Qu'est-ce qu'une cybervulnérabilité ?
Une cybervulnérabilité désigne un point faible dans un hôte ou un système, comme une mise à jour logicielle omise ou une erreur de configuration du système, pouvant être exploité par des cybercriminels pour compromettre une ressource informatique et diffuser son attaque.
L'identification des cybervulnérabilités est l'une des mesures les plus importantes à prendre pour améliorer et renforcer le niveau global de cybersécurité.
Différence entre vulnérabilités, menaces et risques
Bien que souvent utilisés de manière interchangeable, ces termes font référence à des concepts bien distincts.
Comme indiqué précédemment, une vulnérabilité est un point faible qui peut être exploité par un cyberattaquant. Par exemple, un logiciel non corrigé ou des comptes trop permissifs peuvent permettre à des cybercriminels d'accéder au réseau et de s'introduire dans un environnement informatique.
Une menace est un acte de malveillance capable d'exploiter une vulnérabilité de sécurité.
Un risque est la résultante de l'exploitation d'une vulnérabilité par une cybermenace. Il désigne les dommages susceptibles d'être causés à l'entreprise en cas de cyberattaque.
Les 7 types de cybervulnérabilités les plus courants
Au moment de l'examen du niveau et de l'approche de cybersécurité de votre entreprise, il est important de comprendre que les cybervulnérabilités sont de votre fait, et pas de celui du cybercriminel. Cet aspect du paysage de la cybersécurité peut être corrigé et géré de façon proactive par les entreprises grâce à des mesures appropriées et à l'utilisation d'outils, de processus et de procédures adaptés.
Voici une présentation des sept types de cybervulnérabilités les plus courants ainsi que le moyen de les neutraliser :
1. Erreurs de configuration
Les erreurs de configuration constituent la menace la plus sérieuse pour la sécurité du cloud et des applications. La configuration de nombreux outils de sécurité des applications étant effectuée manuellement, ce processus est sujet aux erreurs et est long à gérer et à mettre à jour.
Ces dernières années, de nombreuses compromissions signalées trouvaient leur origine dans des compartiments S3 mal configurés utilisés comme point d'entrée. Ces erreurs font des workloads cloud des cibles de choix faciles à identifier à l'aide d'un simple robot d'indexation. L'absence de sécurité du périmètre dans le cloud accentue le risque associé aux erreurs de configuration.
C'est pourquoi les entreprises doivent adopter des outils et des technologies de sécurité, automatiser le processus de configuration et réduire le risque d'erreurs humaines dans l'environnement informatique.
2. API non sécurisées
Les API (interfaces de programmation d'application) non sécurisées constituent une autre vulnérabilité de sécurité courante. Les API offrent une interface numérique qui permet aux applications ou à leurs composants de communiquer entre eux sur Internet ou sur un réseau privé.
Les API font partie des quelques ressources de l'entreprise à disposer d'une adresse IP publique. Si elles ne sont pas correctement sécurisées, elles constituent une cible de choix pour les cyberattaquants.
De même que les erreurs de configuration, la sécurisation des API est un processus propice aux erreurs humaines. Les équipes informatiques peuvent tout simplement ignorer, sans intention malveillante, l'unique risque de sécurité lié à cette ressource et faire aveuglément confiance aux contrôles de sécurité standard. La mise en place d'une formation de sensibilisation à la sécurité permet d'apprendre aux équipes les bonnes pratiques de sécurité liées au cloud, concernant notamment le stockage des données confidentielles, la rotation des clés et l'adoption d'une bonne hygiène IT lors du développement de logiciels ; elle est aussi importante dans le cloud que dans un environnement traditionnel.
3. Logiciels obsolètes ou non corrigés
Les fournisseurs de logiciels publient régulièrement des mises à jour de leurs applications pour ajouter de nouvelles fonctionnalités ou corriger des cybervulnérabilités connues. Un logiciel non corrigé ou obsolète est une cible facile pour des cybercriminels confirmés. Comme avec les erreurs de configuration du système, les cyberadversaires sont à l'affût de telles failles à exploiter.
Les mises à jour logicielles peuvent contenir des mesures de sécurité précieuses et importantes. Il incombe donc à l'entreprise de mettre à jour son réseau et l'ensemble de ses endpoints.
Malheureusement, comme des mises à jour logicielles sont publiées presque quotidiennement, les équipes informatiques déjà débordées risquent d'en oublier et de ne pas corriger certaines failles, voire de passer complètement à côté d'une nouvelle version. Même si l'absence de mise à jour ne concerne qu'une seule machine, elle peut avoir des conséquences potentiellement désastreuses pour l'entreprise en offrant une voie d'accès aux attaques de ransomwares et de logiciels malveillants, ou un hôte pour d'autres menaces de sécurité.
Afin de remédier à ce problème, les entreprises doivent élaborer et implémenter un processus de priorisation des mises à jour logicielles et d'application des correctifs. Dans la mesure du possible, l'équipe doit également automatiser cette activité afin de garantir la mise à jour et la protection optimale des systèmes et des endpoints.
