Qu'est-ce qu'une évaluation des vulnérabilités ?
L'évaluation des vulnérabilités consiste à définir, identifier, classer et signaler de manière continue et régulière les cybervulnérabilités présentes sur les endpoints, les workloads et les systèmes.
Le plus souvent, les évaluations des vulnérabilités sont automatisées à l'aide d'un outil de sécurité fourni par un partenaire externe. L'objectif de cet outil est d'aider l'entreprise à comprendre quelles sont les vulnérabilités présentes dans son environnement et à déterminer les priorités en matière de correction et d'application de correctifs.
Importance de l'évaluation des vulnérabilités
Une vulnérabilité est une faiblesse dans l'environnement informatique que les cybercriminels peuvent exploiter pour accéder aux systèmes, applications, données et autres actifs lors d'une cyberattaque. Il est donc essentiel pour les entreprises d'identifier ces points faibles avant que les cybercriminels ne les découvrent et ne les utilisent dans le cadre d'une attaque.
À mesure que le panorama des cybermenaces s'étend et se complexifie, les entreprises trouvent chaque année des centaines, voire des milliers de vulnérabilités dans leurs systèmes. Chaque vulnérabilité peut ouvrir la voie à une brèche ou à une cyberattaque. De fait, effectuer ces analyses manuellement prendrait tellement de temps qu'il serait presque impossible pour les équipes d'identifier et de corriger toutes les vulnérabilités au fur et à mesure de leur apparition.
Les outils et solutions d'évaluation des vulnérabilités automatisent ce processus, permettant ainsi aux équipes informatiques de mieux allouer leurs ressources et de se focaliser sur des tâches plus importantes comme la correction des brèches. Ces évaluations fournissent également un contexte important sur les vulnérabilités découvertes lors des scans et des analyses. L'équipe peut donc donner la priorité aux vulnérabilités les plus dangereuses pour l'entreprise et intervenir en conséquence.
Les évaluations des vulnérabilités jouent un rôle crucial dans la protection des entreprises contre les fuites de données et les cyberattaques. Elles aident également à assurer le respect de réglementations importantes telles que le RGPD (Règlement général sur la protection des données) et la PCI DSS (Norme de sécurité des données pour l'industrie des cartes de paiement).
Types d'évaluations des vulnérabilités
Un processus d'évaluation des vulnérabilités utilise divers outils automatisés pour analyser l'ensemble de l'environnement informatique. L'entreprise peut ainsi identifier les vulnérabilités présentes dans les applications, les endpoints, les workloads, les bases de données et les systèmes.
Les quatre principales analyses effectuées dans le cadre de l'évaluation des vulnérabilités sont les suivantes :
Analyse du réseau
- Identifie les vulnérabilités susceptibles d'être exploitées dans le cadre d'attaques contre la sécurité des réseaux.
- Comprend des évaluations des réseaux traditionnels et des réseaux sans fil.
- Applique des contrôles et des politiques existants en matière de sécurité des réseaux.
Analyse des hôtes
- Identifie les vulnérabilités dans les systèmes, serveurs, conteneurs, postes de travail, workloads et autres hôtes du réseau.
- Se déploie généralement via un agent capable d'analyser les appareils surveillés et d'autres hôtes pour détecter les activités non autorisées, les modifications ou d'autres problèmes système.
- Offre une meilleure visibilité de la configuration du système et de l'historique des correctifs.
Analyse des applications
- Identifie les vulnérabilités liées aux applications logicielles, y compris l'architecture de l'application, le code source et la base de données.
- Identifie les mauvaises configurations et autres faiblesses en matière de sécurité dans les applications web et réseau.
Analyse des bases de données
- Identifie les vulnérabilités des systèmes de base de données ou des serveurs.
- Prévient les injections SQL et d'autres attaques ciblant les bases de données, tout en détectant les vulnérabilités comme l'élévation des privilèges et les configurations incorrectes.
Évaluation des vulnérabilités et gestion des vulnérabilités
L'évaluation des vulnérabilités et la gestion des vulnérabilités sont deux mesures de sécurité à la fois distinctes et liées.
La gestion des vulnérabilités est le processus régulier et continu consistant à identifier, évaluer, signaler, gérer et corriger les vulnérabilités de cybersécurité des endpoints, des workloads et des systèmes. L'évaluation des vulnérabilités se limite à l'analyse initiale du réseau, de l'application, de l'hôte, de la base de données ou de tout autre actif. En d'autres termes, l'évaluation des vulnérabilités est la première partie d'un processus plus large de gestion des vulnérabilités.
Ces deux activités, lorsqu'elles sont menées de front, permettent aux entreprises de détecter et de corriger les vulnérabilités de leur système informatique. Elles renforcent ainsi leur défense contre les cybermenaces et les risques en consolidant leur surface d'attaque.
Comment effectuer une évaluation des vulnérabilités ?
Les évaluations des vulnérabilités sont le plus souvent réalisées par des outils ou des logiciels automatisés. Ces solutions scrutent l'environnement informatique pour détecter les signatures de vulnérabilités connues. Une fois identifiées, elles doivent être corrigées, soit automatiquement par un outil automatisé, soit manuellement par l'équipe informatique.
