A l’occasion de la CTI Week organisée en partenariat par Advens et le CESIN, Benjamin Leroux, Chief Marketing Officer d’Advens, a réuni Anouck Teiller, Chief Strategy Officer d’HarfangLab, Tristan Savalle, RSSI chez Advens, et Fabian Cosset, Directeur du CERT Advens, pour une table ronde sur les vulnérabilités des équipements de sécurité. Retour sur cette rencontre et sur les points de vue des experts.
L’explosion des vulnérabilités des solutions de sécurité
Toutes et tous notent que les vulnérabilités des composants de sécurité ne sont pas un phénomène nouveau, mais comme le rappelle Fabian Cosset, 2024 a été marquée par des vulnérabilités massivement exploitées alors que ces solutions sont des pierres angulaires d’un dispositif de sécurité.
La situation géopolitique influe sur le contexte et certains groupes visent particulièrement ces outils, notamment les APT chinois qui ont bien compris le potentiel marchand de vulnérabilités des équipements de sécurité.
Tristan Savalle ajoute que pour les RSSI, la veille est constante sur les outils tels que les pares-feux, antivirus, VPN, EDR et EPP... mais les exploits sont de plus en plus nombreux, disponibles de plus en plus rapidement et de plus en plus systématiquement, et c’est ce qui change la donne.
“Avec le nombre croissant de solutions de sécurité en SaaS, le partage des responsabilités est différent. Il faut entretenir d'excellentes relations entre partenaires pour corriger les vulnérabilités le plus vite possible. Dans ce cadre, la relation contractuelle et la maturité de l'éditeur sont déterminants”, précise-t-il.
Vue de l’éditeur, “l’augmentation des vulnérabilités qui touchent les équipements de sécurité s’inscrit dans un contexte d'augmentation du nombre de vulnérabilités qui touchent les équipements numériques en général, ce qui nous affecte forcément en tant qu’éditeur de solution cyber. D’ailleurs, l’ANSSI est passée de 7 coordinations de gestion des vulnérabilités à plus de 40 en 5 ans ! La menace évolue et s’accélère pour tout le monde”, constate Anouck Teiller.
Par ailleurs, la sécurité d’un système d’information fonctionne comme un écosystème composé de différentes solutions, et il faut prendre en compte non seulement ses propres vulnérabilités, mais aussi le potentiel de vulnérabilité de l’ensemble d’une stack dont une solution fait partie.
“La gestion de nos propres vulnérabilités a toujours été une priorité, et HarfangLab s’est structurée depuis le début dans ce sens, notamment en étant le premier EDR français certifié par l’ANSSI en 2020. Cette certification pousse les éditeurs à mettre en place les processus et les bonnes pratiques pour lutter contre les vulnérabilités”, rappelle Anouck Teiller.
Bien que la veille et la lutte contre les vulnérabilités soient cruciales pour tous les éditeurs comme pour les partenaires de sécurité, il faut pourtant composer avec et pouvoir agir en cas d’incident, et les CERT jouent un rôle central dans cette démarche.
Vulnérabilités des solutions cyber : comment réagir en tant qu’équipe de réponse à incident ?
Fabian Cosset détaille : “Dès qu’une vulnérabilité est déclarée, il faut pouvoir réagir. La veille est le début du processus et bien connaître son parc informatique est indispensable. Il faut aussi avoir en tête que le score CVSS (Common Vulnerability Scoring System) n’est pas le seul critère de criticité. Certaines vulnérabilités avec des scores faibles sont un maillon d’un mode opératoire plus complexe, et ce chaînage peut avoir un impact catastrophique, notamment sur des équipements critiques pour le système d’information comme un VPN.”
En somme, au-delà du score de vulnérabilité, il faut aussi considérer la criticité de l’équipement concerné afin de hiérarchiser correctement les actions correctives. Concrètement, si une entreprise ou une collectivité risque d’être à l’arrêt, il faut impérativement patcher la vulnérabilité sur l’outil concerné en priorité, même si la vulnérabilité en elle-même présente un niveau de criticité peu élevé.
Pour l’application des correctifs, deux cas de figure peuvent se présenter.
L'éditeur communique sur une vulnérabilité, un correctif est mis à disposition rapidement puis déployé, et le sujet est clos – en ayant préalablement vérifié qu’il n’y a pas eu d’exploitation de la vulnérabilité. C'est le cas optimal.
En revanche, dans le cas où il n’y a pas de patch ou s'il nécessite des améliorations, il faut prévoir des mesures de contournement qui demandent l'expertise des équipes CERT et d’administration pour réduire les risques.
