GUIDE – Module 9
Gestion des vulnérabilités
La gestion des vulnérabilités est un pilier fondamental de la cybersécurité qui représente l’ensemble des processus et des technologies conçus pour identifier, évaluer, traiter et rapporter les failles présentes dans les systèmes d’information au sens large.
Niveau : avancé
Gestion des Vulnérabilités
1
La nécessité d’une approche proactive
De très nombreux composants physiques ou numériques sont utilisés et installés pour vous permettre d’accéder à Internet afin d’effectuer votre mission : votre poste de travail, connecté en wifi ou en filaire à un routeur ou à un switch, accédant à un autre serveur fonctionnant grâce à différents programmes d’un fournisseur américain bien connu, administré à distance grâce à un programme dédié…
Bref, il existe une grande variété d’intermédiaires nécessaires à la réalisation de vos tâches quotidiennes. Toutefois, il est fréquent que des failles soient découvertes par défaut dans ces composants. Il s’agit de vulnérabilités qui sont souvent connues et répertoriées et qui peuvent être solutionnées pour peu que l’on s’y intéresse.
Une approche proactive en la matière est fortement encouragée pour prévenir les incidents de sécurité.
2
Identifier pour mieux protéger
Une étape importante de la gestion proactive des menaces consiste à identifier les vulnérabilités propres à votre système.
L’objectif est d’abord de dresser une cartographie précise de votre infrastructure et des risques qu’elle présente.
Cette cartographie doit être la plus complète possible, avez-vous un parc mobile ? un wifi public, privé ou les deux ? quels sont les solutions hardware et software utilisées ? administrez-vous une page « wordpress » pour votre administration, si oui, quels plugins utilisez vous ?
Une fois la cartographie effectuée, la prochaine étape vous attend.
3
Évaluer pour prioriser
Une fois identifiées, les vulnérabilités doivent être évaluées selon leur criticité. Cette évaluation prend en compte la facilité d’exploitation de la vulnérabilité, l’impact potentiel sur les systèmes et les données, ainsi que le contexte spécifique de l’organisation (par exemple, les réglementations en vigueur en fonction des données concernées).
A la suite, un plan d’action peut être mis en place afin de prioritiser les actions conduisant à renforcer la cybersécurité de votre infrastructure.
4
Traiter avec agilité
Le traitement des vulnérabilités varie selon leur degré de sévérité. Les options incluent la simple correction (patch), la mise en place de mesures de contournement pour réduire la surface d’attaque, ou l’acceptation du risque pour les vulnérabilités mineures. Il est évident que plus une vulnérabilité est critique, plus une réponse forte et rapide s’impose.
5
Rapporter pour sensibiliser
La dernière étape est le rapportage. Il s’agit de documenter les vulnérabilités détectées, les décisions prises et les actions réalisées.
Ce rapport pourrait paraître anodin ou inutile mais il n’en est rien.
Ce processus permet de sensibiliser les décideurs et les équipes techniques, de démontrer la conformité aux normes de cybersécurité applicables mais également d’empêcher la reproduction d’incidents similaires.
Adopter une approche proactive en matière de gestion des vulnérabilités est essentiel pour renforcer la sécurité des systèmes d’information. Cela permet non seulement de prévenir les attaques mais aussi de bâtir une culture de la sécurité au sein de l’organisation, où chaque membre est conscient des risques et contribue à la protection collective de l’ensemble de son système et des données des citoyens qui sont éventuellement concernés.
6
CVE : Common vulnerabilty exposure
Qu'est_ce que les CVSS ?
Concrètement, comment identifier les failles d’un système ? en utilisant le CVE !
Le Common Vulnerabilities and Exposures (CVE) a été lancé en 1999 par le MITRE Corporation, une organisation de recherche et développement financée par le gouvernement américain, avec le soutien initial du National Cyber Security Division du
Department of Homeland Security des États-Unis. L’objectif était de créer une méthode standardisée pour évaluer et partager des informations sur les vulnérabilités de sécurité à travers différents produits et plateformes.
Le CVE est un catalogue de référence publique pour les vulnérabilités de sécurité informatique. Le système CVE fournit des identifiants uniques, appelés « identifiants CVE », à des vulnérabilités et à des expositions de sécurité dans des logiciels et matériels spécifiques. Ces identifiants permettent de trouver les correctifs ou la protection contre des failles connues.
Une fois l’ensemble des votre système cartographié, vous pouvez passer en revue chacun de ses composants dans le site :
https://cve.mitre.org/cve/search_cve_list.html
Si des failles sont constatées, il faut ensuite organiser les actions à considérer en fonction de la gravité du risque constaté :
CVSS : outil d'Évaluation
Le CVSS (Common Vulnerability Scoring System) est un cadre d’évaluation utilisé pour mesurer la gravité des vulnérabilités de sécurité. Il fournit un score numérique qui quantifie l’impact et l’exploitabilité d’une vulnérabilité, aidant les organisations à prioriser les vulnérabilités à corriger en premier lieu.
Il est accessible à partir de l’identification de faille obtenue dans le CVE :
Prévention et réponse
• Veille proactive : les autorités publiques doivent s’abonner aux bulletins de sécurité et aux flux d’informations CVE pour être alertées rapidement des nouvelles vulnérabilités.
• Évaluation et priorisation : utilisez le score CVSS pour évaluer la gravité des vulnérabilités et prioriser les efforts de correction en fonction de l’impact potentiel sur vos systèmes.
• Application de correctifs : appliquez les correctifs fournis par les éditeurs de logiciels dès qu’ils sont disponibles pour corriger les vulnérabilités CVE.
• Atténuation : si un correctif n’est pas immédiatement disponible, mettez en place des mesures d’atténuation pour réduire le risque d’exploitation de la vulnérabilité.