4. Vulnérabilités zero day
Une vulnérabilité zero day désigne une faille de sécurité qui a été découverte par un cybercriminel, mais qui est encore méconnue de l'entreprise et de l'éditeur du logiciel. L'expression anglaise « zero day » (jour zéro) désigne le fait que l'éditeur du logiciel n'était pas conscient de la vulnérabilité du logiciel au moment de sa publication et qu'il a eu « 0 » jour pour élaborer un correctif de sécurité ou une mise à jour pour résoudre le problème, tandis qu'il s'agit d'une vulnérabilité connue du cyberattaquant.
Les attaques zero day sont extrêmement dangereuses pour les entreprises en raison de leur difficulté de détection. Pour détecter et atténuer efficacement les attaques zero day, une défense coordonnée est nécessaire, autrement dit une défense qui intègre à la fois des technologies de prévention et un plan de réponse exhaustif en cas de cyberattaque. Pour se préparer à faire face à ces événements furtifs et destructeurs, les entreprises peuvent déployer une solution de protection des endpoints complète combinant diverses technologies, telles qu'un antivirus de nouvelle génération (NGAV), une solution EDR et une cyberveille.
5. Identifiants utilisateur faibles ou volés
Nombreux sont les utilisateurs qui créent des mots de passe faibles et n'hésitent pas à les réutiliser pour plusieurs comptes. La réutilisation ou le recyclage de mots de passe et d'identifiants utilisateur offre une autre voie d'accès potentielle à exploiter par les cybercriminels.
Les identifiants utilisateur faibles sont souvent exploités dans le cadre d'attaques en force au cours desquelles un cybercriminel tente d'accéder à des données et systèmes sensibles en essayant systématiquement un maximum de combinaisons de noms d'utilisateur et de mots de passe. En cas de succès, le cyberattaquant peut alors s'introduire dans le système en se faisant passer pour l'utilisateur légitime. Il en profite pour se déplacer latéralement, installer des portes dérobées, collecter des informations sur le système qu'il utilisera lors d'attaques ultérieures et, bien sûr, voler des données.
Pour corriger cette cybervulnérabilité, les entreprises doivent définir et appliquer des règles claires exigeant l'utilisation de mots de passe uniques et forts et invitant les utilisateurs à les modifier régulièrement. Les entreprises doivent également envisager la mise en place d'une authentification multifacteur (MFA) qui exige plusieurs formes d'authentification des utilisateurs, telles qu'un mot de passe et une empreinte digitale ou un mot de passe et un jeton de sécurité à usage unique.
6. Contrôle d'accès ou accès non autorisé
Souvent, les entreprises accordent aux collaborateurs des accès et des autorisations dont ils n'ont pas forcément besoin, ce qui les expose à des menaces liées à l'identité et élargit leur surface d'attaque en cas de compromission de données.
Pour remédier à ce problème, les entreprises doivent appliquer le principe du moindre privilège, concept et pratique de sécurité informatique qui consiste à octroyer aux utilisateurs des droits d'accès limités en fonction des tâches qu'ils doivent réaliser dans le cadre de leur travail. En vertu de ce principe, seuls les utilisateurs autorisés dont l'identité a été vérifiée disposent des autorisations nécessaires pour effectuer des tâches dans certains systèmes et applications ou accéder à certaines données ou ressources.
Le principe du moindre privilège est généralement considéré comme l'une des pratiques les plus efficaces pour renforcer le niveau de cybersécurité de l'entreprise dans la mesure où il permet à celle-ci de contrôler et de surveiller l'accès au réseau et aux données.
7. Mauvaise compréhension du « modèle de responsabilité partagée » (ou menaces pour les performances d'exécution)
Les réseaux cloud adoptent souvent ce qu'on appelle le « modèle de responsabilité partagée », ce qui signifie qu'une grande partie de l'infrastructure sous-jacente est sécurisée par le fournisseur de services cloud. L'entreprise est quant à elle responsable de tout le reste, notamment du système d'exploitation, des applications et des données.
Malheureusement, ce point peut être mal compris et amener certains à penser que les workloads cloud sont totalement protégés par le fournisseur de services cloud. Les utilisateurs exécutent alors sans le savoir dans un cloud public des workloads qui ne sont pas entièrement protégés, permettant ainsi aux cyberadversaires de cibler le système d'exploitation et les applications pour s'introduire.
Les entreprises qui utilisent le cloud ou migrent vers un environnement de travail cloud ou hybride doivent actualiser leur stratégie et leurs outils de cybersécurité afin de protéger l'ensemble des zones à risques dans tous les environnements. Les mesures de sécurité traditionnelles ne permettent pas de protéger un environnement cloud et doivent être complétées afin d'offrir une protection avancée contre les vulnérabilités et les menaces dans le cloud.
Qu'est-ce que la gestion des vulnérabilités ?
La gestion des vulnérabilités est un processus régulier et continu consistant à identifier, évaluer, signaler, gérer et corriger les vulnérabilités de sécurité des endpoints, des workloads et des systèmes.
