6 étapes du cycle de vie de la gestion des vulnérabilités

Workflows
February 13, 2024
Gérez stratégiquement la cybersécurité de votre entreprise et réduisez votre risque de cyberattaque en suivant ces six étapes du cycle de vie de gestion des vulnérabilités.

Décembre 2021 a été une période terrible dans le monde de la cybersécurité. Une vulnérabilité de sécurité a été découverte dans un composant logiciel largement utilisé par des milliers de grandes entreprises et de ministères. Les médias l’ont qualifié de «le cauchemar avant Noël", et les experts en sécurité l'ont qualifié de faille la plus grave qu'ils aient jamais vue.

Comment pouvez-vous protéger votre organisation d’un tel cauchemar ? Dans ce guide, vous découvrirez les vulnérabilités de sécurité, le processus du cycle de vie de gestion des vulnérabilités pour les gérer systématiquement et les détails pratiques de chaque étape de ce processus.

Qu’est-ce qu’une faille de sécurité ?

Une vulnérabilité est une faille de sécurité dans l’un de vos actifs informatiques que les pirates peuvent exploiter. Cela peut entraîner un déni de service ou un autre type de cyberattaque, l’injection de logiciels malveillants dans vos actifs, une violation de données qui vole vos précieuses données professionnelles ou une attaque de ransomware.

La gestion des vulnérabilités est le processus de détection systématique et continue de ces failles de sécurité dans vos actifs. Un programme de gestion des vulnérabilités est institué pour gérer systématiquement les vulnérabilités. Nous explorerons ensuite son fonctionnement.

Le cycle de vie de la gestion des vulnérabilités

Les nouveaux clients ou les nouveaux projets nécessitent l’ajout d’actifs, et les nouveaux actifs entraînent de nouvelles vulnérabilités. De plus, les chercheurs en sécurité du monde entier découvrent continuellement des failles de sécurité dans les logiciels et matériels les plus courants.

Ainsi, par nécessité, le processus de gestion des vulnérabilités est un cycle continu de détection, de correction et de vérification. Ce processus continu est appelé cycle de vie de gestion des vulnérabilités. Il se compose de six étapes que nous expliquons en détail ci-dessous.

Étape 1 : Découverte des actifs

Vulnerability management lifecycle: server room

Vous devez connaître tous les actifs informatiques qui affectent la cybersécurité de votre entreprise avant de pouvoir les analyser à la recherche de vulnérabilités. Un inventaire de tous vos actifs liés à la sécurité est créé à cette étape. L’objectif est de comprendre l’état de votre sécurité informatique et votre surface d’attaque, c’est-à-dire toutes les cibles potentielles de cyberattaques.

Exemples d'actifs

Certains actifs sont physiques et d’autres virtuels ; certains sont gérés individuellement, tandis que d'autres sont gérés en groupe. Explorons quelques actifs critiques qui devraient faire partie de votre plan de cycle de vie de gestion des vulnérabilités.

1. Infrastructure informatique

L'infrastructure informatique fait référence aux actifs physiques et virtuels qui fournissent les ressources nécessaires pour exécuter n'importe quel logiciel. Il comprend des serveurs Web, des hyperviseurs, des machines virtuelles, des conteneurs, des systèmes d'exploitation et des logiciels serveur.

2. Infrastructure réseau

L'infrastructure réseau fournit un réseau local et étendu pour votre entreprise. Il comprend du matériel, comme les routeurs réseau et les points d'accès sans fil, et des logiciels, comme les réseaux privés virtuels, les pare-feu et les serveurs proxy.

Il comprend également des composants moins visibles mais toujours vulnérables, tels que vos comptes auprès des bureaux d'enregistrement de domaine, les entrées du système de noms de domaine et les certificats de sécurité de sites Web.

3. Applications Web et logiciels en tant que service (SaaS)

Toutes vos applications web, vos abonnements SaaS et leurs données sont des atouts. Les applications destinées au public et aux clients font l'objet d'une attention particulière, car elles sont confrontées à plus de menaces que les applications internes. Les applications SaaS et les services cloud fournissent souvent des interfaces de programmation d'applications (API) d'inspection pour signaler vos actifs qui y sont stockés.

