La gestion des vulnérabilités en entreprise : de la détection à l’analyse

Articles de blog

Etape 1 : la définition des règles de sécurité


La politique de sécurité des systèmes d’information (PSSI) fixe les règles de cybersécurité qu’une entreprise ou une organisation, publique ou privée, souhaite respecter. Il est possible de la décliner en grandes thématiques pour couvrir les différents aspects de la cybersécurité.

On définira ensuite les différentes règles à respecter, sous forme de mesures organisationnelles et/ou techniques, à partir desquelles il sera possible de constituer un processus de gestion des vulnérabilités.

Toutes ces règles et ces principes sont compilés dans un document complémentaire à la PSSI, dans lequel on retrouvera les étapes clés de la gestion des vulnérabilités :
• La collecte des vulnérabilités et leur analyse,
• La prise de décisions,
• L’élaboration d’un plan d’action lorsque nécessaire,
• Le suivi de l’application des correctifs,
• Le contrôle,
• La capitalisation,
• La sensibilisation.

Etape 2 : la détection et la collecte des données


De nombreuses méthodes de détection des vulnérabilités des SI (systèmes d’information) existent.

L’activité de veille consiste à récolter des informations concernant la sécurité des composants auprès de sources d’informations fiables (éditeurs, sites spécialisés, CERT-FR*…), pour identifier les vulnérabilités potentielles des composants du SI.

Les audits permettent d’évaluer le niveau de sécurité d’un périmètre défini. Ils donnent une image à un instant T des points faibles et des points forts du périmètre ciblé. Il est également possible d’automatiser les audits en utilisant des scanneurs de vulnérabilités automatisés pour détecter les failles sur un périmètre restreint.

Les vulnérabilités peuvent également tout simplement être remontées par les exploitants, les administrateurs, les utilisateurs et parfois même les clients. Que ces informations proviennent de l’interne ou de l’externe, elles doivent être partagées via un système simple et sécurisé.

Tout savoir sur les malwares hybrides

Téléchargez notre guide pratique sur les malwares hybrides



Livre Blanc - Malwares hybrides

Etape 3 : l’analyse des données


Une fois que la phase de collecte a identifié une ou plusieurs vulnérabilités, il faut traiter cette information en :
• Vérifiant qu’il ne s’agisse pas d’un faux positif (fausse alerte),
• Évaluant l’impact et la vraisemblance de l’exploitation de la vulnérabilité sur le composant,
• Évaluant les risques liés à cette vulnérabilité sur l’ensemble du SI (système d’information).

Pour attester que la vulnérabilité détectée est bien réelle, il faut collecter des informations sur ses caractéristiques et les comparer avec la configuration du composant que l’on pense vulnérable. Tous les composants ne sont pas sensibles aux mêmes vulnérabilités : si pour certains, elles peuvent être critiques, pour d’autres, elles n’auront aucun impact.

Une fois la menace avérée, débute un travail plus ou moins important d’analyse du risque encouru par l’organisation : il faut déterminer comment agir pour le réduire.

Dans ces conditions, l’application de la remédiation doit être immédiate. En effet, une vulnérabilité qui permettrait à un attaquant de prendre facilement le contrôle d’un serveur qui a une fonction métier stratégique pour l’entreprise appelle à l’application d’un correctif ou la mise en œuvre de mesures urgentes.

Dans l’analyse des vulnérabilités, il faut aussi déterminer les conséquences d’un correctif sur les autres briques du SI. Sur un périmètre donné, notamment quand l’exploitation de la vulnérabilité reste faible, il est parfois plus risqué de corriger. Une analyse en profondeur permet alors de prendre les bonnes décisions.

Pour aller plus loin

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.