Comment créer un programme de gestion des vulnérabilités qui protège votre organisation

L’élaboration d’un solide programme de gestion des vulnérabilités exige une stratégie claire qui répond à ses objectifs de manière holistique : les employés, les processus et la technologie. Sans l’adhésion et l’alignement sur les priorités de l’entreprise en matière de risques, vous aurez du mal à vous défendre. Les exigences de divulgation sans faille et centrées sur la sécurité peuvent frustrer ou aliéner les ingénieurs et développeurs, qui sont censés remédier à la situation, tandis que les activités d’analyses intenses peuvent perturber les opérations, voire même omettre des failles si elles sont mal configurées. Plus inquiétant, 56,73 % des répondants de l’étude sur la sécurité de 2021 de CDW Canada ont indiqué qu’ils effectuent une analyse informelle, ponctuelle des vulnérabilités, voire aucune.

La gestion des vulnérabilités est un contrôle de sécurité fondamental pour tout programme de sécurité de l’information en raison de son rôle crucial dans l’identification proactive des vulnérabilités exploitables en matière d’identité, d’accès et de logiciels qui pourraient nuire à votre organisation. Elle joue un rôle important dans la sécurité de la chaîne d’approvisionnement. Il s’agit d’une exigence pour les organisations détenant une certification tierce et même une exigence réglementaire pour de nombreuses industries qui protègent nos fonds, nos services essentiels, nos renseignements personnels identifiables ou sensibles et de nombreux organismes gouvernementaux.

Il est probable que la gestion des vulnérabilité soit différente selon les environnements : les organisations réparties où le personnel et les services sont mobiles et dynamiques, les équipes de développement et d’exploitation où les actifs peuvent être hébergés à distance ou de manière éphémère, les équipes de sécurité protégeant les réseaux ouverts et hétérogènes dans les établissements d’enseignement supérieur, les aéroports et autres lieux publics, les organisations de fabrication ou d’industries lourdes qui protègent les environnements de technologie de l’information, les environnements technologiques opérationnels et les start-ups sur le nuage avec des appareils et des infrastructures BYOD entièrement dans le nuage. Néanmoins, la valeur du programme demeure la même. Il s’agit de vous informer de l’exposition au risque de votre entreprise et de fournir un plan exploitable pour atténuer ces risques.

Pour expliquer la marche à suivre, nous allons parler des employés, des processus et des technologies.

Étant donné que la gestion des vulnérabilités est un sport d’équipe, elle est plus efficace lorsque les professionnels de la sécurité, les ingénieurs, les développeurs et les propriétaires d’entreprise comprennent le rôle de leurs collaborateurs et partagent un objectif gagnant commun. Lorsque les équipes de sécurité peuvent rencontrer les propriétaires d’entreprise et déterminer leurs seuils de risques organisationnels, ainsi que leurs actifs essentiels et, surtout pourquoi ils sont essentiels pour l’organisation, ils peuvent mieux hiérarchiser les efforts qui protègent l’organisation et expriment ce risque pour l’entreprise.

Lorsqu’elles apprennent comment les ingénieurs et les développeurs peuvent aborder les changements de configuration et d’application dans leurs flux de travail typiques, et recommander des mesures correctives face aux vulnérabilités fondées sur les risques qui, le plus étroitement possible, s’alignent sur ces flux de travail, elles peuvent atteindre les objectifs de sécurité tout en minimisant l’impact sur l’entreprise. Les organisations capables de passer à l’étape suivante peuvent voir des gains encore plus importants. Mais nous en parlerons avec les technologies.

Pour de nombreuses organisations, la gestion des vulnérabilités suppose d’analyser le réseau régulièrement, de compiler un rapport géant, de le remettre aux ingénieurs et développeurs, de déchiffrer les recommandations pour les convertir en mesures correctives et s’adapter aux changements à venir. Les équipes composées d’analystes qualifiés en matière de vulnérabilités sont capables d’évaluer et de hiérarchiser les vulnérabilités en fonction de la gravité et de la proximité aux systèmes critiques pour l’entreprise. Elles peuvent restreindre la liste des vulnérabilités partagées avec ces équipes. Ceci dit, il s’agit souvent d’un processus manuel qui nécessite des compétences ou des connaissances spécialisées. Les petites organisations sans expertise technique spécialisée peuvent compter sur les gestionnaires de progiciels pour identifier les correctifs critiques. D’autres peuvent compter sur leurs utilisateurs finaux.

