La gestion des vulnérabilités a atteint un point critique. Avec une surface d'attaque toujours plus grande, les entreprises se trouvent dans l'impossibilité de tout corriger. Une approche fondée sur les risques peut aider à déterminer les priorités sur lesquelles les entreprises doivent se concentrer pour corriger leurs vulnérabilités.
En 2022, plus de 23 000 nouvelles vulnérabilités ont été découvertes. Cela n'est pas surprenant compte tenu de la rapidité avec laquelle le réseau d'une entreprise s'étend.
"L'exploitation des vulnérabilités est devenue l'un des principaux vecteurs d'attaque au cours des dernières années", a déclaré Stephen Carter, PDG et cofondateur de Nucleus Security. "L’exploitation des vulnérabilités n'était même pas dans le radar il y a cinq ou six ans, et maintenant une nette tendance à la hausse se dessine. De nombreuses organisations ont donc du mal à savoir quelles vulnérabilités prioriser parmi les centaines de milliers de vulnérabilités à corriger."
Si ces failles étaient corrigées rapidement, cela ne serait pas aussi préoccupant. Or, ce n'est pas le cas, puisque 80 % des vulnérabilités ne sont pas corrigées dans les 30 jours.
La plupart des entreprises n'ont pas une vision claire de l'ensemble de leurs actifs, de leurs adhérences et de leur niveau d’exigence. En outre, le shadow IT signifie que de nombreuses organisations utilisent beaucoup plus de logiciels qu'elles ne le pensent, ce qui rend impossible le suivi des correctifs nécessaires et de la gravité des vulnérabilités.
Les entreprises reçoivent une montagne de communications sur les vulnérabilités de la part des fournisseurs, qui leur disent quoi faire et quand. Le problème est qu'il y a peu ou pas de cohérence dans la façon dont les messages sont délivrés, à qui ils sont destinés et sous quels formats. La plupart des messages sont envoyés en masse, avec peu de personnalisation. Il incombe donc aux entreprises de comprendre comment cela s'applique à leur propre organisation, ce qui ajoute de la pression sur des équipes déjà surchargées.
Si les entreprises ne sont pas sûres de ce qui figure sur leur liste d'actifs, il leur est presque impossible de savoir sur quoi se concentrer. Elles doivent également tenir compte du paysage de la menace, de la manière dont les attaques sont susceptibles de les atteindre et de ce que cela signifie au niveau des correctifs qu'elles doivent mettre en place. Tout cela fait qu'il est difficile pour elles de savoir par où commencer.
Obtenir des informations qui ont un sens peut être un défi, mais il faut ensuite être capable de les utiliser de manière appropriée. Une vulnérabilité mineure peut être signalée sur un système critique. Néanmoins, la nature du logiciel fait qu'elle déclenchera une alarme dans toute l'organisation et que des ressources seront consacrées à sa correction.
Le fait de ne pas acquérir les bonnes compétences entrave la capacité des organisations à fonctionner efficacement. Du point de vue de la cybersécurité, cela couvre tout, de la gestion des menaces sophistiquées à l'exécution d'un programme complet de gestion des vulnérabilités. Si vous avez des dizaines ou des centaines d'appareils, vous pouvez peut-être suivre le rythme. Cependant, si vous êtes une moyenne ou grande entreprise avec des milliers d'actifs et d'applications, vous ne pouvez tout simplement pas embaucher suffisamment de personnes pour trier et corriger rapidement autant de vulnérabilités.
Il est clair qu'essayer de s'attaquer seul à la gestion des vulnérabilités est une tâche tout simplement impossible à accomplir. Les entreprises doivent donc changer leur manière de gérer les vulnérabilités pour maintenir leurs défenses et apporter des solutions à ces défis.
Il s'agit d'adopter une approche qui se concentre sur les risques réels, puis d'automatiser à plus grande échelle. Il ne s'agit pas d'essayer de tout patcher ou d'être submergé au point de perdre de vue les signaux dans la masse. Une approche de la gestion des vulnérabilités par les risques consiste à se concentrer sur les vulnérabilités qui présentent un risque clair et présent pour votre organisation et à les corriger en priorité.
Pour ce faire, les entreprises doivent combiner des données internes et externes pour créer un profil de risque complet. Les sources internes comprennent la connaissance de la surface d'attaque, l'importance des actifs critiques pour les opérations et les conséquences pour l'entreprise d'une attaque qui s’appuierait sur une vulnérabilité. Les informations externes proviennent des renseignements sur la menace et de l'activité des attaquants.
Plus précisément, nous pensons que les entreprises doivent suivre cinq étapes pour mettre en œuvre une approche de la gestion des vulnérabilités par les risques :
Identification - Tout d'abord, vous devez savoir ce que vous essayez de protéger. En utilisant les données disponibles et, le cas échéant, des scanners, identifiez votre surface d'attaque et sélectionnez le périmètre à analyser régulièrement. Il est possible d'agréger plusieurs sources de données pour obtenir une image claire de ce qui est exposé.
Implication - Une fois que vous savez ce que vous avez, vous pouvez voir quel impact une attaque peut avoir sur l’activité de l’entreprise. C'est à ce stade que vous devez déterminer l'importance de vos actifs pour l'organisation.
Enrichissement - Vous avez dressé un tableau de vos vulnérabilités à l'aide de données internes. Pour savoir lesquelles prioriser, des sources telles que les renseignements sur la menace et l'activité des attaquants vous permettent de voir dans quelle mesure vos vulnérabilités constituent réellement un risque.
Remédiation - Après avoir classé les vulnérabilités en fonction du risque, vous pouvez commencer à hiérarchiser vos corrections et remédiations, sans essayer de tout résoudre.
Évaluation - Les cybermenaces évoluent constamment et les vulnérabilités prolifèrent. Le suivi et la mesure du progrès de votre programme de gestion des vulnérabilités vous permettront d'évaluer les nouvelles failles et, si nécessaire, de les corriger avant qu'elles ne soient exploitées.
Comme vous pouvez le constater, une approche de gestion des vulnérabilités par les risques apporte beaucoup de valeur. C'est une approche que nous nous efforçons d'aider nos clients à mettre en œuvre dans leurs propres programmes.
Selon le rapport Forrester Wave publié en août 2022, "Orange offre une valeur différentielle dans ses services de renseignement sur la menace et de réponse à incidents de haute qualité, qui sont très appréciés par ses clients. Les clients ont souligné que l’utilisation de Nucleus pour la gestion des vulnérabilités offrait des résultats supérieurs en matière de hiérarchisation des vulnérabilités et de soutien à la remédiation, ce qui contribue à améliorer les résultats des programmes VRM. "
En fin de compte, une approche de gestion des vulnérabilités par les risques permet de réduire la surface d'attaque de l’entreprise et d’en faire une cible plus difficile à atteindre pour les acteurs malveillants. Ce résultat est atteignable sans exiger une importante quantité de nouvelles ressources, mais en utilisant une grande partie de ce qui existe déjà pour le redéployer de manière intelligente et ciblée.
Pour aider les entreprises à mettre en œuvre une gestion des vulnérabilités par les risques, Orange Cyberdefense a développé Managed Vulnerability Intelligence [identify]. Pour en savoir plus, cliquez ici.