Dans une enquête menée par CRA Business Intelligence, près de la moitié des répondants (45 %) ont déclaré être très ou extrêmement préoccupés par les vulnérabilités au cours des 12 prochains mois.

Avec l'expansion des surfaces d'attaque et l'augmentation du volume des vulnérabilités, les organisations doivent adopter une attitude plus agressive et proactive en matière de gestion des vulnérabilités.

Continuez à lire pour découvrir ce qu'est la gestion des vulnérabilités, quelles étapes sont impliquées dans le processus et comment vous pouvez mettre en œuvre un programme de gestion des vulnérabilités robuste qui tire parti de l'automatisation.

Qu'est-ce que la gestion des vulnérabilités ?

La gestion des vulnérabilités est un processus que les organisations utilisent pour identifier, analyser et gérer les vulnérabilités au sein de leur environnement opérationnel.

Les vulnérabilités sont des faiblesses dans les systèmes, plates-formes, infrastructures, voire même chez les personnes et les processus, qui peuvent être exploitées par des acteurs malveillants, rendant une organisation entière ou l'une de ses parties susceptible d'être attaquée.

Exemples de vulnérabilités :

• Code non sécurisé
• Logiciel non patché
• Mauvaise configuration du cloud
• Manque de cryptage
• Authentification par défaut
• Manque de sensibilisation et de formation à la sécurité
• Contrôles internes inappropriés
• Politiques faibles ou manquantes

Pourquoi la gestion des vulnérabilités est-elle importante ?

La gestion des vulnérabilités est un aspect important de la gestion des risques. L'évaluation de l'environnement pour détecter les vulnérabilités techniques et opérationnelles aidera à planifier et à déterminer la mise en œuvre appropriée des contrôles d'atténuation.

Les activités de gestion des vulnérabilités telles que la découverte, la catégorisation et la priorisation des vulnérabilités, la gestion de l'exposition aux vulnérabilités découvertes et l'analyse des causes profondes des vulnérabilités sont incroyablement importantes. La gestion des vulnérabilités peut aider une organisation à développer une compréhension complète de son profil de risque, à comprendre quels contrôles doivent être mis en œuvre pour atténuer les risques et à prévenir la répétition des vulnérabilités.

La gestion des vulnérabilités est donc une partie importante du programme global de sécurité et de conformité d'une organisation.

Qu'est-ce qu'un programme de gestion des vulnérabilités ?

Un programme de gestion des vulnérabilités est un programme qu'une entreprise adopte afin d'identifier, de surveiller et de remédier aux vulnérabilités dans son environnement opérationnel. Le programme doit définir clairement le processus, la structure et la portée de la gestion des vulnérabilités ainsi que les responsabilités et les attentes de ceux responsables de la gestion du programme ainsi que de toute autre personne au sein de l'organisation.

Un programme de gestion des vulnérabilités robuste peut aider les organisations à :

• Prioriser les vulnérabilités en fonction du risque et de l'exposition
• Prévenir l'introduction de vulnérabilités connues
• Maintenir la conformité aux normes et réglementations de sécurité
• Minimiser la surface d'attaque globale
• Comprendre et améliorer leur posture de sécurité

Pour atteindre tout cela, le programme doit inclure plusieurs aspects, y compris la recherche de vulnérabilités, la gestion des actifs, la gestion des correctifs, la surveillance continue et les solutions automatisées.

Examinons de plus près ces aspects et leur rôle dans le processus de gestion des vulnérabilités ci-dessous.

6 étapes du processus de gestion des vulnérabilités

Pour suivre les menaces et les technologies émergentes, la gestion des vulnérabilités doit être un processus continu.

Ci-dessous, nous couvrirons certaines des étapes du processus de gestion des vulnérabilités en utilisant des idées tirées du webinaire Secureframe Expert Insights mettant en vedette l'expert en conformité Secureframe Marc Rubbinaccio, et l'experte en tests de pénétration Jenny Goldschmidt de Red Sentry.

Pour obtenir tous leurs conseils sur la simplification de la gestion des vulnérabilités et des tests de pénétration en particulier, regardez la rediffusion vidéo à la demande.

1. Inventaire

Il est impossible de comprendre comment devenir sécurisé lorsque vous ne savez pas ce que vous devez protéger en premier lieu.

Ainsi, la première étape de tout processus de gestion des vulnérabilités consiste à inventorier et à comprendre les actifs au sein de votre environnement. Demandez d'abord ce qui est important pour votre organisation. Est-ce des informations de santé protégées (PHI)? Ou un autre type de données client sensibles ?

