Comment manager les vulnérabilités avec une approche " terrain " qualitative ?

David Grout

Confrontées à un contexte cyber de plus en plus insécurisant, les organisations démultiplient les campagnes de patchs sur les vulnérabilités qui se révèlent souvent inoffensives ou inexploitées.

Si la gestion des vulnérabilités est loin de constituer un concept nouveau, la démultiplication de celles-ci rend le sujet désormais hautement sensible, pour ne pas dire stratégique. Définie comme un processus cyclique d’identification des ressources corrélées à une base de données, cette gestion se révèle en effet de plus en plus chronophage pour les équipes techniques.

Des systèmes de scoring pour visualiser les vulnérabilités

Pour les organisations, cette démultiplication des possibles est synonyme de défi ultime, dans un contexte désormais bien connu de hausse de la cybercriminalité. Classées au cinquième rang des risques les plus importants     , les cyberattaques ont augmenté de 38% en 2022 à l’échelle mondiale (26% en Europe). Ces attaques ont bondi de 600% depuis la pandémie du Covid-19, en prise directe avec l’essor conjugué du cloud et du télétravail. Comment, dans un tel panorama, maintenir nos environnements safe ? Comment faire face à des volumes de vulnérabilités de plus en plus importants ? Pour nous aider, il existe depuis quelques années des systèmes de scoring. Créée par le gouvernement américain, la NVD (National Vulnerability Database) permet par exemple de tenir à jour une base de données comprenant les informations déposées sur différents types de menaces de sécurité, ainsi que sur d’autres facteurs de cybersécurité. La NVD établit un score, le CVSS (Common Vulnerability Scoring System), c’est-à-dire un système standardisé d’évaluation de la criticité des vulnérabilités en fonction de critères objectifs et mesurables. Cette grille de lecture est intéressante dans la mesure où elle permet aux experts d’établir des priorités dans leur système de patching.

Ajouter la notion majeure de « risque associé »

Mais cette approche atteint ses limites. Invitant à gérer des correctifs de sécurité et leur déploiement, le Patch Management peut difficilement être réalisé dès lors que les actions sont multipliées par dix, par cent ou par mille. Actuellement, nombreuses sont justement les organisations contraintes de déployer des actions de cet ordre, chronophages et onéreuses. Comment se sortir de cette ornière ? En optant pour une approche plus qualitative, complémentaire au CVSS. L’idée de cette nouvelle vision du problème consiste à mesurer, non pas un risque hypothétique , mais un niveau de sévérité réelle à chaque vulnérabilité repérée. C’est ici la notion de « risque associé » qui s’exprime. Chaque vulnérabilité se voit qualifiée qualitativement sur la base de centaines (voire de milliers) de réponses à incidents. Là où le scoring de la NVD établit un recensement exhaustif reposant sur des données quantitatives, l’on peut désormais visualiser « en relief » chaque vulnérabilité. Pour cela, deux questions articulées sont posées : un exploit existe-t-il afin de tirer parti de cette vulnérabilité, et si tel est le cas, a-t-il été repéré lors de réponses à incident ?

La vérité du terrain

Des analyses permettent d’apporter des réponses claires à ces questions. Elles montrent que le niveau d’occurrence des vulnérabilités ne va pas de pair avec une hausse du risque cyber. Pour l’exprimer autrement, dans « la vraie vie », toutes les vulnérabilités ne se valent pas, et ne sont donc pas toutes à patcher. Ainsi, dans le tableau suivant, l’on constate qu’en 2022, sur 3410 vulnérabilités de niveau moyen identifiées, 2762 ont été effectivement exploitées par des cybercriminels. Et ce risque décroit lorsque le niveau de la vulnérabilité s’élève. Ainsi sur 5004 vulnérabilités classifiées « high » ou « critical », 428 seulement ont fait l’objet, sur le terrain, d’une action malveillante (aucune dans la classification critique).

Une telle approche est primordiale pour l’ensemble des organisations, qu’elles soient privées ou publiques. Elle comporte deux éléments de différenciation majeurs. D’une part, le risque peut être requalifié par une mesure de terrain, via des données qualitatives de victimologie. D’autre part, les plateformes de Threat Intelligence les plus performantes sont désormais en capacité d’avoir une visibilité comportementale sur la manière dont les groupes de cybercriminels réfléchissent, choisissent leurs vulnérabilités et agissent. Ces plateformes sont ainsi en mesure de délivrer une information et des conseils à très haute valeur ajoutée.

Et ce ne sont pas les entreprises qui s’en plaindront. Grâce à ce type d’avancée, il n’est désormais plus nécessaire de patcher toutes ses vulnérabilités dans un temps restreint. On peut agir de manière chirurgicale, alléger la charge de travail des équipes et garantir la sécurité de son organisation de manière optimisée en se concentrant sur les risques réels d’exploitation. Une nouvelle qui devrait ravir plus d’un RSSI, mais aussi les équipes de direction, dans une perspective de ROI encore mieux ajusté.