Avec l’explosion des technologies dans les milieux de travail, cette approche manuelle et ponctuelle de la gestion des vulnérabilités devient de plus en plus difficile. Les organisations capables d’adopter des plateformes de gestion des vulnérabilités dans l’entreprise peuvent mettre en œuvre une architecture d’analyses adaptée aux besoins environnementaux, y compris l’infrastructure statique, les points de terminaison transitifs, les charges de travail en nuage, les applications, les appareils de l’IdO, les actifs technologiques opérationnels et leurs fournisseurs d’identité de topologies de réseau comme Active Directory de Microsoft.

Comme mentionné ci-dessus, vous ne pouvez protéger que ce que vous pouvez voir. La compréhension approfondie de ces vulnérabilités par votre organisation permet de durcir les voies d’attaque pour empêcher les mouvements latéraux. Dans notre étude précédente sur la sécurité de 2020, nous avons identifié que les organisations aux stratégies intégrées de gestion des risques sont nettement moins exposées aux cyberattaques. Cette stratégie porte ses fruits.

L’une des façons les plus efficaces et directes d’améliorer la sécurité des activités consiste à recommander des mesures correctives de vulnérabilités aux équipes partenaires comme éléments de travail dans les environnements familiers, afin de permettre à l’entreprise de prendre des décisions éclairées et de hiérarchiser les mesures d’atténuation de risques. D’après IBM System Science Institute, le coût de réparation d’un bogue lors de la mise en œuvre est 6,5 fois plus élevé que la réparation lors de la conception. Lorsque les équipes de sécurité ont l’occasion d’identifier les éventuelles failles lors de la conception, en analysant les configurations de charges de travail du nuage, les fonctionnalités d’application, les images « Gold » ou d’autres actifs sensibles, avant de passer à la production, vous pouvez économiser la bande passante opérationnelle et éviter les temps d’arrêt, ce qui permet à vos ingénieurs et développeurs de consacrer plus de temps et de ressources à faire ce qu’ils font de mieux.

Si vous avez écouté l’introduction de la série de webinaires de CDW Canada, Pourquoi la gestion des vulnérabilités est-elle importante? (Why Vulnerability Management Matters), j’ai mentionné la valeur de la « vue à écran unique » comme concept de sécurité. Ce que je voulais dire, c’est que le meilleur programme de gestion des vulnérabilités permet à vos ingénieurs et développeurs de voir les risques de sécurité exprimés tels des billets, des bogues et des événements à hiérarchiser en fonction des impacts éventuels sur l’entreprise. Cela devrait se produire dans leurs propres flux de travail, où la validation des mesures correctives par l’équipe de sécurité est automatique, et la fermeture de cette boucle du cycle « planification-réalisation-vérification-action » est saisie par les deux équipes. En tant que professionnels de la sécurité, nous pouvons signaler le succès de ce programme à nos propriétaires d’entreprise en utilisant les deux piliers suivants : en démontrant le risque de vulnérabilités exploitables et dangereuses identifiées par l’équipe, en y remédiant avec nos équipes partenaires, et mettant des bâtons dans les roues des testeurs d’intrusion et de nos adversaires lors des prochaines attaques dans nos environnements.

Nous avons publié une série de webinaires en quatre parties intitulée Pourquoi la gestion des vulnérabilités est-elle importante? (Why Vulnerability Management Matters), en partenariat avec nos amis de Tenable. Nous avons exploré l’exposition aux vulnérabilités et leur hiérarchisation, la modélisation des menaces et les vulnérabilités au-delà des points de terminaison, mais aussi l’utilisation des renseignements sur les vulnérabilités dans le cadre de la sécurité, ou encore des recommandations sur l’élaboration d’un programme de lutte efficace contre les vulnérabilités. Si vous souhaitez en savoir plus, vous pouvez regarder ces webinaires sur demande. Voici quelques points essentiels à retenir pour vous aider :

▪  Cartographier vos actifs essentiels à l’entreprise

Vous ne pouvez protéger que ce que vous pouvez voir. Les pratiques de sécurité les plus efficaces ont une visibilité et un contrôle non seulement sur leurs actifs, mais aussi sur les risques qui y sont associés. Cela profite également à l’équipe, car grâce à une compréhension détaillée de votre environnement, de ses risques et de ses contrôles compensatoires, vous pouvez mieux détecter les menaces qui cherchent à exploiter les failles ou les erreurs de configuration et y réagir. Pour consolider les voies d’attaque potentielles et protéger ce qui est le plus important pour l’entreprise, vous devez savoir ce qui est essentiel, pourquoi ce l’est et comment un attaquant pourrait l’exploiter. Ces connaissances peuvent simplement vous aider à trouver ce thermomètre de réservoir de poissons, la version désuète du logiciel du réseau privé virtuel (VPN), la bibliothèque de comptes orphelins ou d’applications vulnérables, et supprimer cette prise de pied pour un attaquant potentiel.

