Hiérarchisation et automatisation apparaissent essentielles à la réussite d’un programme de gestion des vulnérabilités. Et cela passe par la prise en compte tant des menaces que de la criticité des actifs concernés afin de mettre en place une approche basée sur le risque.
La gestion des vulnérabilités continue de constituer un important défi pour un grand nombre d’organisations. Toutefois, certaines apparaissent parvenir à réussir l’exercice. Augusto Barros, Anna Balek et Michael Clark, analystes au sein du cabinet Gartner, se sont longuement penchés sur le sujet. Dans une récente note de synthèse, ils partagent leurs observations et leurs recommandations.
Le premier constat ne surprendra guère les praticiens expérimentés : « l’une des façons les plus courantes d’échouer dans la gestion des vulnérabilités consiste à simplement adresser un rapport aux équipes de production avec des milliers de vulnérabilités à corriger ». Et puis c’est bien simple : « les organisations ne peuvent pas appliquer les correctifs pour toutes les vulnérabilités identifiées » dans leur environnement.
Pour les analystes, la première étape vers la réussite est donc la hiérarchisation. Mais pas question d’attribuer aléatoirement des priorités aux vulnérabilités identifiées dans son environnement ou de se reposer exclusivement sur leur criticité théorique : il s’agit de tenir compte du risque – ce qui implique d’intégrer « le contexte de la menace pour chaque vulnérabilité, et les informations relatives à l’actif » affecté, dont son exposition et sa valeur pour l’organisation et ses activités.
« Le niveau de qualité de la CMDB est un fort présage du succès d’un programme de gestion des vulnérabilités. »
Augusto Barros, Anna Balek et Michael ClarkGartner
L’une des sources d’informations pour cela est la base de données de gestion des configurations (CMDB). Mais attention, préviennent les analystes : « le niveau de qualité de la CMDB est un fort présage du succès d’un programme de gestion des vulnérabilités ». En somme, on ne protège bien que ce que l’on connaît bien. Et notamment parce que la CMDB doit contenir des informations permettant d’évaluer l’exposition des actifs, ou encore de savoir qui, dans l’organisation, solliciter pour en estimer la criticité.
La bonne nouvelle, c’est que des éditeurs se sont déjà engagés dans cette direction, à l’instar de Kenna Security, RiskSense, ou encore Skybox Security. Parallèlement, soulignent les analystes, des éditeurs spécialistes de la recherche de vulnérabilités dans le SI se sont engagés dans la même voie. Il en va ainsi de Tenable, Rapid7, ou encore Qualys dont les produits « fournissent des informations additionnelles sur le contexte de menace des vulnérabilités identifiées ».
De toute évidence, il apparaît nécessaire de mobiliser autour du sujet au-delà des équipes chargées de la sécurité ou de la production IT : la définition des stratégies et des processus de gestion des vulnérabilités concerne tout autant la sécurité que la gestion des risques, tout comme la supervision de l’exécution du programme et de ses performances ; l’approbation des éventuelles exceptions relève des métiers.
Cette dernière peut s’avérer indispensable. Le traitement d’une vulnérabilité passe ainsi d’abord par l’examen de possibilité d’appliquer un correctif. Et si ce n’est pas possible, le traitement peut passer par des mesures de réduction du risque associé. In fine, il revient à décider d’accepter ou non le risque résiduel. C’est la gestion des exceptions. Mais attention à ne pas en accorder de larges ni de permanentes…
« Parmi les clients de Gartner, l’approche collaborative et semi-automatisée de la remédiation émerge comme modèle gagnant. »
Augusto Barros, Anna Balek et Michael ClarkGartner
Selon les analystes, « parmi les clients de Gartner, l’approche collaborative et semi-automatisée de la remédiation émerge comme modèle gagnant ». Concrètement, cela veut dire impliquer sécurité, production et métiers, chacun jouant un rôle actif dans le processus. De toute évidence, une communication inefficace conduit vers l’échec.
Et si l’automatisation s’impose, c’est bien parce que la gestion des vulnérabilités n’est pas une activité ponctuelle isolée. Non seulement le système d’information évolue, mais également le paysage de la menace, et la connaissance des vulnérabilités. Dès lors, c’est bien d’un cycle qu’il est question, en cinq phases : évaluer, hiérarchiser, agir, réévaluer, et améliorer.
Qui plus est, il apparaît de moins en moins acceptable de limiter sa pratique de la gestion des vulnérabilités au seul système d’information interne : elle doit s’étendre « des mainframes aux technologies embarquées et systèmes cloud, et même aux technologies opérationnelles ».
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
