Gestion des vulnérabilités : transformer une routine en bouclier stratégique
La gestion des vulnérabilités consiste à identifier, analyser, prioriser et corriger les failles de sécurité avant qu’elles ne soient exploitées. Bien qu’elle ne soit pas l’aspect le plus spectaculaire de la cybersécurité, sa nature proactive en fait un pilier essentiel.
En effet, si les organisations se concentrent souvent sur le Detect & Respond, une sécurité efficace repose autant sur le Assess & Prevent. À l’image de la sécurité physique : une alarme (Detect & Respond) ne suffit pas si l’on n’a pas de serrure (Assess & Prevent).
Les systèmes obsolètes, non corrigés face aux dernières vulnérabilités, représentent des cibles de choix pour les cybercriminels. L’analyse incidents de ransomware menée par la société de cyber risk intelligence Bitsight livre d’ailleurs un constat sans appel:
Les organisations dont le rythme de déploiement des correctifs est lent, sont sept fois plus susceptibles d’être victimes d’une attaque par ransomware que celles qui patchent régulièrement leurs systèmes.
Les vulnérabilités identifiées reçoivent généralement un identifiant unique CVE (Common Vulnerabilities and Exposures). Leur criticité est ensuite évaluée à l’aide de systèmes de notation comme le CVSS (Common Vulnerability Scoring System) ou le VPR (Vulnerability Priority Rating) de Tenable.
De nombreux CISO estiment que chaque nouvelle vulnérabilité identifiée doit être corrigée immédiatement. Pourtant, cette approche n’est pas toujours la plus efficace pour optimiser les ressources. Ces dernières années, seule une infime proportion - environ 2 % - des nouvelles CVE a réellement été exploitée.
En revanche, les données cumulées révèlent qu’environ 6 % de l’ensemble des CVE publiées ont été exploitées dans la réalité en 2024, selon le rapport de Cyentia intitulé «A Visual Exploration of Exploits in the Wild». Cela prouve que les cybercriminels ne ciblent pas uniquement les failles récentes, mais aussi des vulnérabilités plus anciennes laissées de côté par les organisations.
Vers une gestion des vulnérabilités basée sur le risque
Ces statistiques prouvent que des SLA stricts qui imposent une remédiation rapide des vulnérabilités doivent évoluer vers une approche plus nuancée, basée sur le risque. Au-delà des scores CVSS et/ou VPR d’une vulnérabilité, il est crucial de prendre en compte le contexte des systèmes concernés : sont-ils internes ou externes ? Hébergent-ils des services critiques ? Quand est prévu le prochain cycle de patching ? Cette approche permet de concentrer les efforts là où l’impact potentiel sur le business est le plus fort.
Une gestion efficace des vulnérabilités commence par une gestion des actifs via une CMDB (Configuration Management Database), afin de garantir une visibilité complète sur l’ensemble de vos systèmes - qu’ils soient on-premise ou dans le cloud, IT ou OT. Il convient ensuite de croiser les scores de vulnérabilité avec le contexte de ces actifs pour établir une priorisation basée sur le risque (comme mentionné précédemment : leur localisation et leur criticité). L’ensemble doit s’inscrire dans un processus global continu, permettant enfin de passer d’un patching réactif à une gestion proactive des risques.
Gestion de la conformité : au-delà des check-lists, vers une assurance continue
La gestion de la conformité permet aux organisations de s’aligner sur les exigences réglementaires, les normes sectorielles et les bonnes pratiques. Dans le domaine de la cybersécurité, elle consiste à analyser les configurations des systèmes IT, à les évaluer, puis à les corriger ou les renforcer pour répondre aux exigences établies.
Pour ce faire, les organisations s'appuient généralement sur les benchmarks du CIS (Center for Internet Security). Ces référentiels de configuration regroupent les bonnes pratiques pour sécuriser différentes familles de produits : des systèmes d’exploitation pour des serveurs comme Windows et Linux, aux configurations applicatives pour les serveurs web et les bases de données.
Tout comme pour la gestion des vulnérabilités, une gestion de la conformité efficace repose sur une bonne gestion des actifs via une CMDB. Il est essentiel d’identifier l’ensemble de votre environnement IT, afin de pouvoir attribuer à chaque actif sa propre baseline de configuration. Ce n’est qu’ainsi que vous aurez la certitude que vos scans CIS couvrent correctement l’intégralité de vos systèmes.
Une fois encore, comme pour la gestion des vulnérabilités, les écarts par rapport aux baselines doivent être enrichis par le contexte de l’actif pour permettre une priorisation basée sur le risque. Les points de contrôle CIS (mesures de protection) les plus critiques peuvent alors être déployés en priorité. Le tout doit s’intégrer à l’échelle de l’organisation, assurant un suivi continu de la conformité de l’environnement IT et garantissant le renforcement de l’ensemble des composants de l’infrastructure.
Les opérations basées sur le risque : un levier d’efficacité souvent méconnu
Comme cette explication le montre clairement, la gestion des vulnérabilités et la gestion de la conformité commencent toutes deux par la maîtrise des actifs, tirent parti du contexte pour une priorisation basée sur le risque et doivent être pleinement intégrées aux processus métiers de l’organisation. Leur convergence permet dès lors de générer des gains opérationnels tangibles, qui résultent des modes d’intégration suivants :
These benefits arise from the following types of integrations:
- Informations contextuelles sur les risques : Les deux processus s’appuient sur le contexte de risque des actifs, comme l’évaluation du niveau de criticité d’un système. Les mêmes informations peuvent donc être utilisées pour les deux processus et doivent être consignées dans une CMDB.
- Gouvernance unifiée : Les deux processus imposent un suivi continu, depuis la détection initiale et l’analyse jusqu’aux actions correctives. Ils reposent sur des métriques opérationnelles visant à optimiser le respect des SLA.
La meilleure approche consiste à ancrer ces pratiques au cœur des processus métiers, garantissant ainsi que chaque nouvel actif respecte les standards établis tout au long de son cycle de vie. - Observabilité unifiée : Le développement d’un tableau de bord commun aux deux processus centralise la visibilité sur les deux processus, offrant ainsi une vue d'ensemble consolidée des risques à l’échelle de l’organisation.
Des réglementations récentes comme NIS2 mettent elles aussi en avant l’importance de ces approches intégrées, orientées risque.