4. Bases de données et données

Chaque serveur de base de données et chaque base de données qu'il héberge sont des actifs. Parfois, certains de vos actifs les plus importants se trouvent dans l’une de ces bases de données. Par exemple, une table de base de données particulière contenant les détails d’un client peut constituer l’actif de données le plus précieux de votre entreprise. Dans une table contenant des données provenant de plusieurs fournisseurs (données multi-locataires), les lignes associées à un fournisseur particulièrement précieux peuvent être traitées comme un actif distinct.

5. Autres actifs

Les autres actifs liés à la sécurité incluent les appareils finaux (tels que les postes de travail des employés, les ordinateurs portables et les smartphones) et les clés de sécurité matérielles.

Méthodes de découverte

Un défi majeur dans la découverte d’actifs est que votre collection d’actifs est très dynamique. Il grandit et rétrécit tout le temps. C’est l’une des raisons pour lesquelles on parle de cycle de vie de gestion des vulnérabilités et non de processus ponctuel.

Comment détecter les actifs nouveaux, modifiés ou manquants pertinents pour la sécurité ? Pour ce faire, vous utilisez votre inventaire informatique comme référence et en détectez les modifications à l'aide des outils et techniques suivants :

  • Agents: les agents sont des composants logiciels déployés sur des actifs pour signaler les actifs locaux tels que les packages logiciels installés, les services réseau actifs ou les applications en cours d'exécution.
  • Sans agent: La découverte sans agent implique la détection d'actifs sans déployer d'agents en utilisant l'accès au réseau distant, l'accès à la base de données distante, API SaaS, ou un simple protocole de surveillance du réseau.
  • Surveillance du trafic réseau : Le trafic réseau est surveillé de manière centralisée pour détecter les services réseau et les points de terminaison d'API, mais il ne peut trouver que les actifs qui utilisent le réseau.
  • Inventaire manuel: Chaque service de votre entreprise peut affiner manuellement la liste d'inventaire de temps en temps pour inclure des actifs moins tangibles. Par exemple, un document de processus peut être l'atout le plus précieux d'un service particulier. Idéalement, tous les actifs ajoutés manuellement sont ajoutés à la découverte automatisée du cycle suivant.

Défis de sécurité lors de la découverte

La découverte d'actifs peut se heurter aux défis suivants :

  • Identifiants révoqués ou modifiés: La plupart des actifs nécessitent certaines informations d'identification (mots de passe ou clés de sécurité) pour autoriser l'accès. Les informations d'identification révoquées ou les autorisations d'accès modifiées peuvent empêcher l'exécution des outils de découverte d'actifs. Évitez cela en utilisant un service commun de gestion des identités et des accès utilisé par tous les services.
  • Risque de compromettre les actifs pendant le processus de découverte: Compte tenu de ses niveaux élevés d'accès à tous vos actifs, le processus de découverte des actifs lui-même peut devenir la cible de cyberattaques. Le Attaque SolarWinds de 2020 a compromis un service de gestion de réseau largement utilisé pour injecter des vulnérabilités dans les réseaux de tous ses clients.

Étape 2 : Priorisation des actifs

Vulnerability management lifecycle: 1st, 2nd and 3rd place

Tous les actifs ne justifient pas des niveaux élevés de protection. Une application interne (une application utilisée uniquement par vos employés sur un réseau interne sécurisé) peut ne pas nécessiter autant d'attention qu'une application destinée aux clients. À cette étape, vous priorisez vos actifs, compte tenu de vos contraintes de budget, de temps et de ressources.

L'objectif est d'identifier les actifs essentiels à vos opérations commerciales à travers ces étapes :

  • Évaluez vos opérations commerciales: Utilisez des indicateurs commerciaux tels que les revenus mensuels récurrents et le volume des transactions clients pour estimer les coûts liés à l'atteinte à la réputation et aux responsabilités juridiques en cas de cyberattaque. UN cadre de gestion des cyber-risques peut vous guider.
  • Identifier les actifs critiques: Les actifs critiques maintiennent vos opérations commerciales critiques opérationnelles.
  • Attribuez une valeur commerciale à chaque actif critique: Déterminez les paramètres et les coûts de tous vos actifs pour vous aider à juger de la criticité de chacun.