▪  Examiner, définir et mesurer vos surfaces d’attaque

Les actifs critiques signifient différentes choses dans différentes organisations. En tant qu’équipe de sécurité, assurez-vous d’avoir une vision efficace des vulnérabilités exploitables en matière d’identité, d’accès et de logiciels dans votre environnement – qu’elles résident sur le point de terminaison, dans votre infrastructure, dans vos applications, dans les charges de travail en nuage, les appareils d’IdO, les actifs technologiques opérationnels ou les environnements Active Directory. Ainsi, vous pourrez hiérarchiser les initiatives de sécurité qui améliorent considérablement la posture de sécurité de votre organisation, et protéger vos priorités et les moyens d’y parvenir.

▪  La gestion des vulnérabilités est un effort d’équipe

Vous devez être conscient non seulement des avantages qu’un programme efficace de gestion des vulnérabilités apporte à l’organisation, mais aussi des processus, des efforts et des ressources requis par votre équipe de sécurité, vos développeurs et vos ingénieurs partenaires, pour mettre en œuvre des mesures correctives ou compensatoires. Cela permet aux professionnels de la sécurité d’être plus à l’écoute de leurs besoins et d’adapter les exigences de renforcement de la sécurité à la langue et aux systèmes auxquels ils sont habitués, réduisant ainsi les écarts de friction et de communication. Comprendre comment d’autres équipes au sein de l’organisation peuvent tirer parti de ces renseignements peut également enrichir d’autres processus entrepris tels que les tests de construction, les examens de configuration, les efforts d’inventaire, etc.

Le service de gestion des vulnérabilités (SGV) de CDW contribue au succès du cycle de vie de la gestion des vulnérabilités en identifiant et en hiérarchisant les vulnérabilités et en validant les mesures correctives. Les rapports de synthèse sur les machines virtuelles de CDW fournissent des renseignements détaillés sur la cyberexposition actuelle de l’organisation avec des sections pertinentes pour les opérateurs et les dirigeants. Notre approche collaborative favorise un cycle vertueux d’amélioration continue dans nos rapports et la modélisation de données pour garantir que les administrateurs de clients et de systèmes disposent des données requises pour améliorer les prises de décisions.

Tenable®️ est la société de cyberexposition

L’objectif de Tenable consiste à donner à chaque organisation la visibilité et les connaissances nécessaires pour répondre à quatre questions critiques en tout temps : Où est-elle exposée? Où devrait-elle établir les priorités en fonction du risque? Réduit-elle l’exposition au fil du temps? Comment se compare-t-elle à ses pairs?

Environ 40 000 organisations du monde entier comptent sur Tenable pour comprendre et réduire les risques cybernétiques. En tant que créateur de Nessus®️, Tenable a étendu son expertise en matière de vulnérabilités pour voir et sécuriser tout actif numérique sur n’importe quelle plateforme informatique. Tenable compte parmi ses clients environ 60 % d’entreprises Fortune 500, environ 40 % d’entreprises Global 2000 et de grands organismes gouvernementaux.

Par Mitch Kelsey, CISSP, PMP

Conseiller en cybersécurité et Tenable Guardian, CDW Canada

Mitch dirige les discussions sur les mesures sécuritaires offensives, la consultation en matière de conseils en matière de risque, la gestion des vulnérabilités et le développement de la maturité des pratiques de cybersécurité pour CDW Canada. Avant de passer à un rôle de conseiller en pré-ventes, Mitch a mené des services-conseils en matière de risques, le développement de la maturité des pratiques de cybersécurité et des opérations de sécurité gérées.  

Mitch a commencé sa carrière dans la sécurité au siège d’une société de conseil en sécurité stratégique dans les Émirats Arabes Unis, où il a participé à des évaluations des risques liés aux infrastructures critiques, à la sécurité diplomatique et au contre-terrorisme, ainsi qu’à l’élaboration de stratégies et de politiques en matière de cybersécurité au Moyen-Orient et à l’étranger. Par conséquent, Mitch adopte une approche à large spectre en matière de modélisation des menaces et d’évaluation de la maturité de la cybersécurité pour répondre systématiquement aux risques de cybersécurité et s’assurer que les objectifs des clients s’alignent sur leur préparation opérationnelle et leurs capacités. 

Mitch est titulaire d’un BA avec une spécialisation dans la sécurité internationale et les conflits, de SFU, CISSP et PMP, et dispose d’une expérience de conseil professionnel international auprès d’entreprises Fortune 500.