La veille de vulnérabilités c'est quoi ?
La veille de vulnérabilités est une des étapes cruciales pour assurer la sécurité des systèmes d’information. Elle consiste à surveiller l’apparition de nouvelles failles et à les identifier, ou non, comme exploitables pour une infrastructure type.
L’objectif est :
– Garantir la fiabilité des informations recueillies.
– Communiquer rapidement ces informations.
Une vulnérabilité en informatique regroupe souvent un ensemble de points de faiblesses dans un système d’information, un serveur, un logiciel, un composant logique ou matériel, réseau, etc. Ces vulnérabilités peuvent être exploitées par des individus malveillants pour compromettre la sécurité du système dans son ensemble.
Ces vulnérabilités peuvent résulter de défauts de conception, de bugs de programmation, de configurations incorrectes ou obsolètes et représentent des points d’entrée potentiels pour des attaques.
En résumé, la surveillance et l’identification permettent de corriger et/ou d’endiguer ces failles plus efficacement.
Zoom sur les CVE
Une faille de sécurité ou Common Vulnerabilities and Exposures (CVE) est numérotée avec un identifiant unique. Cet identifiant inclut une évaluation de sa criticité par le biais d’une notation uniformisée CVSS. Ce score est basé sur un ensemble de métriques et vecteurs comprenant des éléments tels que :
- Le type d’accès
- La surface d’attaque
- La complexité exigée
- L’interaction requise ou non avec un utilisateur
- Le périmètre et l’impact sur la confidentialité
- L’intégrité et la disponibilité des données
Une CVE est également associée à des :
Common Weakness Enumeration (CWE) : qui permettent d’appréhender les risques encourus.
Common Platform Enumeration (CPE) : qui recensent les produits ou plateformes impactés.
La veille manuelle des vulnérabilités :
L’approche manuelle consiste à effectuer une vérification minutieuse des failles/vulnérabilités de sécurité en comparant différentes sources pour identifier les divergences et compléter les informations.
Cette étape permet d’assurer la crédibilité des données collectées tout en les adaptant à des cas concrets que l’on retrouve sur les infrastructures clients évitant ainsi les « faux positifs ».
Ainsi, des mesures sont prises en fonction du risque mais aussi de l’impact que l’exploitation d’une faille aurait comme conséquence sur les systèmes en question.
Les sources manuelles incluent principalement :
- Les médias sociaux
- La presse
- Les organisations gouvernementales, tant en Europe qu’aux États-Unis
Les éditeurs de solutions rendent publiques certaines informations assurant la bonne compréhension du contexte et des enjeux.
Malheureusement, en raison du temps que nécessite la publication d’une faille, les cybercriminels ont souvent le temps de l’exploiter avant que cette information ne devienne publique.
La veille automatique des vulnérabilités :
L’approche automatique quant à elle, repose sur diverses technologies aidant grandement à la récolte des informations : flux RSS, connecteurs d’applications (fourni par Teams) par exemple.
Nous retrouvons également la programmation d’API (interface de programmation d’applications) qui assure une recherche directe dans des bases de vulnérabilités dédiées : par exemple, celle du NVD (National Vulnerability Database) qui permet de se rapprocher au plus près de la découverte de la vulnérabilité « à sa sortie ».
L’arrivée des technologies utilisant l’I.A (Intelligence Artificielle) proposant du Threat Intelligence, aident à récolter des informations liées aux sujets cyber. Dans ce cas concret, nous parlons de CTI (Cyber Threat Intelligence).
Plusieurs outils dressent un indice d’exploitabilité des failles par le recensement de l’ensemble des POC (Proof of Concept) ou des POE (Proof of Exploit) sur celles-ci. Ils fournissent des arguments de taille afin d’améliorer la rapidité des prises de décisions quant à la correction des failles.
La correction des vulnérabilités :
Enfin, la phase de correction intervient sur les vulnérabilités détectées. Cette intervention permet de corriger et/ou d’endiguer les failles de sécurité détectées par le biais :
- De mises à jour
- De correctifs
- De recommandations éditeurs
- De solutions de contournement
L’objectif est de garantir la sécurité des systèmes et d’éviter les éventuelles fuites ou compromissions de données et les cyberattaques de plus grande envergure.
Dans sa gestion des vulnérabilités, le Pôle Prévention Sécurité vous propose la correction de ces failles.
Le + M.G.M. Solutions au travers du PPS (Pôle Prévention Sécurité) :
La contribution de M.G.M. Solutions en matière de veille de vulnérabilités est précieuse. Un pôle est dédié à ces services et apporte une expertise et une analyse afin d’alerter consciencieusement les personnes sous contrat.
La correction des vulnérabilités se fait par une approche évaluant :
- La faisabilité de la mise à jour corrective
- L’implémentation d’un contournement
- La désactivation d’un service
- L’isolation d’un composant.
L’un des avantages de ce process est d’éviter au maximum les « faux positifs » lors de la phase d’alerte. Ces interventions sont effectuées par des experts ayant une connaissance approfondie de l’infrastructure du client.
La gestion des vulnérabilités ne se limite pas à la veille. Il est essentiel de maintenir à jour une base de données d’actifs. En parallèle, il est crucial de sensibiliser et former, les équipes et les personnes responsables de la sécurité des systèmes d’information aux outils et procédures appropriés.
Pour conclure
La gestion des vulnérabilités est une démarche complexe qui implique une veille constante, une évaluation minutieuse, et la mise en place de correctifs efficaces pour garantir la sécurité des systèmes d’information.
Elle s’appuie sur une combinaison d’approches manuelles et automatiques, ainsi que sur une expertise humaine compétente.
Encore aujourd’hui, la prévention des vulnérabilités demeure essentielle pour protéger les données sensibles et maintenir la confiance des clients.
