez plus sur la sécurité opérationnelle.

Pour amorcer cette série, nous avons laissé la parole à Yannick Vollenberg, conseiller en sécurité en mandat pour CyberSwat et diplômé de Polytechnique Montréal en cybersécurité des réseaux informatiques.

Il a voulu nous parler de la gestion des vulnérabilités dans les opérations informatiques.

Yannick Vollenberg processus de gestion des vulnérabilités

 

 

Les vulnérabilités, ainsi que leur exploitation, sont encore aujourd’hui la cause profonde de la plupart des atteintes à la sécurité des données personnelles.  Dans la plupart des cas, la majorité des hackers n’ont pas recours à des méthodes très complexes pour arriver à leurs fins. Ils misent plutôt sur des vulnérabilités connues. Or, le nombre des vulnérabilités découvertes mensuellement est en général de plus de 30 failles par logiciel!

D’emblée, Yannick a d’ailleurs rappelé cette citation de Bruce Schneier : « La sécurité est un processus, pas un produit ».

En effet, pour bien gérer ces vulnérabilités, il ne faut pas les traiter ponctuellement; il faut mettre en place un véritable processus.  Voici donc ce que Yannick vous conseille à ce sujet.

 

Tout d’abord, qu’est-ce qu’une vulnérabilité?

Dans le domaine de la sécurité de l’information, une vulnérabilité est une faille dans un système qui permet à une personne malveillante (menace) de l’exploiter et ainsi porter atteinte à la confidentialité, l’intégrité ou encore la disponibilité d’un système informatique (aussi appelé actif).

Quel est l’objectif de l’analyse des vulnérabilités?

L’objectif de l’analyse des vulnérabilités est de les limiter l’exposition aux risques afin de mieux les maîtriser. Nous pouvons représenter le processus d’analyse à l’aide du diagramme ci-dessous.

 

diagramme analyse processus gestion des vulnérabilités

Comment est-il possible de gérer une vulnérabilité?

Certaines bonnes pratiques peuvent être appliquées pour gérer ses vulnérabilités. Avant toute chose, il faut mener une analyse constante.

La mise en place d’un processus dédié à la gestion des vulnérabilités est importante et celui-ci repose principalement sur :

  1. la veille des vulnérabilités;
  2. les scans de vulnérabilités;
  3. les campagnes de mises à jour.

 

De plus, il est important de suivre ces différentes phases:

  • La mise en place d’un processus d’analyse basé sur les besoins d’affaires de l’entreprise.
  • L’identification des actifs ainsi que les différentes applications utilisées (inventaire).
  • La classification de vos actifs par ordre d’importance, du plus critique au moins critique.
  • Valider si notre entreprise doit se conformer à des réglementations particulières pouvant avoir un impact sur la façon et la fréquence d’analyse des vulnérabilités (ex. : PCI DSS, RGPD, etc.).
  • Bien sûr, il faut également avoir en place des mesures de sécurité comme Pare-feu, IDS, IPS, WAF, SoC, politiques, etc.

 

La veille des vulnérabilités

Une veille des vulnérabilités repose sur les différents bulletins des éditeurs et solutions centralisées de gestion des vulnérabilités. Certaines plateformes publiques centralisent ces bulletins. Par exemple :

  • La Sécurité publique du Canada
  • Le CERT-Fr (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)
  • Le CERT-US (United state computer emergency readiness team)
  • Le ZDI ( Zero Day Initative)
  • Le CERT/AQ (Équipe de réponse aux incidents de sécurité de l’information de l’administration québécoise.)

 

Une autre approche est celle de la CAPEC (Common Attack Pattern Enumeration and Classification) qui énumère :

  • Les mécanismes de cyber attaques possibles
  • Les domaines de cyber attaques possibles

 

Suite à la publication d’un bulletin de sécurité, il est nécessaire de :

  • valider si la vulnérabilité concerne une solution utilisée par l’organisation.
  • valider si l’actif touché par cette vulnérabilité est exposé sur Internet, depuis l’intranet, etc.
  • valider la sévérité de cette vulnérabilité, c’est-à-dire de déterminer si celle-ci est exploitable à distance ou s’il est nécessaire d’être physiquement devant l’ordinateur par exemple.
  • rédiger une fiche de vulnérabilité telle que définie dans le processus interne de l’organisation.
  • planifier la mise en place du correctif. Si la mise à jour n’est pas possible dans un délai raisonnable en fonction de sa sévérité, il faudra mettre en place des solutions de contournement afin de réduire la surface d’attaque en attendant de pouvoir appliquer le correctif.

