Des vulnérabilités trop nombreuses pour être gérées efficacement

Détecter les vulnérabilités est-il encore bien utile ? Selon une étude NopSec réalisée auprès de 200 RSSI, on peut se poser cette question. De fait, si près de 70 % des sondés assurent analyser leur environnement à la recherche de vulnérabilités quotidiennement ou toutes les semaines – à hauteur d’au moins les trois quarts de l’infrastructure pour 41 % des sondés –, 51 % des répondants s’estiment submergés par les informations récoltées au point de ne pas savoir où placer les priorités.

Pour 46 % des sondés, la principale difficulté est ailleurs : dans le manque de ressources alors la suppression des données erronées et l’enrichissement des données demandent trop d’intervention manuelle. 34 % des sondés citent également le trop grand nombre de faux positifs, contre 31 % pour le manque de budget, ou encore, pour 21 %, le manque d’information pour enrichir les données au-delà du score CVSS.

Mais n’y a-t-il pas là plutôt le résultat d’une frilosité trop grande à l’égard d’outils automatisés ou encore… une aspiration à vouloir surveiller de prêt un périmètre trop vaste ?

Seulement 31 % des sondés utilisent en fait des outils commerciaux pour automatiser la hiérarchisation des vulnérabilités. 12 % prennent le temps de procéder à cette tâche manuellement en fonction des actifs concernés. Et 21 % ajoutent à cela le recours à des flux de renseignement sur les menaces.

Mais le sondage de NopSec aura de quoi préoccuper plus d’un expert, même s’il ne constituera probablement pas une surprise : 64 % des sondés affirment que leurs programmes de sécurité sont menés avant tout dans une perspective de conformité réglementaire, et pas pour garder une longueur d’avance sur les cybercriminels. Et l’information sur les menaces semblent peiner à remonter jusqu’au conseil d’administration : pour 60 % des sondés, celui-ci n’est au courant qu’un peu… ou pas du tout.

D’autres chiffres auront de quoi alimenter les prédictions les sombres des Cassandre : 82 % des sondés assurent que leurs processus de remédiation existants sont inopérants. Pourquoi ? Le manque de ressources, encore, est cité par 78 % des sondés. 76 % des RSSI ayant participé mentionnent aussi les conflits de priorités avec les autres demandes opérationnelles, et 67 %, le surplus de temps passé à la qualification manuelle des vulnérabilités.

La bonne nouvelle, c’est que 50 % des sondés prévoient de déployer, en 2016, des outils pour améliorer la hiérarchisation des vulnérabilités et des menaces. Mais la gestion de celles-ci semble partie pour rester un silo à part. De fait, l’intégration avec des systèmes de gestion des actifs et des configurations n’est prévue que par 26 % des sondés ; avec un SIEM, 25 % ; et avec un système de gestion de tickets, 24 %.