Véritable prolongement de la gestion des vulnérabilités, les programmes de gestion des vulnérabilités fondée sur les risques (RBVM) sont conçus pour résoudre les faiblesses inhérentes aux systèmes numériques, notamment les logiciels, le matériel et l’infrastructure. La gestion des vulnérabilités fondée sur les risques utilise l’apprentissage machine pour étendre la gestion des vulnérabilités, en intégrant l’infrastructure infonuagique, les appareils IdO, les applications Web et plus encore. Cela permet aux entreprises d’accéder à des aperçus pertinents sur l’ensemble de leur surface d’attaque. Elle y parvient en s’appuyant sur les éléments suivants :

• Contexte enrichi
  La RBVM exploite l’apprentissage machine et des données propres aux parties prenantes pour offrir une approche plus nuancée de la gestion des vulnérabilités. Les systèmes traditionnels peuvent hiérarchiser incorrectement les vulnérabilités en se basant sur des scores généralisés, sans tenir compte du contexte particulier des actifs d’une organisation. Par exemple, une vulnérabilité jugée critique selon les normes du secteur peut présenter peu de risques réels si elle touche un actif ne contenant aucune donnée sensible ni un accès vers des systèmes critiques. Inversement, une vulnérabilité dont le score de criticité est faible peut s’avérer plus dangereuse si elle touche un actif de grande valeur. En intégrant des données sur la manière dont les vulnérabilités interagissent avec l’environnement particulier d’une organisation, la RBVM se prête à des évaluations de risque plus précises.
• Visibilité totale
  La RBVM élargit la portée de la gestion des vulnérabilités au-delà des actifs TI traditionnels, en permettant l’analyse et la surveillance en temps réel de l’ensemble de la surface d’attaque. Contrairement aux méthodes traditionnelles qui effectuent des analyses selon un échéancier défini, les outils RBVM peuvent surveiller en continu les systèmes sur site, les appareils distants, les actifs infonuagiques et les applications tierces. Cela permet aux organisations de conserver une vue d’ensemble de leur paysage de vulnérabilités, même lorsqu’il évolue.
• Réévaluation automatisée
  La RBVM prend également en charge la réévaluation automatisée des vulnérabilités grâce à une surveillance continue et à l’apprentissage machine. Alors que la gestion traditionnelle des vulnérabilités peut nécessiter des analyses ou des tests manuels pour réévaluer les risques, la RBVM automatise ce processus pour des mesures de sécurité plus dynamiques et réactives. Les organisations peuvent ainsi suivre le rythme des menaces émergentes et s’adapter à des environnements en constante évolution, tout en veillant à ce que leurs défenses demeurent complètes et efficaces.

La gestion des vulnérabilités fondée sur les risques permet une hiérarchisation plus précise et également fondée sur les risques. Votre entreprise se consacrera tout d’abord à l’identification et à la correction des faiblesses les plus susceptibles d’entraîner une violation, et remettra à plus tard les vulnérabilités moins critiques.

La gestion et l’évaluation des vulnérabilités contribuent à traiter et résoudre de façon efficace les vulnérabilités en matière de cybersécurité. Les deux termes ne sont cependant pas synonymes.

L’évaluation des vulnérabilités n’est que la première phase de la gestion des vulnérabilités. La plupart des entreprises utilisent des outils d’analyse pour examiner les appareils de leur réseau et collecter des informations sur la version du logiciel installé, pour ensuite les comparer aux vulnérabilités connues annoncées par les fournisseurs de logiciels. Plusieurs outils d’analyse, avec ou sans agents ou authentifiants, sont généralement nécessaires pour couvrir l’ensemble des logiciels utilisés (applications, systèmes d’exploitation, fournisseurs de services infonuagiques, etc.). Les entreprises exécutent des analyses à intervalles planifiés (généralement tous les mois ou tous les trimestres), puis utilisent la liste, souvent envoyée par courriel sous forme de feuille de calcul, pour attribuer des tâches de mise à niveau ou d’application de correctifs. Si une vulnérabilité du jour zéro est annoncée, et pour laquelle aucun correctif n’est encore disponible, une entreprise peut lancer une analyse à la demande qui peut prendre des jours ou des semaines, selon la taille et la configuration de son infrastructure.

