Comment procéder pour bien gérer les vulnérabilités?

vulnérabilités

Lisez le billet de M. Dominique Derrier sur la façon de procéder pour bien traiter les vulnérabilités dans les organisations.

En début d’année, la société Verizon mentionnait dans son rapport annuel de 2015 que 99,9% des vulnérabilités utilisées sur 2014 sont plus vielles d’un an. En lisant ce document, je fus amené à me questionner: pourquoi ces vulnérabilités n’ont-elles pas pu être corrigées plus tôt ?

Les correctifs permettent de réduire considérablement les risques opportunistes et les attaques ciblées. Leur application n’est pas la chose la plus simple à faire. Quels sont les impacts de manipuler des choses qui fonctionnent?

La correction des vulnérabilités peut bien paraître complexe avec plus de 360 failles par mois en moyenne sur les cinq dernières années (source NIST). La capacité de traitement dépasse le nombre de nouvelles failles.

Comment faire pour rendre cela plus fluide et pour éviter un malencontreux accident ? Comment fédérer les différents acteurs pour éviter les attaques opportunistes sur des risques historiques?  Voici comment procéder:

Connaitre votre inventaire

Il est important de connaitre ce que vous avez dans vos infrastructures. Difficile de corriger les éléments qui nous échappent. La partie d’inventaire est souvent négligée et il est parfois difficile de savoir où est installée une version défectueuse de logiciel.

Pour tous ceux qui n’ont pas cet inventaire, rien n’est perdu ! Il est facile d’installer des boîtiers de découvertes « quasiment » automatisés capables de relever pour vous les versions et les erreurs. La tendance est aujourd’hui à la découverte en continu pour alimenter ce type d’inventaire et de connaitre automatiquement et rapidement ce qui est présent dans les infrastructures.

Attention cependant. En faisant passer une première découverte, il est possible que vous tombiez de votre chaise avec un rapport dépassant l’entendement. Vous pouvez vous retrouver pris au piège avec des éléments que vous devrez adresser. L’étape suivante prend donc tout son sens.

Accepter les vulnérabilités

Adresser toutes les failles est (souvent) impossible. Les délais d’application et de correction sont inégaux. Pourtant, il est important de statuer sur les failles, car ce n’est pas forcément un pirate caché dans un pays douteux, mais peut-être simplement un étudiant ou un chevalier blanc qui test les vulnérabilités sur internet. Note: le fait d’utiliser une faille et le fait de ne pas mettre à jour constituent des délits.

Pour éviter de tomber dans le piège du rapport de 2000 pages qui attend au fond d’un tiroir, je propose d’adresser les failles selon ces priorités :

  • Celles ayant les plus gros impacts (si la faille est utilisée);
  • Celles qui sont les plus vieilles;
  • Celles ayant un correctif disponible et;
  • Celles qui touchent le maximum de serveurs internet/interne/utilisateurs.

Ne cherchez pas à résoudre le problème du serveur qui demande la validation de 25 personnes surtout si vous n’avez pas de mise à jour disponible. Corrigez à chaque mois le « Top 5 » ou « Top 10 » des vulnérabilités les plus importantes dépendamment de votre capacité de traitement. Vous allez ainsi réduire votre exposition de vulnérabilité historique et avoir des résultats visibles sur l’exposition.

Pour les failles que vous ne pouvez pas adresser dans l’immédiat et qui sont inacceptables, vous devez:

  • accepter de vivre avec;
  • disposer d’une solution de contournement avec une solution de protection (règles de par-feux, mécanisme de surveillance) ou une méthode compensatoire et;
  • éliminer le risque.

À noter que l’élimination du risque peut solutionner une partie des problèmes en limitant la présence de logiciels, la tâche devient alors plus acceptable.

A-t-on besoin du service de Wifi sur un serveur Web? A-t-on besoin du service d’impression sur la base de données? A-t-on besoin des produits Flash ou PDF sur un serveur? Si ce n’est pas présent, il n’y a rien à corriger.

Remédier les failles

Une fois que vous êtes en accord sur les failles à adresser, c’est l’heure de faire la correction. Le fait d’accepter les premiers éléments vous donne de la visibilité et vous permet d’avoir une ligne à suivre.

Les outils existent en automatique, en manuel, pour les plus importants du système d’exploitation. Pour les logiciels tiers, il y a d’autres solutions allant des forfaits (« packages ») via Windows Server Update Services (WSUS) à des outils tiers.

Il n’y a pas de recette miracle, il faut utiliser les compétences techniques pour réaliser cette action.

Contrôler les risques

Pour être en contrôle et être certain que vos actions ont de l’effet, l’objectif et la cible définie sont atteints.

Il n’y a rien de pire que d’avoir les mêmes rapports de vulnérabilités avec une valeur qui diminue peu ou pire, qui augmente, aussi bien pour le demandeur que pour le réalisateur. L’approche par itération permet de conserver la motivation et de ne pas perdre la cible fixée.

La partie de contrôle permet aussi d’affiner les règles de décisions durant l’acceptation pour être plus efficace et de se concentrer dans un premier temps sur les priorités, puis d’adresser le reste en fonction du risque.

Au final

Vous l’aurez compris, les parties de connaissance et d’acceptation sont des points « clés » pour adresser correctement la partie de gestion de vulnérabilités.

L’acceptation du risque peut conduire à une élimination de celui-ci. Les constats faits au cours des dernières années montrent que cette technique efficace est encore trop peu utilisée. Peut-être une piste pour 2016?

 

Merci à M. Dominique Derrier, RSSI chez LINKBYNET pour ce billet.
Photo: Pixabay




Autres billets intéressants:

Laisser un commentaire