📑
Vulnerability Management : faut-il corriger toutes les vulnérabilités ?
Jusqu'à présent, la gestion des vulnérabilités s’étalait dans le temps : des mois, puis des semaines entre la divulgation et l'exploitation. Mythos a réduit ce délai à quelques heures seulement. Cet écart n'a jamais été une caractéristique propre, elle était simplement le fait des capacités limitées des attaquants qui sont maintenant accrues.
Gartner a confirmé que moins de 1% des vulnérabilités découvertes par Mythos sont corrigées, constituant un backlog de vulnérabilités désormais potentiellement accessibles à tout attaquant disposant d'un modèle comparable, et mettant attaquants et défenseurs à armes égales. Et le gagnant est... celui qui dispose de la meilleure maîtrise de la surface d'attaque.
Néanmoins, tout patcher n'a jamais été la bonne réponse.
Même avant Mythos, 77% des vulnérabilités connues ne faisaient l'objet d'aucun exploit (source Kenna Security / Cyentia Institute vulnerability exploitation research). Le modèle “tout détecter, tout corriger” a toujours une théorie inapplicable, ce que Mythos rend évident.
Mais si la gestion des vulnérabilités ne vise pas à tout patcher, à quoi sert-elle ?
Le vrai problème n’est pas la découverte des vulnérabilités, c’est la priorisation sans contexte
Avec Mythos, la vitesse de détecetion des vulnérabilités n'est plus le goulot d'étranglement. En réalité, elle ne l'a jamais été. Le vrai goulot d'étranglement a toujours été de savoir, parmi les milliers de CVE sur un système d'information, lesquelles sont réellement exploitables, depuis Internet, contre une stack en particulier... Même avec Mythos, cette question n'a pas changé, elle est simplement plus urgente.
Si vous pensez que les CVSS répondent à cette question, spoiler : ce n’est pas le cas. Les CVSS ne disent rien sur les vulnérabilités réellement dangereuses pour votre surface d'attaque.
Le contexte est une variable cruciale pour déterminer la criticité des vulnérabilités en temps réel et agir en temps utile.
En résumé, plus que jamais, la détection de vulnérabilités sans levier de remédiation est terminée.
Comment la gestion des vulnérabilités doit fonctionner à l’heure de Mythos
Tout patcher est impossible lorsque attaquants et défenseurs sont tous deux équipés d'un outil comme Mythos. Savoir ce qui représente un risque pour votre surface d'attaque spécifique, ignorer le reste, et ne remédier qu'à ce qui compte est la clé d'une gestion des vulnérabilités pertinente.
Mythos n'exige pas un nouveau paradigme de sécurité. Il exige de gérer les fondamentaux plus vite et plus intelligemment : visibilité des actifs, priorisation selon le contexte, triage automatisé, priorisation des correctifs par des experts.
Si vous avez investi dans la gestion de la surface d'attaque pour gérer votre inventaire d'actifs, votre niveau d'exposition, vos communications réseau et votre posture CVE, vous savez déjà à quel 1% de vos vulnérabilités Mythos s'intéresserait.
Ne laissez pas tomber votre stratégie, affinez plutôt son exécution.
La remédiation des vulnérabilités sans intelligence devient inutile
Toutes les CVE ne sont pas des incendies. Envoyer chaque ticket CVE aux équipes de remédiation, c'est épuiser vos équipes tout en continuant à subir des compromissions. N'envoyer que les vulnérabilités pertinentes avec des résultats contextuels et exploitables, c'est précisément le moyen d'améliorer la posture de sécurité.
A l’heure de Mythos, les équipes qui s’en sortent sont celles qui ont structurellement décidé de ne pas essayer de tout patcher. Elles identifient les vulnérabilités qui comptent pour leur surface d'attaque pour les corriger. Le reste n'est que du bruit.
En termes d'outils et de processus, compte tenu des capacités que les attaquants peuvent déployer grâce à Mythos, l'écart entre la découverte d’une CVE critique et les investigations par le SOC doit désormais se réduire à quelques minutes, et non plus à quelques jours. Dans cette perspective, l'intégration VOC-SOC devient vitale : les données du Vulnerability Operations Center doivent alimenter directement les workflows du Security Operations Center. Dans la mesure où le temps moyen d'exploitation est de seulement quelques heures, un scanner qui tourne chaque semaine n'est plus approprié.
Une détection continue des vulnérabilités depuis les endpoints, corrélée avec des données de menaces en temps réel, est la seule cadence qui correspond à la menace, faisant du contexte de l’endpoint un facteur différenciant. L'endpoint sait ce qui est réellement installé, quelle version, ce qui tourne, ce qui communique avec quoi. Ce ne sont pas des données de scanner, c'est la réalité terrain – et c'est la seule base fiable pour une priorisation pertinente des menaces cyber liées aux vulnérabilités.
En résumé, les organisations en mesure de tenir le cap face à Mythos sont celles capables de prioriser les menaces et de les gérer avec des données de détection et de vulnérabilité unifiées - avec une remédiation prête à l'emploi, et non des scanners en silos déversant des fichiers CSV dans des systèmes de ticketing.
Vous souhaitez en savoir plus sur les meilleurs outils pour unifier votre sécurité,
et détecter et remédier aux vulnérabilités efficacement ?
Plus d'articles
Antonin Garcia, RSSI : "Face aux cybermenaces, l'EDR est essentiel."
Choix stratégiques, budget, recrutement : Antonin Garcia, RSSI chez Veepee, partage avec nous sa vision de la cybersécurité.
Antoine Trillard : "La maturité cyber des collectivités a évolué"
A l’occasion du coTer numérique qui s'est déroulé les 4 et 5 juin 2024 à la Rochelle, Antoine Trillard, Président…
La gamification, un outil clé pour sensibiliser ?
Pour sensibiliser les collaborateurs à la cybersécurité, de nombreuses entreprises proposent de nouveaux types de formations en ligne, sous forme…
Un plan réaliste pour attirer plus de femmes vers la cybersécurité
Dire que le domaine de la cybersécurité manque de diversité relève du lieu commun. Est-il possible de remédier à cette…