À l’inverse, la gestion des vulnérabilités est un cycle de vie, et pas seulement une analyse planifiée ou ponctuelle. Il s’agit plutôt d’un programme continu qui passe de l’évaluation à la hiérarchisation et à la résolution. Elle utilise plusieurs sources de données pour évaluer et réévaluer en permanence l’état actuel de vos logiciels et services. En ajoutant le contexte lié aux activités, aux menaces, à l’exploitation et aux risques aux renseignements logiciels générés par les outils d’évaluation, un système de gestion des vulnérabilités peut attirer l’attention sur les vulnérabilités devant être traitées immédiatement et même suggérer la meilleure solution ou mesure d’atténuation. L’évaluation, l’analyse, la réparation et le signalement constants vous permettent de gérer et de traiter les vulnérabilités de sécurité au quotidien. Cela signifie que les faiblesses peuvent être découvertes plus rapidement, que les problèmes les plus graves peuvent être traités en priorité et que moins de vulnérabilités sont négligées.

En bref, une évaluation de la vulnérabilité offre un aperçu de la position de vos logiciels de TI; la gestion des vulnérabilités offre des renseignements, des conseils de résolution et la production de rapports, en constante évolution et en temps réel.

De nouvelles vulnérabilités de sécurité voient le jour au fur et à mesure que les informations sont créées et stockées dans des systèmes numériques, et que les organisations continuent de recourir aux technologies mobiles et aux appareils IdO. Examinons certaines des statistiques les plus pertinentes liées à la gestion des vulnérabilités :

• Plus de 26 000 nouvelles vulnérabilités de sécurité ont été identifiées et publiées en 2023. (Infosecurity Magazine)
• En 2023, 28 % des vulnérabilités ont été classées comme présentant un risque élevé. (Intel471)
• 98 % des organisations travaillent avec au moins un fournisseur qui a subi une violation de données au cours des deux dernières années. (Harvard Business Review)
• Les accès non autorisés à des réseaux non protégés par des correctifs de sécurité et d’autres vulnérabilités connues ont presque triplé en 2023, représentant 14 % de toutes les violations. (New Jersey Business & Industry Association)
• En moyenne, 55 686 actifs physiques et virtuels sont connectés à des réseaux organisationnels, mais on estime que seulement 60 % de ces actifs sont surveillés. (Armis)

Les acteurs malveillants ne manquent certainement pas de vulnérabilités à exploiter. Et, compte tenu des dommages pouvant résulter d’une violation de données, il est absolument essentiel de détecter et de corriger les vulnérabilités, non seulement sur le plan des pertes financières, mais aussi sur celui des perturbations opérationnelles, d’atteinte à la confiance des clients et à la réputation de la marque, voire de possibles conséquences juridiques.

Un système efficace de gestion des vulnérabilités fournit une couche de protection supplémentaire importante, ce qui vous permet de gérer et de corriger en permanence les défaillances de sécurité informatique. Cette mesure présente plusieurs avantages clés : 

Protection améliorée contre les cybermenaces : En repérant et en corrigeant continuellement les failles de sécurité, la gestion des vulnérabilités contribue à prévenir les accès non autorisés et les violations potentielles de données. Cette approche proactive réduit la probabilité de pertes financières, de perturbations opérationnelles et de conséquences juridiques.

• Visibilité et production de rapports améliorés
  La gestion des vulnérabilités offre une visibilité centralisée et en temps réel sur la posture de sécurité de votre organisation. Les équipes informatiques obtiennent des aperçus précis et à jour sur les possibles menaces, ce qui leur permet de réagir rapidement et de manière stratégique aux menaces émergentes.
• Conformité réglementaire
  Un programme de gestion des vulnérabilités bien structuré aide les organisations à respecter diverses normes de sécurité et exigences réglementaires. Les analyses régulières et les efforts de correction garantissent la conformité de votre entreprise, ce qui permet d’éviter des amendes et de possibles sanctions juridiques.
• Efficacité opérationnelle
  Une gestion proactive des vulnérabilités permet à votre organisation de minimiser les temps d’arrêt du système et de simplifier les processus de reprise après incident. Il en résulte une plus grande efficacité opérationnelle et une réduction de l’effet des incidents de sécurité sur la continuité des activités.
• Renforcement de la confiance des clients et de la réputation de la marque
  Démontrer un engagement en faveur de la sécurité grâce à une gestion efficace des vulnérabilités peut renforcer la confiance des clients et protéger la réputation d’une entreprise. Les organisations qui accordent la priorité à la sécurité sont plus susceptibles de maintenir des relations positives avec leurs clients et partenaires.

