Gestion des vulnérabilités : solutions, méthodes et outils

📑

En plus des données rapportées par l'étude Qualys, cette même année 2024, 768 vulnérabilités ont été exploitées pour la première fois, dont environ 25% étaient failles zero-day selon une étude Vulncheck.

Google Threat Intelligence Group note quant à lui que les failles zero-day continuent d’augmenter, et que les attaquants se concentrent davantage sur les équipements des entreprises : en 2023, 37% des vulnérabilités zero-day ciblaient des produits d'entreprise, passant à 44% en 2024, principalement en raison de l'exploitation accrue des logiciels et des appareils de sécurité et de mise en réseau.

Alors, comment faire face à cette menace ? Commençons par la définition d’une CVE et voyons pourquoi la gestion des vulnérabilités doit être vue comme une composante essentielle de la résilience, ainsi que les méthodes de détection et de correction.

CVE (Common Vulnerabilities and Exposures) : définition

Les vulnérabilités de sécurité informatique sont recensées dans des bases de données publiques auxquelles l’écosystème cyber se réfère pour que les équipes de sécurité aient un accès centralisé, simple et standardisé à toutes les vulnérabilités connues ainsi qu'à leur description, ce qui facilite leur identification dans les systèmes d'information à protéger.

Un score standardisé de 0 à 10 est attribué à ces vulnérabilité pour évaluer leur criticité : le CVSS (Common Vulnerability Scoring System), sur lequel nous reviendrons un peu plus loin.
Attention : une vulnérabilité avec un score faible peut malgré tout être importante si elle vise un équipement critique pour le système d’information !

Par ailleurs, une vulnérabilité avec un score faible peut aussi vouloir dire qu'elle a une exploitabilité faible (difficile pour l'attaquant) mais rien n'empêche une vulnérabilité avec une exploitabilité faible d'être critique dans son utilisation, et donc potentiellement être critique sur un système d’infirmation où les conditions d'exploitabilité sont réunies.

Gestion des vulnérabilités et résilience cyber

La gestion des vulnérabilités doit être vue comme une brique essentielle du bouclier cyber.

Bien que des cadres légaux tels que NIS 2 ou DORA imposent des contraintes, les SOC se doivent en réalité d’avoir un temps d’avance sur ces normes cyber plutôt que de simplement les implémenter pour des enjeux de conformité. Par ailleurs, il faut avoir en tête que les audits et les dispositifs de mise en conformité ne suffisent pas : ces opérations sont généralement annuelles alors que la menace évolue en continu. En bref, la proactivité et l’anticipation sont clés pour une meilleure résilience, et il faut savoir que rattraper un retard coûte toujours plus cher.

Dans cette perspective, l’approche VOC (Vulnerability Operations Center) s’impose. Elle consiste à centraliser la gestion des vulnérabilités pour optimiser les capacités de réactivité et de réponse à travers :

La détection des vulnérabilités
Une gestion des configurations des actifs informatiques adaptée aux besoins en matière de sécurité
La gestion des identités
La gestion de l’exposition sur Internet
Un test régulier des failles (Adversary Exposure Validation, démarche à mi-chemin entre pen-test et bug bounty)
La réduction continue de la dette technique pour une meilleure sécurisation des actifs
Une connaissance accrue des menaces et du contexte cyber de l’organisation...

Le conseil d’expert

En plus de la gestion des actifs et du parc informatique via des outils et des process en interne, la mise en place de politiques de durcissement, notamment sur la gestion des accès, la limitation de privilèges des comptes responsable des services sensibles, ou encore la mise en place d'une segmentation réseau efficace et surveillée en continu permettent le limiter grandement l'exploitabilité des vulnérabilités, ainsi que leur impact en cas d'exploitation.

Les méthodes de détection des vulnérabilités

Objectif : détecter les menaces avant qu’elles ne vous touchent ! Les vulnérabilités peuvent être détectées à l’aide de deux méthodes :

Les scans : ils permettent de détecter les CVE connues sur un réseau, des postes de travail, des serveurs, des bases de données, des APIs... Mais cette méthode présente plusieurs limites ou challenges :
- le périmètre de l’analyse doit être défini en amont, ce qui implique l’existence d’une cartographie du système d’information ;
- l’opération consomme de la bande passante sur le réseau ainsi que des ressources système ; la détection n’est pas continue, les scans doivent être programmés régulièrement ;
- impossible de détecter les vulnérabilités qui touchent des applications qui ne sont pas exposées sur le réseau ;
- impossible de détecter les vulnérabilités des applications qui ne retournent que des métadonnées partielles et qui ne permettent pas forcément d'identifier si l'application est dans une version vulnérable ;
- dans certains cas, obligation de tenter l'exploitation d'une vulnérabilité pour savoir si elle est présente ce qui représente un danger pour la production.
  