“Plus les processus sont fluides entre CERT, centre de veille, équipes d’exploitation, experts, administrateurs, équipes de sécurité... plus la réponse est pertinente. Grâce à la circulation efficace des informations, une organisation aura de meilleures capacités pour cartographier son système d’information et comprendre les chemins d’attaque. En outre, la veille sur les vulnérabilités ainsi que les dispositifs de gestion de crise sont capitaux dans ce contexte. On ne peut pas inventer la gestion de crise en même temps que la crise”, rappelle Tristan Savalle.
Malgré tout, il faut garder à l’esprit qu’un fournisseur sans faille n’existe pas. Les certifications sont importantes mais elles marquent avant tout un engagement à corriger les vulnérabilités, ce ne sont pas des totems d’immunité.
“Les vulnérabilités des solutions de cybersécurité soulèvent de plus en plus de questions et c’est bon signe parce qu’est une incitation à challenger le niveau de sécurité des éditeurs. Cela dit, la question n’est pas de savoir si un équipement de sécurité risque de présenter une faille, mais plutôt de savoir si la veille et les processus de production sont suffisamment rodés pour valider la sécurité des composants intégrés dans la solution, y compris ceux en open source. Il faut aussi procéder à une veille sur des failles qui ne seraient pas publiées largement et s’engager sur la livraison de correctifs ou des solutions de contournement le cas échéant”, précise Anouck Teiller.
Sur ce dernier point, les responsabilités peuvent changer de périmètre selon le type de déploiement. Pour une solution SaaS, le déploiement d’un correctif relève de la responsabilité de l’éditeur. En revanche, On-Premises, l’éditeur peut s’engager à fournir le patch et c’est alors au client ou au partenaire de se charger du déploiement.
Et face aux impératifs de réactivité pour corriger les vulnérabilités, quel peut être l’impact du Cyber Resilience Act ?
Le Cyber Resilience Act : une continuité des certifications des solutions de sécurité
Le Cyber Resilience Act vise à augmenter le niveau d’exigence pour la gestion des vulnérabilités, tant pour les entreprises que les développeurs et les éditeurs de solutions de sécurité.
Anouck Teiller précise qu’en termes de processus et d’organisation, pour HarfangLab, le Cyber Resilience Act est envisagé comme une continuité de la qualification CSPN et de la certification de l’ANSSI dont la plateforme dispose déjà. Encore une fois, ça ne veut pas dire qu’il n’y aura jamais de vulnérabilité, mais ces labels indiquent que l’éditeur a été audité par un tiers pour pouvoir gérer l’identification, la correction et le déploiement de correctifs. HarfangLab s’inscrit dans cette même continuité avec de nouveaux interlocuteurs comme l’ENISA (European Union Agency for Cybersecurity) qui a lancé une base de gestion des vulnérabilités en 2024.
“Ces initiatives permettent de sortir du mythe selon lequel les équipements de sécurité ne devraient présenter aucune vulnérabilité. Ils sont critiques et nécessitent le plus haut niveau de vigilance, mais il peut y avoir des vulnérabilités, il y en aura, et l'écosystème cyber s’équipe collectivement pour y faire face”, ajoute Anouck Teiller.
Et pour un RSSI, le Cyber Resilience Act est-il encore un projet conformité de plus à mener ? Quid des éditeurs non européens et des petits éditeurs ?
Pour Tristan Savalle : “Le Cyber Resilience Act responsabilise les éditeurs et c’est une bonne chose pour augmenter la maturité du marché. Toutefois, en tant que RSSI, je m’appuie sur la relation de proximité avec un partenaire, qui permet de mieux réagir en cas de besoin, plutôt que sur une réglementation.”
Fabian Cosset abonde dans le même sens : “Ce qui prime pour être réactifs et résilients, c’est avant tout la collaboration et les échanges d’information entre éditeurs et partenaires.”
Vous voulez en savoir plus sur la certification
et la qualification ANSSI obtenues par HarfangLab ?
Plus d'articles
10+ Conseils d’experts cybersécurité pour les dirigeants
Quel est LE conseil que les experts cyber donneraient à un décideur (CEO ou DSI) pour la sécurité de leur…
Guillaume Dubuc, RSSI : "Sensibiliser est un effort de long terme."
Guillaume Dubuc est le RSSI d’Altitude Infra, 3ème opérateur d’infrastructure de fibre optique en France. Comment convaincre son board, sensibiliser…
Évaluer les capacités d'un EDR avec MITRE ATT&CK
MITRE ATT&CK ne fournit pas seulement un framework pour évaluer les capacités de détection, la chasse aux menaces (hunting), la…
Dans les coulisses du déploiement d’une architecture IT en TPE
Ivan Kwiatkowski, Lead Cyber Threat Researcher, partage son retour d'expérience sur le déploiement d'une architecture IT dans une TPE -…