La gestion des vulnérabilités est un processus cyclique qui comprend cinq étapes clés, garantissant une protection continue contre les menaces à la sécurité. Ces étapes sont répétées en continu afin de maintenir une posture de sécurité solide :

Détecter les vulnérabilités

Plus longtemps une vulnérabilité demeure non détectée, plus elle est susceptible d’entraîner une violation de la sécurité. La première étape de la gestion des vulnérabilités est donc de repérer toutes les vulnérabilités de votre réseau, qu’elles soient existantes ou nouvelles. Ce processus consiste à analyser les systèmes accessibles sur le réseau, à repérer les ports et les services ouverts, à recueillir des informations sur le système et à les comparer aux vulnérabilités connues. Plus tôt on détecte les vulnérabilités, plus le risque de violation de la sécurité est faible.

Évaluer les vulnérabilités

Une fois les vulnérabilités détectées, l’étape suivante est d’évaluer leur effet potentiel. Il faut alors procéder à une analyse pour comprendre l’état des applications et des systèmes dans votre environnement. La hiérarchisation est ici cruciale; les vulnérabilités doivent être classées en fonction du risque qu’elles représentent pour votre entreprise, votre personnel et votre clientèle. Utilisez les mesures intégrées aux plateformes de gestion des vulnérabilités et enrichissez ce processus avec des éléments de contexte sur l’activité, les menaces et les risques provenant de sources internes et externes. Cela vous aidera à définir les vulnérabilités à forte incidence qui sont les plus pertinentes pour la sécurité et la continuité de votre organisation.

Corriger les vulnérabilités

Après avoir évalué et hiérarchisé les vulnérabilités, il faut maintenant passer à la correction. Cette étape consiste à corriger les vulnérabilités identifiées par l’application de correctifs, des modifications de configuration ou d’autres mesures correctives. Il est important de veiller à établir un processus de communication clair entre les équipes chargées de la sécurité, des opérations informatiques et de l’administration des systèmes, car les personnes chargées de comprendre les risques n’ont pas toujours le pouvoir de mettre en œuvre des solutions. La mise en place d’un langage commun et d’un processus décisionnel est essentielle pour une correction efficace.

Réévaluer la correction

Une fois les vulnérabilités corrigées, n’oubliez pas de vérifier qu’elles ont été résolues de façon efficace. Cette vérification se traduit généralement par la réalisation d’analyses de suivi afin de s’assurer que les risques prioritaires ont été atténués. La réévaluation des mesures correctives clôt l’incident dans le système de suivi et fournit des données précieuses pour les mesures de performance clés, comme le délai moyen de résolution (MTTR) et le nombre de vulnérabilités critiques ouvertes.

Surveiller et améliorer les mesures correctives

La dernière étape de ce processus ne se termine jamais réellement, car elle implique de surveiller en permanence l’efficacité de vos efforts de correction et de rechercher des façons de les améliorer. Des rapports réguliers sur l’état des vulnérabilités (en particulier lors d’événements majeurs en matière de sécurité) permettent de tenir les parties prenantes informées et justifient les investissements dans le personnel et les outils de sécurité. Les meilleures plateformes de gestion des vulnérabilités offrent des rapports et des tableaux de bord automatisés qui donnent un aperçu des tendances, des risques et des performances, permettant ainsi d’améliorer continuellement votre processus de gestion des vulnérabilités.

Les cinq étapes décrites ci-dessus reflètent une approche structurée et séquentielle de la gestion des vulnérabilités. Une structure adéquate est également essentielle lorsque vous mettez en place votre processus de gestion des vulnérabilités. Voici les étapes à prendre en considération :

Définissez vos objectifs

Il va sans dire que l’objectif principal de toute solution de gestion des vulnérabilités doit être d’identifier et de corriger ou d’atténuer les vulnérabilités de votre système, et ce avant qu’elles ne puissent être exploitées. Cependant, vous devez également identifier les objectifs secondaires de votre organisation quant au processus de gestion des vulnérabilités.

Les objectifs secondaires vous permettent d’améliorer l’efficacité globale de la gestion des vulnérabilités et la manière dont votre organisation met en œuvre les données qui en résultent. Parmi ces objectifs secondaires, mentionnons l’augmentation de la fréquence des analyses de vulnérabilité ou l’accélération du temps de résolution des vulnérabilités identifiées.

Définissez les rôles au sein de votre organisation

Pour que votre solution de gestion des vulnérabilités soit efficace, vous devez vous assurer que toutes les parties prenantes s’engagent à la faire aboutir et que leurs rôles et responsabilités dans le processus sont clairement définis. Bien que les différentes structures et capacités organisationnelles puissent exiger une répartition différente des responsabilités, la plupart des entreprises ont intérêt à attribuer les rôles individuels de responsables de la surveillance, de la résolution et de l’approbation.

