Cybersécurité : « Nous sommes entraînés à croire que nous sommes impuissants » (Amit Yoran, Tenable)

Comment se fait-il qu’un éléphant puisse être maintenu captif, attaché à un ridicule bout de bois par une chaîne ? Parce qu’il y est habitué dès le plus jeune âge, qu’il a été entraîné à développer « un sentiment d’impuissance ». C’est la parabole qu’utilise Amit Yoran, le patron de Tenable depuis début 2017 (entreprise de sécurité informatique et des réseaux), en ouverture de la conférence annuelle de l’éditeur, Edge, qui se déroule actuellement à Atlanta.

Car pour lui, en sécurité, c’est pareil : « nous avons été entraînés à croire que nous sommes impuissants », du moins face aux assaillants les plus avancés, les plus organisés, comme ceux soutenus par des états-nations. Mais pour Amit Yoran, « c’est n’importe quoi ».

Et il y a une bonne raison à cela : la majorité des brèches ne trouvent pas leur origine dans l’exploitation de vulnérabilités inédites, mais « de mauvaises pratiques de gestion des vulnérabilités, et de gestion de l’identité et des accès ».

Alors oui, les menaces avancées persistantes s’attirent beaucoup d’attention, jusqu’aux directions des entreprises, mais encore une fois : « pas une seule des grandes brèches dont vous avez entendu parler dans les médias, comme Equifax, n’était due à l’exploitation de vulnérabilités inédites » et pour lesquelles aucun correctif n’était disponible. En 2016, Curtis Dukes, responsable adjoint aux systèmes de sécurité de la NSA, ne disait pas autre chose.

Et Amit Yoran de conclure, non sans un clin d’œil à celui qui l’avait précédé à la tête de RSA, Art Coviello, que « c’est aux choses connues que l’on ne prête pas assez attention, les vulnérabilités ». Et de justifier ainsi l’engagement de Tenable, car pour le patron de l’éditeur, s’il y a une chose sur laquelle il n’est tout simplement pas acceptable de faire l’impasse, c’est la gestion des vulnérabilités.

La gestion des vulnérabilités est un exercice difficile et elle ne cesse d’en faire la démonstration, ne serait-ce qu’en raison des difficultés d’arbitrage entre application de correctifs, gestion des dépendances et maintien de la production.

Alors pour aider à hiérarchiser la gestion des vulnérabilités, Tenable a développé de nouvelles capacités de gestion de l’exposition au sein de sa plateforme Lumin. La première est la notation d’exposition, une note établie en combinant la criticité d’une vulnérabilité, celle de l’hôte concerné et le renseignement sur les menaces. Le but étant de déterminer la probabilité d’exploitation de cette vulnérabilité contre cet hôte, rapportée à l’impact que cela aurait. Le score « est automatiquement généré par des algorithmes d’apprentissage automatique qui combinent le VPR (la note de priorité de traitement de la vulnérabilité) et l’ACR (la note de criticité de l’actif affecté) ».

A cela, Tenable ajoute la notation de l’exposition au risque cyber. De plus en plus tendance, cette notation vise à permettre aux clients de l’éditeur de comparer leur posture de sécurité à celle de leurs pairs, « par département ou géographique, par exemple », explique Tenable dans un communiqué de presse.

Enfin, Tenable Lumin va pouvoir proposer à ses utilisateurs des actions de remédiation pour réduire l’exposition de leur entreprise au risque d’exploitation de vulnérabilités présentes dans leur environnement.

Lumin a été annoncé par Tenable début mars 2018, et constitue une application de sa plateforme tenable.io. Initialement, Lumin devait être ouverte en bêta au second trimestre de l’an passé, avant une disponibilité générale dans la seconde moitié de l’année. Malgré le retard, l’ouverture de Lumin apparaît désormais proche. Tenable prévoit d'ouvrir l’application progressivement à ses clients.