Pour assurer une sécurité optimale, vous devez réaliser des analyses continues dès que le périmètre du programme et les processus sont établis. Vous pourrez ainsi identifier de façon proactive les vulnérabilités dans un environnement qui évolue rapidement.
5 étapes d'évaluation des vulnérabilités
La plupart des entreprises suivent ces cinq étapes de base lorsqu'elles préparent et réalisent une évaluation des vulnérabilités :
1. Définition du champ d'application et préparation du programme
Au cours de cette phase, l'équipe informatique définit la portée et les objectifs du programme. L'objectif principal de cet exercice est de déterminer avec précision la surface d'attaque et de comprendre où se trouvent les cybermenaces les plus importantes. L'activité principale comprend :
- L'identification de tous les actifs, équipements et endpoints pour l'analyse, ainsi que les logiciels, systèmes d'exploitation et applications installés sur ces actifs.
- La description des contrôles et des politiques de sécurité associés à chaque actif.
- La détermination de l'impact de chaque actif en cas de compromission de données (par exemple, l'actif contient-il ou traite-t-il des données sensibles ?
Au cours de cette étape, les entreprises procèdent à une analyse automatisée des actifs désignés afin d'identifier les vulnérabilités potentielles dans l'environnement défini à la première étape. Cette phase implique presque toujours l'utilisation d'un outil tiers ou le soutien d'un fournisseur de services de cybersécurité. Cet outil ou fournisseur s'appuie sur des bases de données de vulnérabilités existantes ou des flux de données de recherche de menaces pour détecter et classer les vulnérabilités.
3. Priorisation
À ce stade, les entreprises examinent toutes les vulnérabilités identifiées pendant l'évaluation et choisissent celles qui posent le plus grand risque pour l'entreprise. Celles qui auront un impact significatif sur l'entreprise doivent être corrigées en premier.
La priorisation repose, entre autres, sur les facteurs suivants :
- Évaluation de la vulnérabilité telle que déterminée par la base de données des vulnérabilités ou par l'outil de recherche de menaces
- Impact sur l'entreprise si la faiblesse est exploitée (par exemple, les données sensibles sont-elles menacées du fait de cette vulnérabilité ?)
- Disponibilité connue de la faiblesse (c'est-à-dire, quelle est la probabilité que les cybercriminels connaissent cette faiblesse ou qu'elle ait été exploitée par le passé ?)
- Facilité d'exploitation
- Disponibilité d'une application de correctifs et/ou efforts nécessaires pour neutraliser la vulnérabilité
4. Création d'un rapport
Au cours de cette phase, l'outil produit un rapport complet qui fournit à l'équipe de sécurité un aperçu de toutes les vulnérabilités de l'environnement. Le rapport établira également un ordre de priorité de ces vulnérabilités et fournira des conseils sur la manière de les résoudre.
Les informations contenues dans ce rapport comprennent des détails sur la vulnérabilité, par exemple :
- Quand et où la vulnérabilité a été découverte
- Quels systèmes ou actifs sont concernés
- Probabilité d'exploitation
- Dommages potentiels pour l'entreprise en cas d'exploitation
- Disponibilité d'un correctif et effort nécessaire pour le déployer
5. Amélioration continue
Le paysage des vulnérabilités évoluant au jour le jour (voire à chaque minute), les évaluations des vulnérabilités doivent être menées régulièrement et fréquemment. Les entreprises pourront donc vérifier qu'elles ont bien corrigé les vulnérabilités détectées lors des analyses antérieures et repérer de nouvelles vulnérabilités dès leur apparition.
Les entreprises doivent non seulement évaluer leurs actifs existants, comme les réseaux, les bases de données, les hôtes et les applications, mais elles doivent aussi intégrer une évaluation des vulnérabilités dans leur processus de CI/CD (intégration continue / distribution continue). Elles pourront ainsi identifier et corriger les vulnérabilités dès le début du cycle de développement, ce qui protégera les systèmes contre les exploits potentiels avant leur déploiement.
Faciliter l'évaluation des vulnérabilités en continu avec CrowdStrike
Chaque entreprise doit avoir une visibilité complète et en temps réel sur tout son environnement informatique pour assurer sa cybersécurité. Les entreprises qui analysent constamment leur environnement pour détecter des vulnérabilités se défendent mieux contre les cybermenaces et les risques.
Cependant, les outils d'évaluation des vulnérabilités ne sont pas tous équivalents. Lorsque vous choisissez une solution, optez pour un outil qui détecte rapidement les cybermenaces sans compromettre ni ralentir les performances des endpoints ou des systèmes.
Les entreprises doivent donc adopter une solution de surveillance sans analyse, qui fonctionne en permanence pour détecter les faiblesses et identifier les vulnérabilités, et ce, via un agent léger.
Falcon Spotlight est une solution sans analyse de CrowdStrike qui offre aux entreprises une gestion des vulnérabilités unifiée sur une seule plateforme, grâce à un agent unique. Cette solution fournit un tableau de bord interactif équipé de fonctions de recherche et de filtrage. Elle permet aux équipes informatiques de visualiser et d'interagir avec les données en temps réel. Elles peuvent ainsi intervenir immédiatement pour colmater des failles de sécurité potentiellement dangereuses au sein de l'entreprise.