Documenter quelles données ou actifs sont considérés comme extrêmement sensibles ou critiques par rapport à ce qui pourrait être considéré comme public est la première étape pour comprendre vos actifs. La prochaine étape consisterait à cartographier comment ces données et ces actifs sont stockés, transmis et traités dans votre environnement et à documenter ce flux dans un diagramme. Enfin, vous devez documenter tous les systèmes, ressources, personnel et services qui peuvent influencer la sécurité de ces données.

2. Configuration

Une fois vos actifs et ressources comptabilisés, il est temps de les protéger.

Tout d'abord, vérifiez si des normes de configuration ont été utilisées lors de la création de ces ressources. Les normes de configuration sont les meilleures pratiques de sécurité de base lors de la configuration des serveurs, des réseaux, des bases de données et de la plupart des ressources. Ces normes sont généralement élaborées par le fournisseur ou à travers les meilleures pratiques de l'industrie telles que les benchmarks CIS. Utiliser des normes de configuration est un contrôle clé pour tous les cadres de conformité que Secureframe prend en charge, et vous permet d'être confiant que les ressources que vous mettez en œuvre seront sécurisées avant de les déployer en production.

Les normes de configuration ne sont que la première étape pour sécuriser les ressources. La mise en œuvre d'un anti-malware, la mise à jour de la sécurité en continu, et la journalisation et la surveillance sont également cruciales pour garantir que vos ressources et votre environnement dans son ensemble sont protégés contre les vulnérabilités.

3. Scan des vulnérabilités, DAST et SAST

Afin de trouver et de prioriser autant de vulnérabilités que possible, envisagez d'utiliser une combinaison des techniques et des outils de scan détaillés ci-dessous.

Scan des vulnérabilités

Maintenant que vos ressources et votre environnement ont été mis en œuvre en utilisant des normes de configuration de base et des meilleures pratiques de sécurité telles que les mises à jour fréquentes et les contrôles de sécurité multiformes, il est temps de tester continuellement ces contrôles de sécurité par le biais d'un scan des vulnérabilités.

Le scan des vulnérabilités est une exigence importante pour les cadres de conformité tels que SOC 2, ISO 27001 et PCI DSS. Chaque cadre de conformité nécessite des scans internes et externes réguliers des vulnérabilités (généralement trimestriels).

Le scan interne des vulnérabilités de l'infrastructure consiste à exécuter un outil de scan des vulnérabilités tel que Nessus ou OpenVAS sur une machine virtuelle ou une station de travail ayant accès à votre environnement interne et à scanner tous les dispositifs réseau, serveurs et ressources pour des vulnérabilités, telles que des vulnérabilités et expositions communes divulguées (CVE) et des systèmes d'exploitation et logiciels obsolètes.

Il en va de même pour toutes les ressources orientées vers l'extérieur. Utilisez une station de travail exécutant ces outils et scannez vos ressources orientées vers le public. Veuillez noter que si vous devez vous conformer au PCI DSS, cela nécessite que ce scan de l'infrastructure externe soit effectué par un scanner approuvé par le conseil PCI DSS ou ASV.

Si vous utilisez un fournisseur de services cloud, il est probable que ce fournisseur propose un service que vous pouvez utiliser pour effectuer un scan des vulnérabilités de l'infrastructure, tel qu'AWS Inspector ou Azure Defender for Cloud.

Scanner votre infrastructure sous-jacente est probablement insuffisant pour vous assurer de découvrir toutes les vulnérabilités critiques dans votre environnement dans son ensemble ou pour répondre aux exigences de scan des vulnérabilités des cadres de conformité.

Scan DAST

Si vous fournissez une application ou une API publique, ces services devront également être scannés en profondeur. En utilisant des outils de test de sécurité d'application dynamique (DAST) tels que SOOS ou Netsparker, vous pouvez simplement entrer votre domaine public et vos identifiants pour l'authentification, puis ces scanners exploreront votre application pour trouver tous les répertoires, champs de saisie et fonctions. Ils scanneront également les 10 principales vulnérabilités de l'OWASP, y compris l'injection, le contrôle d'accès brisé et la fuite de données sensibles.

Analyse SAST

Un autre aspect de la sécurisation des applications contre les vulnérabilités consiste à mettre en œuvre une analyse de sécurité dans le processus de révision de code. Vous pouvez le faire en utilisant des outils de test de sécurité d'application statique (SAST) tels que Sudoviz ou SonarQube. Ils examineront votre dépôt de code et votre code source avant d'implémenter les modifications de code en production. Cela vous aidera à éviter que des problèmes de sécurité critiques et des vulnérabilités ne soient publiés dans votre application. Une combinaison de scans DAST et SAST est fortement recommandée pour protéger vos applications en production.

