En matière de cybersécurité, l’objectif principal des équipes dédiées doit être de gérer tous les éléments nécessaires de façon proactive et de garder la main, plutôt que de courir constamment après les failles et de réagir après qu’elles aient été exploitées.

Malheureusement, trop d’organisations, administrations fédérales incluses, opèrent encore de façon réactive, et ce généralement pour deux raisons : 1) l’absence d’une visibilité claire sur leur propre infrastructure informatique et sur les potentielles vulnérabilités qui les menacent ; 2) le manque d’informations récentes et précises permettant de hiérarchiser et de gérer ces vulnérabilités.

J’ai pu souvent constater que les organisations disposaient bien trop fréquemment de peu, voire d’aucune information sur les dates de fin de support / fin de vie de leurs logiciels et matériels. Beaucoup ignorent également les scores CVSS (Common Vulnerability Scoring System) de ces actifs.

Tout cela est compréhensible : à ce jour, il existe 31 millions de conventions de dénomination pour 2 millions d’équipements et de logiciels (dont notamment 16 000 façons différentes de désigner un serveur SQL par des outils d’inventaire). Ce manque d’uniformité quant aux désignations de certains produits est à l’origine d’un mélange confus de données, minant la plupart des efforts visant à obtenir une vision complète de l’inventaire et du profil de risque des actifs d’un réseau. Résultat : les responsables informatiques sont souvent incapables d’identifier rapidement les actifs connectés à leur infrastructure par rapport à leurs listes de périphériques approuvés et non approuvés.

Sans ces informations et cette visibilité, il est virtuellement impossible de mettre en œuvre des pratiques proactives et des stratégies permettant de faire face aux risques. Imaginez tout ce qui pourrait être accompli avec une vision globale de l’ensemble des actifs connectés au réseau qui seront en fin de vie dans six mois ou un an. De telles informations contribueraient grandement à adopter une approche proactive afin de hiérarchiser ces vulnérabilités.

L’une des approches consiste à examiner la liste d’actifs en fin de vie ou presque, puis d’identifier ceux qui ne sont pas approuvés et de déterminer ceux dont les scores CVSS sont élevés.

Les équipes chargées de la sécurité des systèmes d’information pourront ainsi repérer les éléments sur lesquels ils doivent se focaliser et à quel moment. Les responsables de la planification pourront également découvrir à l’avance les besoins de budget, contractuels et logistiques associés au remplacement d’équipements et de logiciels en fin de vie.

Avoir des informations complètes sur les vulnérabilités des infrastructures permet aux responsables de mieux comprendre leurs environnements existants et d’évoluer proactivement afin d’atteindre leurs objectifs. Cependant, rien de tout cela n’est possible lorsque des angles morts importants subsistent dans la vision des équipes dédiées.

Bon nombre des vulnérabilités les plus fréquemment exploitées (CVE) datent de 10 ou 15 ans, voire plus. Mais bien que parfaitement connues, elles sont encore utilisées par les pirates. En effet, de nombreux logiciels et équipements touchés par ces failles sont encore présents sur les réseaux.

Si ce constat peut être quelque peu décourageant pour les DSI ou les RSSI, il l’est encore plus pour ceux qui n’ont pas les données nécessaires pour savoir où se trouvent leurs angles morts et comment hiérarchiser la gestion de ces vulnérabilités.

Actuellement, l’identification des actifs en fin de vie ou de support se fait manuellement et prend énormément de temps. L’un des problèmes est que les données concernant ces fins de cycles ne sont pas directement intégrées aux logiciels. Les responsables de la sécurité sont donc non seulement contraints de trouver une solution pour centraliser ces données, mais aussi de les mettre à jour en permanence, puisqu’elles évoluent avec le temps. En outre, la plupart des entreprises utilisent des outils provenant de différents fournisseurs. Il leur faut donc collecter des données de sources variées, puis continuer d’effectuer régulièrement leurs recherches pour chaque éditeur et chaque logiciel.

Comment les entreprises peuvent-elles passer d’une approche réactive à une méthode proactive ? Voici 4 conseils pour commencer :

– Compiler et examiner l’inventaire d’actifs en fin de vie ou de support. Savoir où se situent l’ensemble des équipements et logiciels connectés à un réseau par rapport à leurs cycles de vie permet d’avoir une vision plus globale des risques de cybersécurité. Les équipes de sécurité peuvent ainsi anticiper les risques et les limiter de façon proactive.

– Identifier les actifs approuvés ou non. Il ne suffit pas de dresser une liste des actifs approuvés ou non ; encore faut-il la mettre en œuvre. Les équipes de sécurité doivent être en mesure d’identifier le matériel et les logiciels sur leurs réseaux (y compris les éléments non autorisés et inconnus ne faisant l’objet d’aucune supervision), puis de distinguer les ressources selon que leur présence soit validée ou non. Il est également tout aussi important de déterminer quels actifs n’ont été sanctionnés d’aucune décision et nécessitent d’être réévalués.

– Attribuer des notes aux notes aux vulnérabilités grâce au système CVSS. Connaître la sévérité des risques aide à prendre de meilleures décisions et de façon plus proactive quant à l’utilisation de ressources limitées de maîtrise des risques.

– Faire en sorte de combiner les données sur les fins de vie avec celles du CVSS. Rapprocher les actifs les plus à risque (tels que mesurés à l’aide du CVSS) de ceux déjà ou bientôt en fin de vie est une excellente façon de hiérarchiser les efforts visant à limiter les failles, et de neutraliser les potentielles bombes à retardement sur votre réseau.

Toutes ces mesures auront un impact important sur la gestion des vulnérabilités et des risques.

___________
Christian Hindre est Directeur Commercial Europe de Flexera