  Pour ces raisons, HarfangLab privilégie la détection par l'agent déployé sur les endpoints.

Les agents : chaque agent installé sur les endpoints d’un parc informatique est utilisé comme une vigie pour l’ensemble du réseau. Les CVE collectées par la plateforme de sécurité sont comparées avec les logiciels et applications déployés sur le parc informatique afin de signaler les vulnérabilités à corriger.
Quid des actifs sur lesquels aucun agent n’est déployé ? Le Shadow IT met face à une limite de cette approche car les endpoints sur lesquels l’agent n’est installé ne sont pas protégés. Une solution de gestion des vulnérabilités qui adopte cette méthode doit donc prévoir des capacités de détection du Shadow IT pour qu’aucun endpoint ne se retrouve dans un angle mort - et c’est exactement la raison pour laquelle la solution d’Attack Surface Management d’HarfangLab prévoit cette fonctionnalité de gestion du Shadow IT !

Pourquoi il faut aller au-delà du score CVSS

Comme mentionné plus tôt, un score CVSS est attribué aux vulnérabilités connues, mais penser aux priorités métier au-delà du score est crucial pour un SOC. Concrètement, une vulnérabilité qui touche une application qui n'existe pas dans un système d’information donné a forcément un score de 0 (dans ce contexte), et une vulnérabilité avec un score faible peut malgré tout avoir un score très élevé dans un contexte où elle est exploitable.

C’est notamment ce qui explique l’émergence du score EPSS (Exploit Prediction Scoring System) qui vise à prioriser les vulnérabilités en calculant la probabilité qu’elles soient exploitées dans les 30 jours à venir – score qui évolue régulièrement ; et des plateformes d’évaluation de l’exposition (EAP) qui aident les organisations à évaluer les risques en tenant compte de leur propre contexte métier.

Mais au fait, comment est calculé le score CVSS ?

Le calcul du score CVSS
Ce score de 0 à 10, et qui fait régulièrement l’objet de révisions, est établi à partir de différentes métriques considérant les caractéristiques intrinsèques de la vulnérabilité, sa complexité, son exploitabilité, son impact, son contexte, les risques qu’elle présente dans le temps...

Pour être compréhensible, ce score doit indiquer les métriques utilisées pour le calculer.

Passons à présent aux mesures à prendre pour remédier aux vulnérabilités.

Quelles actions mener pour corriger une vulnérabilité

Vulnérabilités : les outils et les méthodes pour se protéger

Les conséquences d’une vulnérabilité peuvent être prévenues à l’aide d’un WAF, d’un EDR ou d’un EPP, du virtual patching... Les outils sont nombreux, mais ils ne suffisent pas : l’organisation des équipes, les capacités d’analyse et une bonne hiérarchisation des priorités sont indispensables.

En premier lieu, pour éviter l’alert fatigue, les outils doivent être correctement paramétrés afin de limiter les faux positifs.

Les équipes de sécurité ont aussi besoin de connaître les priorités métier qui leur permettront de gérer intelligemment un incident ou une crise.

En outre, la mise en place d’indicateurs peut aider à optimiser la gestion des vulnérabilités, comme par exemple :

Le temps moyen de détection des vulnérabilités
Le temps moyen nécessaire pour atténuer les risques liés aux vulnérabilités
Le temps moyen pour appliquer les correctifs
La moyenne des vulnérabilités par actif
Le nombre total de vulnérabilités identifiées sur le système d’information
Le nombre de vulnérabilités critiques
Le taux de récidive...

Lorsqu’une vulnérabilité est publiée, le correctif peut ne pas être immédiatement disponible. Comment faire dans cette situation ?

La gestion des vulnérabilités en attendant un correctif

Dans l’attente d’un patch, une organisation doit s'aligner sur les priorités métier et évaluer l’impact business et organisationnel de la vulnérabilité. Le maillage des vulnérabilités et le risque d’effet domino doit également être pris en compte.

Le conseil d’expert

En attendant de pouvoir appliquer un correctif sur une vulnérabilité, surtout si elle est qualifiée comme critique, une stratégie d’atténuation peut être déployée à travers le renforcement du contrôle des accès, une segmentation réseau et des systèmes de détection d’intrusion et filtrage strict sur les endpoints et sur le réseau – par exemple avec l’aide d’un EDR et d’un EPP -, ou tout simplement par la mise hors service temporaire du service vulnérable.