La gestion des vulnérabilités basée sur le risque est un processus de cybersécurité qui vise à identifier les vulnérabilités et à les corriger. Celles-ci constituent en effet un risque majeur pour une entreprise.
Depuis ces dernières années, ce processus connaît un succès croissant. Succès qui s'explique par la croissance exponentielle des endpoints et la complexité grandissante des environnements informatiques. Ces enjeux, conjugués aux autres priorités des entreprises, dont la migration vers le cloud et autres stratégies de transformation, mettent les équipes informatiques à rude épreuve. Elles doivent établir des priorités et optimiser des ressources déjà limitées. Grâce à la gestion des vulnérabilités basée sur le risque, elles peuvent désormais identifier et corriger les failles les plus susceptibles d'être exploitées et de perturber la bonne marche de l'entreprise.
Différence entre gestion des vulnérabilités et gestion des vulnérabilités basée sur le risque
Pour comprendre la différence entre la gestion des vulnérabilités classique et la gestion des vulnérabilités basée sur le risque, il faut d'abord clarifier ces deux notions.
L'Organisation internationale de normalisation définit une vulnérabilité comme une « faille dans un actif ou dans une mesure de sécurité qui peut être exploitée par une ou plusieurs menaces ».
Une menace est un élément ou un événement de nature à exploiter une vulnérabilité.
Un risque est la résultante de l'exploitation d'une vulnérabilité par une menace.
Les outils de gestion des vulnérabilités basée sur le risque et les outils de gestion des vulnérabilités classique sont tous deux capables d'identifier les risques au sein d'un environnement. Cependant, les premiers priorisent mieux les risques les plus immédiats et dangereux pour l'entreprise. La gestion des vulnérabilités basée sur le risque inclut les principales composantes suivantes :
- Une cyberveille intégrée : des données sont collectées, traitées et analysées pour mieux comprendre les motivations, les cibles et les comportements d'attaque d'un cybercriminel.
- Des scores de risque complets : le risque est évalué et calculé sur la base de la criticité d'une ressource, de la sévérité du risque, de la probabilité d'attaque, des répercussions pour l'entreprise et d'autres facteurs importants.
- L'automatisation : l'intelligence artificielle, le Machine Learning et d'autres applications d'automatisation de la cyberveille automatisent des tâches d'évaluation des risques pour rationaliser l'activité et optimiser les ressources.
Avantages de la gestion des vulnérabilités basée sur le risque
Les entreprises qui ont recours à la gestion des vulnérabilités basée sur le risque en retirent de nombreux avantages :
- Une plus grande précision : fortes des fonctionnalités de cyberveille et de Threat Hunting, les entreprises peuvent prendre des décisions de sécurité plus éclairées et plus rapides, fondées sur des données dans le cadre de la lutte contre la cybercriminalité. Grâce à cette approche proactive, l'équipe informatique peut mobiliser son temps et ses ressources sur les vulnérabilités les plus critiques au sein de l'environnement.
- Une visibilité plus large : la gestion des vulnérabilités basée sur le risque garantit une visibilité de toutes les ressources sur toute la surface d'attaque. Il peut s'agir de ressources modernes, telles que les terminaux mobiles et les applications cloud, qui sont rarement prises en charge par les outils classiques.
- Une protection permanente : plutôt que de fournir un instantané statique des données vulnérables et des résultats obsolètes, un outil moderne de gestion des vulnérabilités basée sur le risque analyse et surveille l'environnement en continu. Les entreprises peuvent ainsi détecter les vulnérabilités, même en pleine mutation.
- Des gains d'efficacité : la gestion des vulnérabilités basée sur le risque déploie des technologies avancées pour automatiser de nombreux aspects du processus d'évaluation. L'équipe informatique peut ainsi rationaliser les activités routinières et se concentrer sur l'activité à forte valeur ajoutée.
Comment prioriser les risques de cybersécurité ?