 

Les scans de vulnérabilités

En plus de faire la veille des vulnérabilités, il est recommandé d’avoir une solution de détection des vulnérabilités en entreprise. Il en existe plusieurs telles que Qualys, Nessus, Nexpose, QRadar, etc. Ce sont en règle générale des solutions de détection qui reposent sur un outil capable de balayer/scanner tout type d’application et d’équipement possédant une adresse IP et d’en énumérer les vulnérabilités si celles-ci sont connues. Si vous n’avez pas ce type d’outil, des entreprises comme CyberSwat peuvent vous aider à réaliser des tests de ce genre sur votre infrastructure périodiquement.

Contrairement au service de veille qui vous communique tout type de vulnérabilité, le scanneur détermine qu’elles sont les vulnérabilités réellement présentes dans votre environnement.

Idéalement, il faut procéder à un scan de vulnérabilité sur chaque nouvel actif informatique installé sur le réseau de l’entreprise avant sa mise en production. Il coûte généralement moins cher de procéder à la correction des systèmes  avant la mise en production.

 

Les campagnes de mises à jour

Avant de parler des campagnes de mises à jour plus en détail, il importe de s’entretenir d’abord sur les enjeux liés à la disponibilité et des périodes de maintenance des environnements informatiques. Logiquement, toute organisation utilise la notion d’un taux de disponibilité qui est souvent mesuré en pourcentage; par exemple 99 %.

Dans notre exemple, ce pourcentage indique que l’entreprise est en mesure de tolérer une indisponibilité non planifiée du système informatique de 3.65 jours par année. En plus de l’identification de ce besoin de disponibilité, il est habituel de réserver des périodes de maintenance à des moments moins achalandés, notamment pour réaliser les mises à jour des systèmes et la mise en place des correctifs. Avoir des périodes de maintenances bien établies et en cohérence avec les besoins d’affaires de l’organisation aidera grandement un déploiement efficace des correctifs de sécurité.

Lors du déploiement d’un correctif, il faut également que l’organisation ait des lignes directrices et les principes à respecter en fonction de la sensibilité de l’actif et de la criticité de la vulnérabilité.

Ainsi, une vulnérabilité critique pouvant être exploitée à distance par une personne sur Internet devrait être corrigée dans de très court délai, amenant souvent à réaliser une maintenance d’urgence. D’un autre côté, une vulnérabilité de criticité « moyenne » et pouvant être exploité uniquement dans les bureaux de l’organisation pourrait être traitée uniquement lors d’une plage de maintenance planifiée, par exemple, tous les troisièmes mardis soir du mois.

 

Mot de la fin : être accompagné pour réussir son analyse de vulnérabilités

Au quotidien, le mandat que j’occupe actuellement au sein d’un organisme gouvernemental m’amène régulièrement à traiter différentes vulnérabilités telles que présentées dans cet article.

 

Mon expertise ainsi que mon expérience me permettent  de traiter ces vulnérabilités dans un temps raisonnable. Ce traitement est efficace grâce à un processus de gestion des risques bien défini et efficace. Toute organisation détenant des systèmes informatiques doit réaliser l’analyse et la gestion de ses vulnérabilités, que celle-ci soit réalisée en interne, ou bien donnée à un tiers.

 

Si vous avez des questions sur le sujet ou si vous avez d’autres méthodes que vous utilisez et que vous désireriez partager avec nous, n’hésitez pas à nous contacter!

Vous trouvez ça compliqué? N’ayez crainte! CyberSwat peut vous accompagner à évaluer la criticité de vos vulnérabilités et à mettre en place des méthodes/processus pour les gérer dans votre entreprise.

 

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.