Analyse des vulnérabilités

Guide de référence pour l’identification et la hiérarchisation des vulnérabilités

La détection et l’identification des risques de sécurité font partie intégrante du cahier des charges de sécurité de toute entreprise. Une fois que vous aurez identifié les vulnérabilités présentes dans votre environnement, vous pourrez y remédier afin de réduire le profil de risque de votre entreprise.
Guide de référence pour l’identification et la hiérarchisation des vulnérabilités

La détection et l’identification des risques de sécurité font partie intégrante du cahier des charges de sécurité de toute entreprise. Toutefois, avant de pouvoir déterminer quels sont les risques que court votre entreprise, vous devez identifier les technologies et les services qu’elle utilise. Le fait de disposer d’un inventaire des ressources ou des services permettra à votre équipe de sécurité d’identifier les éléments qui doivent être analysés ou soumis à des tests de pénétration.  

Tout d’abord, posez-vous ces questions de base :

  • Mon entreprise mène-t-elle ses activités dans un environnement cloud public (par exemple, AWS, GCP) ?
  • Quels produits et logiciels open source ou proposés par des fournisseurs utilisons-nous ?
  • Quels systèmes d’exploitation employons-nous ?

Une fois que vous aurez répondu à ces questions (et à bien d’autres), vous pourrez choisir les outils adéquats pour mener à bien cette tâche. 

Analyse des vulnérabilités

Les analyseurs de vulnérabilité sont des outils qui aident à identifier les vulnérabilités dans des composants tels que les applications, les infrastructures et les réseaux en réalisant des analyses automatisées. Chaque ressource est analysée pour y rechercher d’éventuelles vulnérabilités, telles que l’utilisation d’un composant associé à un CVE, l’exposition involontaire d’un fichier sur Internet ou l’utilisation d’identifiants par défaut. Certains analyseurs permettent à leur utilisateur de configurer un ensemble de règles qui permettent de définir le type d’analyse effectuée et ses limites.

Il existe deux méthodes principales pour effectuer des analyses : les analyses avec identifiants et les analyses sans identifiants.

Les analyses avec identifiants consistent en une analyse complète de l’environnement. Avec cette approche, les outils d’analyse se voient octroyer un accès privilégié via un compte de service ou un agent installé sur la ressource de sorte à pouvoir explorer l’environnement pour y rechercher des vulnérabilités. En procédant à un examen approfondi des ressources, les analyses avec identifiants peuvent détecter des configurations faibles et des vulnérabilités.

Les analyses sans identifiants, quant à elles, n’ont pas recours à des identifiants pour accéder à la ressource analysée. Par rapport aux analyses avec identifiants, les analyses sans identifiants fournissent des résultats moins détaillés, car l’analyseur ne dispose pas d’une vision d’ensemble de l’environnement. Ces analyses sont généralement employées par les testeurs de pénétration, les chercheurs et les assaillants pour découvrir quels sont les risques externes associés à la ressource.

En ayant recours à des analyses avec et sans identifiants, les organisations peuvent obtenir des renseignements précieux sur les vulnérabilités présentes dans leur environnement, ce qui leur permet de prendre des décisions éclairées pour renforcer leurs mesures de sécurité.

Bien que les résultats d’une analyse de vulnérabilités donnent des informations utiles et permettent de connaître la posture de sécurité générale d’un système, un test de pénétration procède quant à lui à une analyse approfondie des risques de sécurité auxquels est sujet l’environnement.

Tests de pénétration

Une autre approche efficace pour identifier les vulnérabilités d’un environnement consiste à effectuer un test de pénétration. Lors d’un tel test, un ingénieur en sécurité effectue une attaque contre le système afin de découvrir ses vulnérabilités et les manières possibles de les exploiter. Pour mettre en place un scénario de cyberattaque réaliste, le testeur peut même simuler l’utilisation de tactiques, techniques et procédures (TTP) qu’emploient des assaillants réels. 