4. Évaluation des risques

Une autre étape critique dans le processus de gestion des vulnérabilités consiste à déterminer le risque de votre solution et service dans son ensemble. Pour ce faire, vous devez réaliser une évaluation des risques annuellement. C'est également une exigence de conformité.

Pour réaliser une évaluation des risques, vous devez utiliser un cadre de gestion des risques tel que NIST 800-37. Ou, si vous êtes client de Secureframe, vous pouvez compléter notre questionnaire d'évaluation des risques.

L'évaluation et la gestion des risques impliquent :

• Documenter et suivre les risques
• Déterminer qui est responsable de la gestion des risques
• Déterminer l'impact sur la sécurité que ces risques posent à votre organisation
• Avoir un plan pour remédier ou atténuer ces risques

5. Formation des employés

La prochaine étape consiste à concentrer vos efforts de sécurité sur ce qui est probablement votre atout le plus vulnérable : les employés et le personnel.

Le phishing et d'autres types d'attaques d'ingénierie sociale sont encore l'un des moyens les plus fréquents de vol de données sensibles. C'est pourquoi la plupart des cadres de conformité exigent une sorte de formation à la sensibilisation à la sécurité.

Certains cadres tels que PCI DSS exigent une formation ciblée basée sur les données que les organisations supportent ainsi qu'une formation spécifique liée à la fonction réelle de l'utilisateur. Par exemple, les développeurs de logiciels doivent suivre une formation sur les bonnes pratiques de codage et les vulnérabilités courantes telles que celles de l'OWASP Top Ten.

Des cadres tels que FedRAMP vont encore plus loin et exigent un engagement en matière d'ingénierie sociale, tel qu'une campagne de phishing par email, dans le cadre d'un test de pénétration, que nous aborderons ensuite.

6. Test de pénétration

Le meilleur moyen de s'assurer que tout ce qui précède est correctement mis en œuvre est de faire en sorte qu'un hacker éthique formé tente de contourner tous ces contrôles de sécurité. C'est là qu'intervient le test de pénétration.

Le test de pénétration consiste à tester les normes de configuration d'une organisation, l'analyse des vulnérabilités, la gestion des risques et la formation à la sensibilisation à la sécurité. Cela doit être effectué par un testeur de pénétration qualifié. Il s'agit soit d'un professionnel certifié pour effectuer des tests de pénétration par des organismes de certification tels que Offensive Security, SANS ou eLearnSecurity, soit d'un professionnel ayant de l'expérience dans la réalisation de tests de pénétration.

L'étendue du test de pénétration est déterminée par l'organisation et peut être basée sur les exigences de conformité. Des cadres tels que SOC 2, ISO 27001 et PCI DSS exigent que les éléments suivants soient inclus dans le test de pénétration :

• systèmes qui stockent, transmettent et traitent des données sensibles
• systèmes critiques
• systèmes qui se connectent à l'environnement des données sensibles

Les tests de pénétration impliquent généralement une combinaison de tests en boîte grise et en boîte blanche. La boîte grise signifie que le testeur a accès à certaines informations telles qu'une plage spécifique d'adresses IP, de domaines ou d'une liste de personnel à cibler. Ces tests sont lancés en externe sans accès accordé aux systèmes ou applications. Le testeur de pénétration essaiera de trouver des vulnérabilités et de réaliser des exploits pour accéder aux systèmes depuis Internet ou exfiltrer des données.

Une fois les tests en boîte grise épuisés, le testeur utilisera ensuite des identifiants accordés pour effectuer des tests au sein des réseaux et des applications en utilisant une variété d'accès s'il existe différents niveaux de privilège. En utilisant cet accès, le testeur essaiera d'escalader les privilèges et de découvrir des vulnérabilités dans l'ensemble de l'environnement.

Les résultats des tests de pénétration prendront la forme d'un rapport qui décrit la méthodologie des tests de pénétration, les preuves de concept pour toutes les vulnérabilités trouvées et des conseils sur les mesures correctives.

