Gestion des vulnérabilités : savoir trier le bon grain de l'ivraie

La cybersécurité est l'un des défis les plus redoutables auxquels les entreprises seront confrontées en 2021. Avec un coût moyen estimé de 8,19 millions de dollars pour la violation de données, il est essentiel que les entreprises fassent de ce problème leur priorité.

Ces statistiques et des centaines d'autres sur la cybercriminalité donnent à réfléchir. Les cyberattaques commencent à ressembler à une fatalité, à un coût supplémentaire pour les entreprises. Pourtant, on peut faire beaucoup pour réduire les risques, notamment en ce qui concerne la gestion de la vulnérabilité.

Principaux mythes sur la gestion des vulnérabilités

L'importance de la gestion des vulnérabilités est souvent sous-estimée ou négligée. Examinons et démystifions les principaux mythes de la gestion des vulnérabilités, afin que les entreprises puissent choisir de modifier leurs pratiques de manière à fortifier leurs cyberdéfenses et à réduire les risques plus facilement.

Mythe 1 : Les analyses régulières suffisent

Un mythe courant et dangereux à dissiper est que les analyses régulières de vulnérabilité sont suffisantes. Ce n'est pas vrai. Même une fois par jour n'est plus suffisant. Chaque jour, de nouvelles applications et de nouveaux terminaux sont ajoutés aux réseaux d'entreprise, et cela ne se produit pas à l'unisson à 8 heures du matin. Les changements sont effectués tout au long de la journée, ce qui signifie que la compromission du réseau peut survenir à tout moment. Et il ne faut pas plus de 18 minutes aux pirates pour passer d'un point d'ancrage à une violation complète.

Les entreprises ne peuvent pas se contenter d'un seul scan par jour, même si elles corrigent un certain nombre de vulnérabilités chaque jour. La vitesse à laquelle de nouvelles vulnérabilités apparaissent est tout simplement trop élevée. Les entreprises doivent effectuer un scan continu pour être protégées. Heureusement, les nouvelles solutions de gestion des vulnérabilités rendent l'analyse à grande échelle beaucoup plus rapide et plus facile sans avoir d'impact sur les performances du réseau. Il n'y a donc vraiment aucune raison pour que les entreprises mettent inutilement leurs réseaux en danger.

Mythe 2 : Vulnérabilités = correctifs

De nombreuses personnes assimilent les vulnérabilités à des correctifs. En réalité, la gestion des vulnérabilités peut être beaucoup plus détaillée et complexe. Par exemple, un changement de configuration peut résoudre un problème, ou si une entreprise utilise un ancien logiciel, un correctif ou une mise à jour de configuration peut ne pas être disponible. Dans ce cas, les équipes peuvent être amenées à mettre en place un contrôle restrictif, tel qu'un pare-feu ou un changement de routage, pour empêcher certains types de trafic d'atteindre un port ou une application. En fait, les contrôles restrictifs sont parfois plus efficaces que les correctifs.

La conclusion est la suivante : penser uniquement en termes de correctifs est une vision à court terme. Une vision plus large de la gestion des vulnérabilités sera plus utile aux organisations.

Mythe 3 : la résolution des vulnérabilités critiques garantit la sécurité

L'idée selon laquelle les entreprises doivent d'abord corriger les vulnérabilités de niveau 5 est dépassée. La logique conventionnelle veut que les vulnérabilités les plus graves exigent une attention immédiate. Le problème est que les cybercriminels sont conscients de cette mentalité. Ils ont donc commencé à s'attaquer aux vulnérabilités de niveau intermédiaire. Ces vulnérabilités n'attirent pas autant l'attention ; elles n'ont pas besoin de personnel pour les corriger, ce qui donne aux pirates plus de temps pour trouver un moyen d'y pénétrer, et elles peuvent finalement causer d'énormes dommages car elles ne sont pas détectées pendant de longues périodes.

En matière de gestion des vulnérabilités, les entreprises doivent adapter leur approche. Elles doivent soit adopter de nouvelles approches et de nouveaux systèmes de classement pour traiter les vulnérabilités, soit opter pour une stratégie à deux volets, en tirant parti de solutions automatisées de gestion des vulnérabilités pour remédier immédiatement aux vulnérabilités de niveau inférieur tout en libérant les membres de l'équipe pour corriger simultanément les vulnérabilités de niveau supérieur.

Mythe 4 : La gestion des vulnérabilités n'est pas une priorité.

La gestion des vulnérabilités fait l'objet d'un manque de respect certain. Que ce soit de la part des équipes qui adoptent une certaine arrogance quant à leurs capacités - une attitude du type "mes gars peuvent tout réparer manuellement" - ou de celles qui partent du principe que la gestion des vulnérabilités est une tâche de fond peu prioritaire, le résultat est le même : la gestion des vulnérabilités est reléguée au second plan.

Le problème est qu'il y a simplement trop de vulnérabilités qui apparaissent trop rapidement. Même les équipes les plus talentueuses et les mieux dotées en personnel ne sont pas équipées pour les traiter toutes. En les considérant comme moins prioritaires ou en laissant la gestion des vulnérabilités de côté par manque de temps ou de ressources, les entreprises ouvrent la porte aux cyberattaques, ce qui rend leur travail exponentiellement plus difficile à long terme - sans compter qu'elles risquent de perdre des millions de dollars en cas de violation.

Certaines entreprises qui ont souscrit des polices d'assurance couvrant la cybercriminalité peuvent avoir un faux sentiment de sécurité. Je conseille vivement à ces organisations de jeter un coup d'œil à Merck ou Mondelēz, qui détenaient des polices d’assurance qu'elles pensaient qu’elles les protégeaient financièrement en cas d'attaque. Elles se sont trompées. Après NotPetya, leurs demandes d'indemnisation ont été refusées en raison d’une faille qui a déclaré NotPetya comme un acte de guerre. Aujourd'hui, ces entreprises sont à découvert de centaines de millions de dollars et sont empêtrées dans des batailles juridiques avec leurs compagnies d'assurance - des batailles qui devraient prendre des années à être résolues.

J'encourage toutes les équipes informatiques à donner la priorité à la gestion des vulnérabilités, à se débarrasser de leurs idées préconçues et de leurs mythes. Ce n'est peut-être pas la tâche la plus sexy à laquelle les équipes informatiques doivent faire face, mais la gestion des vulnérabilités pourrait très bien être le facteur le plus important dans la prévention d'une attaque malveillante grave.