Gestion des vulnérabilités : Abeille Assurances veut se doter d’un VOC

L’agent seul ne suffit pas

Si la solution impose le déploiement d’un nouvel agent, le responsable SOC souligne que cet agent génère très peu de trafic réseau : « l’agent est au plus proche des applications pour remonter les vulnérabilités [...] en temps réel. Donc lorsque vous appliquez un correctif, il doit être en mesure rapidement, dans la console, de voir si le correctif a été appliqué ou non ».

Mais l’agent seul ne peut couvrir l'ensemble du SI. Celui-ci ne peut être déployé sur les équipements réseau ainsi que sur les réseaux IoT et des actifs exotiques. Mais il est nécessaire car le recours trop fréquent aux scanner de vulnérabilité dégrade les performances réseaux : « les scans réseaux restent importants, il ne faut pas les écarter. Il faut pouvoir mettre en place sur son infrastructure, un certain nombre de scanners. Il faut configurer ces scanners pour pouvoir scanner les différents VLANs, et avoir une couverture la plus complète possible ».

Jean-François Labelle explique que les scans authentifiés sont les plus intéressants car ils vont entrer au cœur du système, et remonter un maximum de vulnérabilités. Une interface avec le bastion est tout indiquée pour utiliser les identifiants nécessaires.

Une autre interface de Qualys mise en œuvre par Abeille Assurances est celle qui lui permet de communiquer avec la CMDB. Jean-François Labelle explique l’intérêt ce cette connexion : « à partir du moment où vous avez une vulnérabilité critique exposée, c'est une course, parce que si vous la corrigez, deux, trois jours après, l'attaquant est peut-être déjà passé. C’est ce que l'on veut éviter ».

Outre le déploiement d’agent et la mise en place de scans très réguliers, le responsable estime qu’il est indispensable de bien connaître son système d'information et d'en faire la cartographie. Or une CMDB étant rarement à jour, il s’appuie sur Qualys pour avoir une base des applications en production à jour, avec leur niveau de criticité : « en disposant d’une base et de la gestion de vulnérabilité de l'outil Qualys, vous êtes en mesure de faire un croisement ». 

Gérer le stock de vulnérabilités

Pour gérer les vulnérabilités et surtout prioriser le travail des équipes chargées de les patcher, une approche est de s’appuyer sur le CVSS (Command Vulnerability Secure Score) pour qualifier les vulnérabilités et commencer par les plus critiques : « est-ce que le CVSS est suffisant pour se dire qu’une vulnérabilité pourrait être potentiellement exploitée par un attaquant pour entrer sur le système d'information ? Ce n'est pas certain. Néanmoins, il faut remonter cette vulnérabilité. Même si on ne s'appuie que sur ce score dans un premier temps, on peut s'appuyer sur CVSS 3.1, sur du temporel, de l’environnemental. L’environnemental donne des indications, notamment pour savoir si l’actif est plus ou moins exposé par rapport à un autre ».

Pour faciliter la gestion du stock de vulnérabilités, le responsable exploite la capacité de la solution Qualys de les tagger : « les tags nous permettent de segmenter et de bien identifier nos actifs une fois que ceux-ci ont été découverts. Donc, grâce à ces tags, vous allez marquer les systèmes d'exploitation, les périmètres. Vous pouvez définir un tag dynamique pour identifier les OS Linux, par exemple. Ces tags vont permettre aux équipes de bien identifier leurs actifs et visualiser les corrections qui doivent être appliquées ».

De même, les tags permettent de cloisonner les accès à l'outil Qualys en fonction des périmètres d’action de chaque équipe. L'équipe réseau ne va accéder qu'à la vue des vulnérabilités sur les actifs réseaux, par exemple.

Vers la création d’un VOC

En termes d’organisation, les vulnérabilités sont remontées par l’équipe de Jean-François Labelle aux différentes équipes infrastructures et des points réguliers sont organisés de façon à traiter le plus efficacement possible l'ensemble des vulnérabilités : « nous leur remontons régulièrement des rapports, des informations liées aux vulnérabilités sur leur périmètre, postes de travail, serveurs, serveurs Linux, bases de données, etc. ». En parallèle, un reporting est réalisé auprès du top management pour détailler le niveau d’exposition et les avancées réalisées.

Alors que le nombre de vulnérabilités est toujours important et que les remédiations sont plus lentes au niveau des équipes infrastructures dont la charge de travail est déjà élevée, le responsable souhaite mettre en place un centre opérationnel de traitement de vulnérabilités, un VOC : « nous n’allons pas seulement nous intéresser à la criticité de la vulnérabilité, mais aussi savoir si celle-ci est exposée et possiblement exploitée. Dans cette optique, Qualys propose le Risk-Score qui est une alternative au CVSS ».

Le responsable souhaite s'orienter vers une gestion des vulnérabilités par le risque et coller au framework ROC (Risk Operations Center) proposé par Qualys : la gestion de la vulnérabilité doit dépendre de l’exposition de l’actif, de sa criticité et de l’impact réel de sa compromission. De quoi permettre d’évaluer l'impact métier et financier associé à cet actif et prioriser la correction et les mesures à prendre.