La gestion des vulnérabilités

Réduire la surface d’attaque de son système d’information grâce à la gestion de vulnérabilités.

Qu’est-ce qu’une CVE ? Une CVE (Common Vulnerabilities and Exposures) est une référence à une vulnérabilité connue d’un logiciel, firmware, système d’exploitation, etc.

Elles forment une liste maintenue par l’organisme MITRE aux Etats-Unis. Une fois qu’une CVE voit le jour, l’éditeur de la solution vulnérable déploie un correctif de sécurité pour éviter que celles-ci soient exploiter à des fins malveillantes

Afin de réduire la surface d’attaque de son système d’information et de se protéger des menaces, il est indispensable d’appliquer ces correctifs de sécurité sur les actifs jugés critiques.

Malheureusement, beaucoup d’actifs restent fragiles car leurs vulnérabilités ne sont pas suivies. Il est donc important de mettre en place une gestion des vulnérabilités, cela passe par l’identification jusqu’à l’application des correctifs afin de protéger son système d’information de l’exploitation d’une CVE.

Suivi des vulnérabilités

Afin de connaître les vulnérabilités actuelles, il est nécessaire de mettre en place des outils et des procédures pour suivre leur actualité. Il existe pour ce faire, plusieurs méthodes :

  • Flux RSS : Les flux RSS permettent de recevoir automatiquement dans son navigateur, les dernières CVE découvertes. Plusieurs sont disponibles, dont celui du CERT FR.
  • Abonnement CERT : Une autre méthode consiste à souscrire un abonnement à un CERT (souvent privé). Le CERT enverra alors régulièrement les dernières CVE.
  • Veille : Cette méthode est un peu plus complexe à mettre en place et prend du temps. Cela consiste à veiller soi-même aux nouvelles vulnérabilités découvertes. Cela se fait en suivant l’actualité cyber grâce à des forums et des sites internet.

La méthode la plus simple à mettre en place et la moins coûteuse est la méthode du flux RSS, elle n’en reste pas moins très efficace. Voici le flux RSS du CERT FR : https://www.cert.ssi.gouv.fr/alerte/feed/

Identifier et cartographier

Avoir une source d’information continu sur les vulnérabilités c’est bien, savoir les trier pour les adapter à ses besoins, c’est mieux ! En effet, suivre les vulnérabilités est utile uniquement si l’on peut la lier facilement à un de nos actifs.

Dans l’idéal, suivre et appliquer les correctifs de sécurité sur chaque actif serait le mieux. Néanmoins, c’est une tâche considérable qui demande du temps. Pour commencer, il vaut mieux identifier ses actifs critiques et cela passe par la cartographie de son système d’information. Cette identification dépendra de votre gestion des risques, quels actifs êtes-vous prêt à perdre ?

La cartographie d’un système d’information permet de recenser l’ensemble de ses actifs afin d’obtenir une vue globale de ce dernier. La cartographie d’un système d’information ne se fait pas du jour au lendemain, c’est un projet complexe ou il est important de se faire accompagner par des experts dans le domaine (https://lpb-conseil.com/strategie-systeme-information/).

Grâce à celle-ci, combinée aux différents flux d’information sur les CVE, vous permettrons de savoir quel actif est vulnérable, et donc appliquer les correctifs.

Application des correctifs

D’un point de vue opérationnel, il est facile d’appliquer un correctif, il suffit de l’installer sur l’actif vulnérable. Au niveau organisationnel, pour optimiser cette tâche fastidieuse, il peut être judicieux de mettre en place une procédure. Celle-ci mettrait en exergue :

  • La méthode de veille sur les vulnérabilités
  • Un document annexe contenant les actifs critiques
  • Les délais pour appliquer un correctif
  • La méthode pour déployer le correctif

Grâce à cela, des règles sont mises en place afin de mieux gérer les vulnérabilités présentes dans son système d’information. Cela permet de ne pas délaisser cette tâche, si importante pour garder un bon niveau de sécurité de son système d’information.

En conclusion, pour gérer correctement les vulnérabilités dans son SI, il ne suffit pas de suivre l’actualité et de récupérer les informations. Il est primordial d’identifier ses actifs critiques afin de pouvoir y lier les CVE associés.

LinkedIn

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

A propos de LPB Conseil

LPB Conseil est un cabinet de conseil indépendant en transformation des Organisations et en cybsersécurité.

Articles récents
Auteur de cet article
Articles de cet auteur

Téléphone : +33 (0)3 69 24 90 37​

3 rue Charles PEGUY
67200 STRASBOURG
GRAND EST, ALSACE​

Retour en haut