Meilleures pratiques de gestion des vulnérabilités

Pour garantir que votre programme de gestion des vulnérabilités est configuré pour réussir, voici quelques bonnes pratiques à garder à l'esprit :

• Utiliser l'automatisation : Les ressources sont l'un des principaux défis auxquels les organisations sont confrontées lorsqu'elles essaient de gérer efficacement les vulnérabilités. Les outils de balayage automatique de vulnérabilités peuvent aider à rendre la gestion des vulnérabilités plus efficace et plus rapide en scannant automatiquement les vulnérabilités et expositions communes et en surveillant la santé des actifs informatiques.
• Créer une formation cohérente sur la conformité et la sécurité au sein de votre propre organisation : Souvent, les violations de données et de sécurité se produisent par erreur humaine, donc fournir une formation continue sur la sensibilisation à la sécurité peut aider à réduire le risque interne de survenue d'une violation. 
• Établir une politique de gestion des vulnérabilités : Une politique de gestion des vulnérabilités définit l'approche de votre organisation en matière de gestion des vulnérabilités. Elle est essentielle pour maintenir un processus et des procédures de mise en œuvre d'un programme de gestion des vulnérabilités.

Modèle de politique de gestion des vulnérabilités

Une politique de gestion des vulnérabilités définit une approche pour la gestion des vulnérabilités afin de réduire les risques systémiques et des processus pour intégrer des contrôles de sécurité. Pour vous aider à commencer à créer une politique pour votre organisation, nous avons créé un modèle personnalisable que vous pouvez télécharger ci-dessous.

Comment automatiser la gestion des vulnérabilités

Automatiser le processus de gestion des vulnérabilités peut aider votre organisation à gagner du temps et à répondre plus rapidement aux menaces.

L'automatisation peut être appliquée à plusieurs aspects de la gestion des vulnérabilités, notamment :

• Inventaire des actifs : Une plate-forme d'automatisation peut créer un inventaire de tous vos actifs sur la base des intégrations que vous connectez à la plate-forme et garantir que les appareils de votre personnel, les actifs cloud de l'entreprise et les référentiels de contrôle de version sont tous maintenus.
• Analyse des vulnérabilités : Les plates-formes d'automatisation récupèrent des données CVE à partir de plusieurs intégrations connectées, organisent les vulnérabilités en un seul endroit et vous alertent automatiquement lorsque des vulnérabilités sont découvertes.
• Gestion des risques : Avec une plate-forme d'automatisation, vous pouvez configurer un registre des risques pour suivre les risques en un seul endroit. Cela peut être mis à jour lorsque votre organisation introduit de nouveaux services, souhaite intégrer les résultats d'audits internes et externes ou répondre à des changements dans l'environnement commercial ou technologique.
• Tests et formations : Une plate-forme d'automatisation peut vous permettre de configurer des notifications pour les tâches régulières requises tout au long de l'année, y compris l'analyse des vulnérabilités et les tests de pénétration. Vous pouvez également configurer des rappels pour que le personnel termine la formation de sensibilisation à la sécurité.
• Surveillance continue : Une plate-forme d'automatisation peut surveiller en continu vos contrôles de sécurité et leur conformité aux cadres réglementaires et industriels.

Lors de la recherche d'un produit de gestion automatisée des vulnérabilités, recherchez-en un qui offre une plate-forme facile à utiliser en plus d'une équipe d'experts en sécurité et conformité qui peut guider votre organisation à chaque étape du processus de gestion des vulnérabilités.

Comment Secureframe peut aider les entreprises à gérer les vulnérabilités

Secureframe fournit une solution unique pour vous permettre de gérer et d'organiser toutes vos exigences de cadre de conformité en un seul endroit, y compris votre programme de gestion des vulnérabilités.

Avec Secureframe, vous pouvez :

• Intégrer votre plateforme cloud et vos outils de développement pour voir toutes vos vulnérabilités provenant de services tels que AWS Inspector et Github en un seul endroit.
• Remplir un questionnaire sur les risques chaque année et établir votre registre des risques où vous pouvez gérer en continu vos risques tout au long de l'année.
• Recevoir des conseils dans l'application concernant les contrôles de sécurité en fonction des ressources spécifiques que vous utilisez dans votre environnement. Par exemple, si vous configurez une intégration avec AWS, vous recevrez des tests liés aux bonnes pratiques de sécurité pour les ressources que vous utilisez dans votre compte AWS.
• Obtenir des conseils sur les tests Secureframe et des réponses à toutes les questions que vous pourriez avoir de la part des responsables de la conformité.
• Accéder à un réseau de partenaires de cabinets d'audit et d'entreprises de tests de pénétration de confiance

En savoir plus sur la façon dont Secureframe peut vous aider à gérer les vulnérabilités en planifiant une démonstration personnalisée dès aujourd'hui.