Les entreprises font souvent appel à un prestataire externe pour effectuer les tests de pénétration, car les résultats les plus intéressants sont obtenus lorsque ceux-ci sont réalisés par une personne qui ne connaît pas l’environnement ciblé.

C’est ce que l’on appelle un test de pénétration externe. Toutefois, de nos jours, de plus en plus d’entreprises disposent de leurs propres équipes de sécurité offensive qui effectuent des tests de pénétration internes. Les tests de pénétration, aussi bien internes qu’externes, se révèlent extrêmement utiles, car ils représentent respectivement des scénarios où l’assaillant se trouve à l’intérieur et à l’extérieur du réseau.

Un test de pénétration se compose de sept étapes principales :

  1. Interaction préalable
  2. Reconnaissance ou recueil de renseignements issus de sources ouvertes
  3. Analyse ou découverte
  4. Évaluation des vulnérabilités (obtention d’un accès)
  5. Exploitation (conservation de l’accès)
  6. Post-exploitation, élaboration d’un rapport et analyse des risques
  7. Prise de mesures correctives

Après la réalisation du test, un rapport est établi. Celui-ci énumère toutes les vulnérabilités qui ont été trouvées, évalue les risques que celles-ci posent et indique comment les corriger. Cela aide les organisations à résoudre les problèmes soulevés et à renforcer la sécurité au sein de leur environnement.

Hiérarchisation des résultats

Une fois que vous aurez identifié les vulnérabilités présentes dans votre environnement grâce aux analyses automatisées et aux tests de pénétration, il convient de les corriger sans attendre afin de réduire le profil de risque de votre entreprise. Il se peut que vous vous disiez qu’au vu des milliers de vulnérabilités qui figurent sur votre liste, il semble impossible de toutes les traiter en priorité. Fort heureusement, vous n’avez pas à le faire. Bien que vous puissiez vous concentrer sur ce qu’indiquent les outils en matière de gravité des vulnérabilités, il est plus efficace d’établir des priorités en fonction de l’impact que celles-ci ont sur votre entreprise. Cela implique d’identifier quels services, environnements et produits sont les plus cruciaux pour votre activité. Identifiez donc, pour chaque service ou produit, si celui-ci est employé par des clients ou stocke des données client, et déterminez si l’interruption de son fonctionnement provoquera une perte significative de chiffre d’affaires.

En prenant en considération à la fois l’impact des vulnérabilités sur votre activité et leur gravité, vous pourrez établir une liste de celles à corriger en priorité, en commençant par les services les plus essentiels. Ainsi, alors qu’elle en comportait initialement des milliers, votre liste se réduira à quelques centaines de vulnérabilités, voire moins.

Raaghavv Devgon occupe les fonctions de responsable associé de la gestion des vulnérabilités de sécurité des produits au sein de l’équipe de réponse aux vulnérabilités produit de Salesforce. Il contribue à classifier les vulnérabilités produit soumises par des chercheurs externes et des clients. Il a précédemment travaillé chez IBM et KKR. Il est titulaire d’un master en informatique et de la certification CIPT. Tyler Waldo est le responsable senior du centre Salesforce en charge de la réponse aux vulnérabilités et du recueil d’informations à leur sujet. Il veille à toujours garder une longueur d’avance sur les vulnérabilités, qui ne cessent d’évoluer. Il a débuté sa carrière dans le secteur de la santé en participant à la création de l’équipe de sécurité d’un hôpital de Californie du Nord. Ces six dernières années, il a travaillé chez Salesforce dans le domaine de la gestion des vulnérabilités. Il est également titulaire d’un master en sécurité intérieure de l’université d’État de Pennsylvanie et de plusieurs certifications, dont CISSP, CCSP et GWAPT.

Plus d'articles écrits par Raaghavv Devgon et Tyler WaldoRight Arrow

Témoignages à découvrir