• Responsable de la surveillance
  La personne évalue la gravité et le risque des vulnérabilités, documente ses conclusions, puis alerte ses collègues qui auront la responsabilité de résoudre les problèmes.
• Responsable de la résolution
  La personne est chargée de trouver des correctifs pour résoudre les problèmes connus et de créer des solutions d’atténuation lorsque les correctifs ne sont pas disponibles ou qu’il n’est pas facile de les appliquer.
• Responsable de l’approbation
  La personne a une vue d’ensemble des vulnérabilités du système et apporte les modifications nécessaires à la stratégie et aux procédures afin d’atténuer les effets des vulnérabilités actuelles et futures.

Évaluez l’efficacité de votre programme de gestion des vulnérabilités

Les processus continus de gestion des vulnérabilités permettent à votre entreprise d’avoir une vision plus claire et à jour de l’état général de votre sécurité. En outre, le caractère permanent de ces processus vous aidera à évaluer précisément les aspects de votre approche de gestion des vulnérabilités qui fonctionnent et ceux qui doivent être ajustés.

N’oubliez pas : bien que les étapes de base de la gestion des vulnérabilités soient relativement constantes, de subtiles variations d’approche peuvent être appropriées d’une entreprise à l’autre. N’hésitez pas à apporter des modifications à vos processus pour améliorer la précision, la clarté et la résolution.

Le choix d’une solution adéquate de gestion des vulnérabilités est essentiel pour maintenir une solide posture de sécurité. Une solution complète ne se limite pas à la simple recherche de vulnérabilités; elle doit offrir une visibilité en temps réel, une incidence minimale sur les performances et une intégration à votre stratégie de sécurité globale. Lorsque vous évaluez une solution de gestion des vulnérabilités, tenez compte des fonctionnalités clés suivantes :

Détection des vulnérabilités en temps réel

La rapidité est essentielle dans la gestion des vulnérabilités. Une solution qui offre une détection en temps réel garantit que les vulnérabilités sont identifiées et corrigées dès qu’elles apparaissent, plutôt que de s’appuyer sur des résultats d’analyse obsolètes. Recherchez des outils qui utilisent des agents légers ou une technologie sans analyse pour offrir une surveillance continue sans consommer trop de bande passante ou de ressources.

Incidence minimale sur la performance

Il ne sert à rien d’éliminer les vulnérabilités si la solution perturbe l’efficacité de vos systèmes. C’est pourquoi la gestion des vulnérabilités doit avoir une incidence minimale sur la performance des points de terminaison. Malheureusement, de nombreux outils basés sur des agents peuvent ralentir les systèmes et affecter la productivité. Choisissez une solution avec un agent léger qui fonctionne de façon efficace sans alourdir votre infrastructure informatique.

Visibilité complète

Une solution de haute qualité doit offrir une visibilité complète sur l’ensemble de votre environnement, vous permettant d’identifier rapidement les vulnérabilités et de les hiérarchiser. Les outils qui fournissent un tableau de bord interactif avec des fonctionnalités de recherche et de filtrage peuvent aider votre équipe à agir rapidement, en comblant les failles de sécurité avant qu’elles ne soient exploitées.

Hiérarchisation fondée sur les risques

Toutes les vulnérabilités ne présentent pas le même niveau de danger. Une solution de gestion des vulnérabilités performante doit inclure une hiérarchisation basée sur les risques, permettant à votre équipe de se concentrer en priorité sur les vulnérabilités les plus critiques. Cette approche vous aidera à attribuer vos ressources de manière plus efficace, en vous concentrant particulièrement sur l’élimination des menaces les plus urgentes et possiblement dangereuses avant de passer à des problèmes moins risqués.

Plateforme de sécurité intégrée

Plutôt que de vous appuyer sur un ensemble complexe d’outils disparates, recherchez une solution qui s’intègre parfaitement à votre infrastructure de sécurité existante. Une plateforme intégrée qui inclut la gestion des vulnérabilités, la détection aux points de terminaison et d’autres outils de sécurité simplifie la gestion et renforce la sécurité globale de votre organisation.

Aucune discussion sur la gestion des vulnérabilités ne serait complète sans aborder les exploits et expliquer comment s’y préparer. 

Un exploit est un programme logiciel malveillant (maliciel). Il se compose d’un code spécialisé qui profite des vulnérabilités connues au sein d’un système. Les personnes malveillantes utilisent d’abord les exploits pour accéder à distance aux réseaux et aux systèmes connexes. Elles peuvent ensuite voler ou modifier des données, s’octroyer des privilèges système, bloquer l’accès aux utilisateurs autorisés, s’enfoncer plus profondément dans le réseau et ouvrir la porte à d’autres logiciels malveillants ou techniques d’attaque.

