La gestion des vulnérabilités est un classique de cybersécurité. Une tâche sans fin, diront certains. Une tâche d’ampleur en tout cas, puisque les vulnérabilités référencées à vérifier sont nombreuses, tout comme les composants à tester. À l’inverse, le temps et les occasions de mettre en œuvre les patchs de sécurité sont réduits. Et si envisager les vulnérabilités de façon plus large permettait de gagner en efficacité ?
La gestion des correctifs « traditionnelle »
Le suivi de failles logicielles est lié à la notion de « patch management », puisque, lorsqu’une faille est détectée, il est nécessaire de la corriger pour qu’elle ne se transforme pas en porte d’entrée de cyberattaque.
Jusqu’à présent, des métriques comme le score CVSS, qui évalue la criticité de la vulnérabilité, et l’EPSS, qui détermine la probabilité d’exploitation de la vulnérabilité, ont été utilisées comme base pour l’estimation du risque, la priorisation et la mise en œuvre des correctifs.
Ces métriques permettent ainsi une première priorisation, mais elles ne sont pas suffisantes. En effet, elles ne tiennent pas compte du contexte spécifique de l’organisation, pourtant déterminant pour juger de la criticité et du potentiel d’exploitation réels de la vulnérabilité, en fonction de l’impact du composant dans son infrastructure.
À cela s’ajoute que la gestion des vulnérabilités est souvent un sujet de friction au sein des organisations, car certaines infrastructures comptent des centaines d’équipements et appliquer un correctif pourrait avoir un impact opérationnel, de facto sur l’activité de l’entreprise. Les administrateurs peuvent donc se montrer frileux, de peur que le service soit interrompu ou simplement par manque de temps ou de méthode pour se lancer.
Récemment, cette situation a fait naitre le centre opérationnel des vulnérabilités, ou VOC pour Vulnerability Opérations Center, qui désigne une nouvelle vision de la vulnérabilité, pas uniquement centrée sur les identifiants de déclaration de vulnérabilité CVE.
Vers un VOC plus large
Dans un contexte cyber nouveau, le VOC ne doit plus se limiter aux vulnérabilités des composants : ces dernières constituent une brique qu’il faut compléter pour avoir une vision claire des risques inhérents à une organisation. En plus d’une politique proactive pour identifier les vulnérabilités (veille, campagne de scan par exemple) et appliquer les recommandations ou atténuations, il faut désormais inclure :
- l’identification d’actifs présentant des défauts de configuration de sécurité
- les outils de « posture management » qui s’alimentent notamment de contrôles sur les clouds et solutions SaaS pour étudier les comportements et garantir l’identité des utilisateurs
- les solutions de sécurité portant sur les aspects relatifs à l’identité et la gestion d’accès
- les outils de « gestion de la surface externe » qui indiquent quels composants et services du système d’information sont exposés sur Internet
- la recherche d’informations sur le Dark et le Deep Web (fuites d’informations, ciblage de cybercriminels, etc.)
- la connaissance sur mesure de la menace qui pèse sur l’organisation, car la manière d’aborder la gestion des vulnérabilités diffère selon le type de menace.
Intégrer ces autres briques dans l’approche des vulnérabilités contribue à mailler les informations, ce qui permet de mieux prioriser et de restreindre l’empreinte numérique de l’organisation.
Le VOC réalise une « photo » de l’exposition de cette dernière sur Internet et donne une meilleure connaissance de l’environnement extérieur, comme peut le faire le SOC en supervisant l’infrastructure de l’organisation grâce à ses analystes et ses processus de détection des attaques.
Mais la force du VOC et du SOC réside aussi dans la transversalité entre les deux exercices : en effet, investir dans un VOC permet de réagir au plus tôt pour limiter l’impact d’une attaque éventuelle. Une recherche sur le DeepWeb (VOC) peut par exemple révéler que des comptes utilisateurs sont exposés. Fort de cette information, le SOC peut prendre les mesures adaptées (vérification des activités du compte, etc.) avant que ceux-ci soient exploités.
Le VOC comme pendant préventif du SOC
La notion de renseignement sur la menace (CTI) devient peu à peu la pierre angulaire du VOC, alors qu’elle n’était pas vraiment prise en compte dans l’évaluation jusque-là.
« Il est primordial que le VOC prenne en considération le métier de l’organisation, son implantation internationale, ses biens essentiels, le contexte géopolitique, etc. »
Fabian Cosset, Directeur du CERT Advens
L’approche VOC d’Advens s’appuie sur les synergies existantes entre les différentes disciplines de cybersécurité de son personnel : analystes CERT (CTI & CSIRT), équipes SOC, auditeurs et équipes infrastructures. Grâce à une communication transverse et à la convergence entre la prévention (VOC) et la détection (SOC), Advens gagne du temps dans ses réponses aux incidents et propose à ses clients un plan clair, concis, actionnable et priorisé en matière de vulnérabilité au sens large.
Conclusion
L’heure semble donc au changement de paradigme et à l’adoption d’une logique « à l’évènement » dans la gestion des vulnérabilités. Tenir compte de nombreuses sources d’évènements permet de les croiser et de s’assurer de disposer d’un maximum d’informations, de sorte à gagner en hauteur de vue et à fixer les bonnes priorités.
Plus que l’exhaustivité, c’est bien l’efficacité et l’utilité qu’il faut viser aujourd’hui. Pour que le tsunami de lignes d’informations qui submergent les RSSI à la suite d’un scan de vulnérabilités se mue en plan d’action concret qui limite réellement les risques associés.