La majorité des entreprises sont confrontées à une myriade de vulnérabilités au sein de leur environnement. Néanmoins, seules quelques-unes représentent un danger pour l'entreprise. Voici quatre éléments importants à prendre en compte à l'heure de prioriser les vulnérabilités :
- Qu'est-ce qu'un niveau acceptable de risque ? Une entreprise doit définir un seuil correspondant au niveau de risque qu'elle est prête à courir. Ce seuil doit être défini en termes de ressources nécessaires pour remédier à un incident, de temps d'arrêt potentiel en cas d'attaque, du coût des efforts de correction, de gravité de l'atteinte à la réputation et de perte potentielle de données sensibles ou de propriété intellectuelle.
- Quelle est la probabilité du risque ? Pour estimer la probabilité d'une attaque pour chaque vulnérabilité, un système de gestion des vulnérabilités basée sur le risque analyse les exploits d'attaque actuels et les données historiques, ainsi que des modélisations analytiques et prédictives. Notons que cette analyse ne peut s'effectuer efficacement que si l'entreprise collecte en permanence des données sur les vulnérabilités et le contexte des menaces.
- Quelle est la gravité du risque ? La gravité du risque est calculée en multipliant son coût financier par sa probabilité. Le résultat donne une indication claire de l'ampleur de la menace.
- Quelle est l'urgence du risque ? Les cyberadversaires peuvent frapper à tout moment. Cependant, un outil de gestion des vulnérabilités basée sur le risque aidera l'entreprise à prendre conscience de l'imminence d'une attaque. Il permettra aussi à l'équipe d'envisager d'autres variables, comme la disponibilité des effectifs, la demande des clients, voire la saison. Autant de facteurs qui influencent la réactivité de l'entreprise.
Méthodologies d'évaluation des risques
La priorisation du risque suppose une évaluation intelligente du risque. Le système CVSS (Common Vulnerability Scoring System) est une norme sectorielle gratuite et ouverte utilisée par CrowdStrike et de nombreux autres éditeurs de solutions de cybersécurité pour évaluer les vulnérabilités logicielles et calculer leur gravité, leur urgence et leur probabilité. Les scores CVSS sont compris entre 0,0 et 10,0.
De plus, la NVD (National Vunerability Database) applique un niveau de gravité au score CVSS. Les informations de la NVD proviennent de l'organisation MITRE et de son référentiel de cybersécurité, le cadre MITRE ATT&CK. Ce cadre relie les groupes de cyberadversaires aux campagnes. Les équipes de sécurité peuvent ainsi mieux cerner les cyberadversaires auxquels elles ont affaire, évaluer leurs défenses et renforcer la sécurité aux endroits stratégiques.
Comment créer un bon programme de gestion des vulnérabilités basée sur le risque ?
Le marché regorge de solutions de gestion des vulnérabilités qui font dans la surenchère. Pour assurer la réussite d'un programme de gestion des vulnérabilités basée sur le risque, il y a lieu de prendre en compte les éléments suivants :
Une visibilité en temps réel :
- L'outil de gestion des vulnérabilités peut-il détecter les vulnérabilités de sécurité à temps ?
- L'outil fournit-il une visibilité de bout en bout pour tous les endpoints et les ressources au sein de l'environnement de l'équipe informatique de l'entreprise ?
- La solution propose-t-elle une technologie sans analyse pour visualiser les données et les manipuler en temps réel ?
- La solution assure-t-elle une protection des endpoints, qu'ils soient ou non connectés au réseau ?
La performance des endpoints :
- L'outil de gestion des vulnérabilités basée sur le risque est-il une solution légère qui peut être déployée et mise à jour en perturbant le moins possible la performance des endpoints ?
L'automatisation :
- La solution utilise-t-elle une intelligence artificielle, un Machine Learning et une automatisation de la cyberveille dernier cri pour simplifier l'évaluation des risques de cybersécurité et libérer des ressources précieuses au sein de l'équipe informatique ?
L'intégration :
- La solution s'intègre-t-elle bien dans l'architecture et les solutions de cybersécurité existantes de l'entreprise ?
- Le fournisseur propose-t-il des applications intégrées pour accélérer les efforts de correction des vulnérabilités ?
- Quelle assistance le fournisseur assure-t-il pour veiller à la bonne intégration du système avec les autres outils et technologies ?