Comme l'environnement informatique des entreprises est susceptible d'héberger de nombreuses cybervulnérabilités, un programme de gestion des vulnérabilités efficace doit s'appuyer sur la cyberveille et la connaissance des opérations informatiques et commerciales pour prioriser les risques et corriger les vulnérabilités au plus vite.
Qu'attendre d'une solution de gestion des vulnérabilités ?
La gestion de l'exposition aux cybervulnérabilités connues incombe principalement à un gestionnaire des vulnérabilités. Bien que la gestion des vulnérabilités ne se résume pas à la simple exécution d'un outil d'analyse, un outil ou un kit d'outils de haute qualité permettra d'améliorer considérablement l'implémentation et le bon déroulement d'un programme de gestion des vulnérabilités.
Le marché regorge d'options et de solutions, affirmant toutes posséder des fonctionnalités de pointe. Les critères suivants peuvent orienter votre décision au moment de choisir une solution de gestion des vulnérabilités :
Rapidité. Un outil de gestion des vulnérabilités qui n'arrive pas à détecter les vulnérabilités rapidement n'a pas beaucoup d'utilité et ne contribue pas à la protection globale de l'entreprise. C'est souvent le point faible des analyseurs déployés sur le réseau. Les analyses sont lentes et consomment une grande partie de la bande passante de l'entreprise avant de livrer des résultats qui sont parfois déjà obsolètes. Il est préférable de choisir une solution qui s'appuie sur un agent léger plutôt que sur un réseau.
Impact sur les performances des endpoints. Les éditeurs de solutions d'analyse des vulnérabilités sont de plus en plus nombreux à proposer des solutions basées sur un agent. Malheureusement, la plupart de ces agents sont tellement volumineux qu'ils dégradent considérablement les performances des endpoints. Il convient donc de choisir un outil basé sur un agent léger, qui n'occupe que très peu d'espace sur l'endpoint afin de minimiser l'impact sur la productivité.
Visibilité complète en temps réel. Vous devez être en mesure d'identifier instantanément les ressources vulnérables. Les outils de gestion des vulnérabilités d'ancienne génération peuvent entraver la visibilité. Les analyses réseau prennent du temps et fournissent des résultats obsolètes, les agents encombrants ralentissent la productivité de l'entreprise et les rapports volumineux ne favorisent pas une correction rapide des vulnérabilités de sécurité.
La simplicité est la clé du succès. Le temps des ensembles complexes d'outils et de solutions de sécurité utilisables uniquement par du personnel spécialisé est révolu. Nombreuses sont les entreprises qui recourent aujourd'hui à une plateforme intégrant des outils de gestion des vulnérabilités et d'autres fonctionnalités de sécurité pour la cyberhygiène, l’EDR, le contrôle des terminaux, etc. Votre entreprise est ainsi à l'abri des attaques liées à des systèmes non protégés.
La gestion des vulnérabilités par CrowdStrike
CrowdStrike Falcon Spotlight™ propose aux analystes informatiques une solution d'évaluation, de priorisation et de gestion des vulnérabilités à la fois complète, immédiate et sans analyse. Reposant sur la plateforme CrowdStrike Falcon®, elle offre des rapports, des tableaux de bord et des filtres intuitifs pour aider votre personnel informatique à corriger les vulnérabilités de façon appropriée.
Falcon Spotlight vous permet d'identifier les vulnérabilités exposées de votre environnement d'entreprise et de prioriser facilement celles qui sont critiques pour vos activités. Après avoir priorisé vos vulnérabilités et mesures correctives, utilisez les fonctionnalités et applications intégrées à la plateforme Falcon pour déployer des correctifs d'urgence, créer des tableaux de bord personnalisés afin de surveiller vos efforts de correction, et lancer des workflows informatiques externes depuis les rapports, les intégrations ou les API.
Principaux avantages :
- Automatisation de l'évaluation des vulnérabilités grâce au capteur Falcon installé sur tous vos endpoints, qu'ils soient connectés au réseau ou non
- Réduction des délais d'intervention grâce à une visibilité en temps réel sur les vulnérabilités et les cybermenaces présentes au sein de votre environnement
- Tableaux de bord intuitifs prédéfinis permettant d'obtenir les données de vulnérabilité pertinentes pour votre entreprise, avec possibilité de création de tableaux de bord personnalisés
- Gain de temps grâce à la priorisation à l'aide de l'intégration des informations de cyberveille sur les menaces et les exploits
- Coordination des outils de sécurité et des outils informatiques grâce à des données sur les vulnérabilités à la demande toujours disponibles et à l'orchestration de l'application des correctifs
- Application d'urgence des correctifs pour les cybervulnérabilités critiques grâce aux intégrations natives de Falcon
Pour découvrir comment Falcon Spotlight peut fournir à votre entreprise les informations pertinentes et opportunes dont elle a besoin pour réduire son exposition aux cyberattaques sans impact sur les endpoints, accédez à notre page produit Spotlight et téléchargez notre fiche technique.