Il est important de garder à l’esprit que les exploits sont des programmes logiciels conçus pour cibler et exploiter les vulnérabilités connues, ou, dans le cas d’une attaque du jour zéro, une vulnérabilité inconnue et par conséquent non corrigée. En mettant en œuvre la gestion des vulnérabilités au sein de votre organisation, vous pouvez traiter et réparer les mêmes vulnérabilités que celles qui sont ciblées par les exploits.

En plus de la gestion continue des vulnérabilités, vous pouvez également préparer votre organisation de la manière suivante :

• Dispensez une formation à la sécurité informatique à tous les employés
  Votre service informatique n’est pas le seul qui doit savoir comment se défendre contre d’éventuelles attaques. Formez tous vos employés aux pratiques exemplaires de sécurité informatique et assurez-vous que les politiques de cybersécurité de votre entreprise sont à jour.
• Mettez en œuvre le filtrage et l’analyse du trafic
  Le filtrage et l’analyse du trafic vous offrent une meilleure visibilité sur le trafic réseau et vous permettent d’envoyer les bons types de trafic aux bons outils de surveillance de la sécurité. Cela permet d’éviter les goulots d’étranglement du trafic, de réduire la latence et d’accélérer l’identification des agents malveillants, puis l’intervention qui s’impose.
• Mettez régulièrement à jour vos correctifs de sécurité
  Les fournisseurs de logiciels proposent régulièrement des correctifs et des mises à jour pour protéger leurs produits contre les vulnérabilités émergentes. Vérifiez régulièrement si des correctifs sont à votre disposition et veillez à ce que tous vos systèmes et applications fonctionnent avec les versions les plus récentes pour vous assurer que les vulnérabilités connues ne sont pas utilisées contre vous.

Lorsqu’ils lancent des solutions logicielles, les fournisseurs et les développeurs n’ont pas toujours le temps de détecter et de corriger toutes les vulnérabilités possibles avant que le produit ne soit mis sur le marché. Par conséquent, des failles et les bogues peuvent ne pas être repérés pendant un certain temps.

Les nouvelles vulnérabilités découvertes par les fournisseurs, les agences de sécurité, les testeurs et les utilisateurs traditionnels sont généralement signalées et divulguées par les canaux appropriés. Les fournisseurs sont alors responsables de l’application de correctifs aux produits exposés. En fonction de la gravité ou de la criticité de la vulnérabilité, les fournisseurs chercheront à publier un correctif plus ou moins rapidement. Les grands fournisseurs regroupent et testent généralement les correctifs dans une version « Patch Tuesday », afin que leurs clients subissent moins de perturbations et aient moins de travail pour mettre en œuvre le correctif.

Bien que les fournisseurs soient susceptibles de faire appel à leurs propres testeurs, voire à des agences tierces spécialisées dans les tests d’intrusion, pour identifier les vulnérabilités, de nombreuses failles passent inaperçues jusqu’à ce qu’elles soient découvertes par des utilisateurs ou identifiées par des pirates informatiques. Dans cette optique, la gestion continue des vulnérabilités devient encore plus cruciale.

L’écosystème informatique évolue, tout comme les menaces qui le ciblent. Et comme le nombre et la complexité des vulnérabilités ne cessent d’augmenter, les organisations ont besoin d’une solution complète pour gérer ces risques de façon efficace. Opérations de sécurité de ServiceNow (SecOps) est la réponse.

Puissante application intégrée à ServiceNow AI Platform, SecOps donne accès à des outils et des ressources permettant de simplifier et d’automatiser votre processus de gestion des vulnérabilités. Bénéficiez d’une visibilité complète de votre posture de sécurité grâce à un tableau de bord unifié et centralisé. Utilisez des flux de travail automatisés pour réduire le temps et les efforts associés à la correction des vulnérabilités. Réagissez de façon plus efficace aux menaces grâce à la détection des vulnérabilités en temps réel, à la hiérarchisation des risques et à l’intégration transparente avec vos autres solutions informatiques et de sécurité. ServiceNow vous donne la possibilité de devancer les risques qui menacent votre entreprise.

Le tableau de bord unifié de la plateforme offre une visibilité complète de votre posture de sécurité, alors que les flux de travail automatisés réduisent les efforts manuels et accélèrent la réparation. ServiceNow SecOps aide votre organisation à répondre aux menaces de manière plus efficace que jamais grâce à des fonctionnalités comme que la détection des vulnérabilités en temps réel, la hiérarchisation basée sur les risques et l’intégration transparente avec d’autres outils informatiques et de sécurité. 

Découvrez toutes les capacités de SecOps de ServiceNow; prévoyez une démonstration dès aujourd’hui!