De cette façon, vous pouvez hiérarchiser les actifs du point de vue de la sécurité.

Étape 3 : Évaluation de la vulnérabilité

Luggage scanner

L'évaluation des vulnérabilités est l'étape la plus importante du cycle de vie de la gestion des vulnérabilités. Des scanners de vulnérabilités sont utilisés pour détecter et créer des profils de risque pour chaque actif.

Outils d'analyse des vulnérabilités

Il existe une grande variété de scanners de vulnérabilités, couvrant chaque classe d’actifs. La profondeur et la précision de l’analyse varient en fonction de la priorité d’un actif. Les actifs hautement critiques sont soumis à plusieurs scanners pour éliminer la moindre vulnérabilité, aussi mineure soit-elle.

Voici des exemples de scanners :

  • Scanners de système d'exploitation: Ils détectent les vulnérabilités pouvant provenir des autorisations du système de fichiers, des paramètres du système d'exploitation et des services système.
  • Scanners de bases de données: Ils se concentrent sur l’authentification, l’accès, les autorisations, l’injection de langage de requête structuré (une attaque dans laquelle les données ajoutées à la base de données sont en fait une requête de base de données malveillante) et d’autres vulnérabilités connues pour exister dans les logiciels et services de base de données.
  • Scanners d'applications Web: Les applications Web sont sujettes à un grand nombre de vulnérabilités telles que les entrées de requêtes non validées, la falsification de requêtes intersites, les scripts intersites et bien d'autres. Étant donné un site Web et des informations d'identification d'accès, ces scanners visitent chaque page de vos applications Web à la recherche de telles vulnérabilités.
  • Scanners SaaS: Ces scanners recherchent les erreurs de configuration, les contrôles d'accès inadéquats et les vulnérabilités spécifiques aux fonctionnalités de votre Abonnements SaaS et cloud. Étant donné que chaque SaaS possède des fonctionnalités et des concepts uniques, chacun possède son scanner spécialisé avec des règles spécifiques.
  • Scanners généraux: Logiciel comme Cadre Metasploit et Suite Rots fournir une variété de modules d'analyse prédéfinis et de scripts personnalisés pour chaque classe d'actifs.
  • Scanners personnalisés: En plus de tout ce qui précède, la plupart des équipes de sécurité écrivent des scripts personnalisés pour analyser leurs applications et réseaux internes.

Bases de données de vulnérabilité

De nouvelles vulnérabilités et de nouvelles techniques pour les exploiter sont constamment découvertes. Comment effectuent ces analyses outils continuez? Cela se produit grâce à des bases de données mondiales sur les vulnérabilités telles que Vulnérabilités et expositions courantes (CVE). Les chercheurs en sécurité utilisent CVE pour partager les nouvelles vulnérabilités, techniques d'exploitation et menaces de cybersécurité qu'ils découvrent. Les outils d'analyse sont ensuite mis à jour rapidement pour couvrir les nouvelles découvertes.

Validation des vulnérabilités

La validation des vulnérabilités détectées, en particulier dans vos actifs les plus prioritaires, est nécessaire pour évaluer l'efficacité de votre processus et voir si certains scanners signalent des faux positifs inutiles. Utilisez les outils et les équipes de tests d’intrusion pour cette validation. Lors d’un test d’intrusion, un outil ou une équipe d’experts en sécurité tente d’exploiter délibérément les vulnérabilités pour tester vos défenses.

Étape 4 : rapport

2 people working on reports

Les résultats de l’étape d’évaluation doivent parvenir à plusieurs parties prenantes :

  • Dirigeants et direction: Ils reçoivent des résumés de l'état de sécurité global de vos actifs afin de planifier des solutions commerciales, organisationnelles et juridiques à tout problème de sécurité découvert.
  • Équipes de gestion des risques et de la conformité: Ils reçoivent des profils de risque des actifs critiques pour les aider à se conformer aux normes telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) et aux lignes directrices telles que la Cadre de cybersécurité du National Institute of Standards and Technology (NIST).
  • Équipes de sécurité: Ils reçoivent les détails techniques de toutes les vulnérabilités afin de pouvoir concevoir des plans de sécurité pour tous les actifs.
  • Équipes d’exploitation et d’ingénierie: Eux aussi reçoivent les détails techniques afin de pouvoir mettre en œuvre les modifications logicielles et de configuration sur les actifs.

