Gestion de vulnérabilités : au pays des aveugles, même les borgnes ne sont pas rois !
En matière de vulnérabilités, il faut avoir les yeux bien ouverts sur la remédiation car si elle ne marche pas, c'est toute l'entreprise qui risque de perdre la vue.
L’informatique des entreprises a été, et c’est peu de le dire, malmenée durant la dernière décennie. Les nouvelles méthodes de développement « plus agiles », le passage au Full Cloud, les nouveau services nés de la période Covid ou de la « transformation digitale » à marche forcée – saint graal des nouvelles organisations – sont autant de « révolutions » qui ont forgé son évolution.
Le monde de la Cyber a dû s’adapter à cette évolution qui a fait augmenter les surfaces d’attaques de façon endémique car au-delà des infrastructures historiques, les Software as a Service, les services cloud, les objets connectés et l’ultra mobilité couplée à la virtualisation ont créé de plus en plus de risques.
Les cyberdéfenses, sous la pression des métiers, ont cherché des solutions pour identifier les risques sur ces nouvelles surfaces d’attaques et au final ont implémenté de multiples solutions cyber répondant chacune à des besoins spécifiques. Chacun de ces outils propose ses propres reporting engendrant des milliers d’alertes que très peu d’entreprises arrivent à analyser.
66% des entreprises se retrouvent avec des backlogs de plus de 100 000 vulnérabilités
Au final les entreprises se retrouvent avec des centaines de pages de rapports complexes à intégrer dans une politique de cybersécurité car ils ne font absolument pas le lien entre les risques, les vulnérabilités et le contexte de dangerosité propre à l’entreprise :
· quel asset est touché ?
· Quel est son impact global sur l’organisation ?
· Comment remédier efficacement et rapidement ?
Autant de questions auxquelles cette multitude de rapports ne répondent pas.
Il devient urgent d’augmenter la capacité des entreprises à traiter chaque vulnérabilité car au-delà du manque évident d’informaticiens formés, tout l’écosystème cyber constate surtout que le temps entre la découverte d’une vulnérabilité et son exploitation réduit jour après jour.
Cela rend le travail des équipes opérationnelles très complexes comme on peut le constater dans le dernier rapport semestriel sur les vulnérabilités de Vulcan qui met en évidence que 66% des entreprises se retrouvent avec des backlogs de plus de 100 000 vulnérabilités au sein de leur IT.
Il y a de plus en plus de vulnérabilités découvertes par ces multiples outils. On constate ainsi au travers des KPI mis à disposition par les clients que le ratio entre le nombre de vulnérabilités découvertes au quotidien au sein des organisations et la capacité des équipes opérationnelles à remédier augmente.
Voir, prioriser, remédier
Cela met en évidence évidemment une augmentation des vulnérabilités mais surtout que les processus aujourd’hui en place dans les organisations ne sont pas toujours adaptés pour deux raisons majeures :
Tout d’abord un manque de visibilité globale sur ces vulnérabilités, noyées dans des rapports de toutes sortes, les équipes de la RSSI ne peuvent plus répondre à ces simples questions : quelles sont-elles ? où se situent t’elles ? quels métiers ? quelles ressources sont touchées ? quel est leur impact ?
Ensuite, logiquement, il devient donc impossible de bien les prioriser afin de traiter les plus urgentes en premier et si possible immédiatement et, rêvons un peu, de façon automatisée…
Au même titre que les mises à jour sont essentielles à la bonne santé d’un ordinateur, la remédiation est essentielle à la bonne marche de la DSI.
Alors oui, en matière de vulnérabilités, au pays des aveugles, même les borgnes ne sont pas rois car pour protéger efficacement les organisations, il faut avoir les yeux bien ouverts sur la remédiation car si elle ne marche pas, c’est toute l’entreprise qui risque de perdre la vue.