Lisez notre article sur évaluations de sécurité pour plus de détails sur les rapports d’évaluation.

Découvrez la puissance de ThreatKey

Vous souhaitez approfondir les avantages de notre technologie de système d’enregistrement ? Découvrez comment ThreatKey peut améliorer votre stratégie de cybersécurité. En savoir plus sur ThreatKey.

Free Assessment

Étape 5 : Remédiation

À cette étape du cycle de vie de gestion des vulnérabilités, les équipes de sécurité et les autres parties prenantes gèrent toutes les vulnérabilités détectées et leurs risques en fonction des priorités de sécurité. Trois approches sont disponibles pour chaque vulnérabilité :

  • Assainissement: La correction implique de fermer correctement la vulnérabilité pour garantir qu'aucun attaquant ou interne ne puisse l'exploiter. Cela peut impliquer l’application de correctifs à des logiciels ou même la réarchitecture de systèmes entiers. Étant donné que la remédiation nécessite plus de ressources et de temps, elle est utilisée pour les actifs les plus prioritaires.
  • Atténuation: L'atténuation consiste à réduire les risques d'une vulnérabilité sans la supprimer complètement, éventuellement en raison de coûts élevés. Par exemple, il peut empêcher l’exploitation par la menace la plus risquée mais ignorer les menaces moins risquées.
  • Acceptation: Parfois, une vulnérabilité présente un risque trop faible pour être corrigée. Ces problèmes peuvent être ignorés pour l’instant et traités lors d’un cycle ultérieur si nécessaire.

Un plan de remédiation est préparé sur la base des rapports de l'étape précédente. Les équipes des opérations de sécurité suivent et mettent à jour ses progrès sur des tableaux de bord afin que toutes les parties prenantes puissent voir l'état en temps réel de la remédiation.

Étape 6 : Vérification

Person using their keycard

Les résultats de l’étape de remédiation sont vérifiés à l’aide d’audits de suivi. Les scanners sont réexécutés et une validation par des tests d'intrusion est effectuée. À la fin de cette dernière étape, vous pouvez être assuré que toutes les vulnérabilités connues de tous les actifs critiques de votre entreprise ont été corrigées et que votre cybersécurité globale est améliorée, jusqu'au début de votre prochain cycle de vie de gestion des vulnérabilités.

ThreatKey pour la gestion des vulnérabilités SaaS

Vous avez vu comment le cycle de vie de la gestion des vulnérabilités vous aide à découvrir systématiquement les faiblesses et à réduire vos risques liés aux cybermenaces.

ThreatKey utilise une nouvelle technologie de système d'enregistrement, associée à une analyse sans agent basée sur une API et à l'ingestion des journaux, pour garantir une découverte complète de vos actifs sur applications SaaS populaires comme Google Workspace, Microsoft 365, Box, Slack, GitHub et Okta.‍

Notre service surveille en permanence les configurations et les journaux de vos actifs pour une gestion robuste des vulnérabilités et pour remédier automatiquement aux vulnérabilités détectées. Essayer ThratKey gratuitement.

Prêt à renforcer votre cybersécurité ?

Découvrez l’efficacité et la facilité de gestion des vulnérabilités de ThreatKey. Réservez une démo gratuite avec notre équipe dès aujourd'hui et voyez comment nous pouvons adapter nos solutions à vos besoins. Planifiez votre démo maintenant.

Continue reading

Visit Blog

Cyber Attack at Ascension Hospitals

Industry News
May 9, 2024

DEF CON 32: From 'Canceled' to 'Un-Canceled'—The Unexpected Venue Shift

Events
May 3, 2024

Never miss an update.

Subscribe for spam-free updates and articles.
Thanks for subscribing!
Oops! Something went wrong while submitting the form.

Stay a step ahead with the latest in cybersecurity news and insights

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
® 2023 ThreatKey, Inc. “ThreatKey” and the ThreatKey logo are registered trademarks of the company.
Terms of ServicePrivacy PolicyStatusDocumentation
By installing or using the software, you acknowledge and agree to be bound by the Terms of Service.