Pour consulter cet article en PDF ou l`enregistrer, c`est

White paper 8 : Gestion des systèmes d’information
La Gestion des vulnérabilités, réponse nécessaire
à une problématique d’actualité
Mathieu Briol
Ayant toujours travaillé dans le monde du conseil en entreprise,
Mathieu Briol est actif depuis plus de 10 ans dans les domaines liés aux
télécommunications, à la gestion des risques de sécurité de l’information,
la conformité des systèmes d’information et la continuité d’activités. Ses
expériences métier couvrent les secteurs de la finance, des soins de santé,
de l’industrie technologique et le secteur public.
Fin 2008, il a participé avec deux associés à la création de Mielabelo, un
cabinet de conseil belge, actif notamment dans les domaines de la gestion
des risques, de la conformité et de la sécurité des systèmes d’information.
Joffrey Goumet
Joffrey Goumet est consultant senior chez Mielabelo depuis 2009. Il
est actif dans les domaines liés à la gestion des risques de sécurité de
l’information et de la conformité des systèmes d’information depuis plus de
12 ans. Il œuvre chez les clients de Mielabelo en leur apportant un service
à forte valeur ajoutée et ce dans des secteurs variés incluant notamment
les assurances, l’industrie pharmaceutique, l’industrie technologique et le
secteur public.
En parallèle de ses missions chez les clients, il participe au développement
de nouveaux services et dispense des formations certifiantes liées à la
gestion des risques de sécurité de l’information.
Introduction
De nos jours, les médias commentent régulièrement des attaques, piratages ou fuites de données dont sont
victimes de nombreux organismes, tant publics que privés et tous secteurs confondus. Pourtant, ces événements
relayés par les médias ne reflètent que la partie visible de l’iceberg et tant les grandes organisations que les
petites et moyennes entreprises sont sous la menace de l’exploitation des vulnérabilités techniques inhérentes à
tout système d’information. Comment se prémunir face à ce risque?
Les personnes malveillantes qui tentent de s’introduire dans les systèmes d’information (hacktivistes,
concurrents peu scrupuleux, gouvernements, etc.) ne rencontrent pas de grandes difficultés :
plusieurs milliers de vulnérabilités sont découvertes chaque année. Celles-ci affectent la quasitotalité des composants logiciels ou matériels du monde informatique, des systèmes d’exploitation
aux progiciels et applications. Beaucoup de (nouvelles) opportunités pour ces personnes et beaucoup
de brèches à identifier et à combler donc pour les organismes…
Les études récentes tendent à montrer que la majorité des attaques analysées font appel
à des techniques peu complexes utilisant des vulnérabilités connues. Les incidents identifiés
auraient ainsi pu être évités si les victimes avaient, entre autres, déployé les correctifs de sécurité
adéquats.
1. Les risques associés
Le niveau de risque associé à une vulnérabilité peut être défini comme suit :
Niveau de risque = impact potentiel × probabilité d’occurrence / mesure de protection
1
Le niveau de risque est donc proportionnel aux conséquences liées à l’exploitation d’une vulnérabilité
et à la probabilité d’occurrence de cette exploitation. Bien que cette probabilité soit accrue par la
diffusion des informations concernant une vulnérabilité, cette divulgation est nécessaire afin de
pouvoir estimer au mieux les cibles vulnérables et la nature des risques.
La mise en place d’une mesure de protection a pour effet de diminuer le niveau de risque. Il en est
ainsi de l’application des correctifs de sécurité.
Le facteur temps est aussi important : plus vite un correctif de sécurité sera mis en œuvre (TTF, Time
To Fix) et protègera les ressources vulnérables, moins celles-ci seront menacées par les attaques
visant à exploiter les vulnérabilités couvertes par ce correctif. De manière à réduire l’exposition au
risque, toute organisation a donc intérêt à réduire ce Time To Fix au minimum via un processus de
gestion de vulnérabilités efficace. Les publications sont issues, entre autres, de groupes de recherche
en sécurité. L’organisation elle–même a peu d’impact sur ces publications. Par contre, via une veille
et un outil de gestion de vulnérabilités performants, les informations concernant les vulnérabilités
publiées peuvent être intégrées rapidement dans le processus de gestion et permettre un temps de
détection (TTD, Time To Detect) réduit au minimum.
L’exposition au risque d’une organisation sera donc limitée en jouant sur les paramètres TTD et TTF.
Mais comment y parvenir ?
2. La gestion des vulnérabilités en pratique
Processus
La gestion des vulnérabilités est une saine pratique de sécurité qui
a pour objectif de prévenir de façon proactive l’exploitation des
vulnérabilités par des personnes malveillantes. Nous nous attardons
Technologie
sur les 3 éléments essentiels pour la mise en œuvre d’un programme
de gestion des vulnérabilités que sont les processus, la technologie
utilisée et les personnes impliquées.
Le processus générique de gestion des vulnérabilités s’appuie sur le modèle ITIL (voir
annexe 1) et s’intègre avec les autres processus IT existants. Le modèle ITIL ne prescrit pas une
méthode particulière mais place celle-ci dans des catégories plus vastes de gestion des changements
et de gestion des mises en production.
2
Une compréhension précise de l’environnement informatique est également essentielle tout au long
du processus de gestion des vulnérabilités, une interaction de celui-ci avec le processus de gestion des
actifs et des configurations est donc primordiale.
Il convient de prêter une attention particulière à l’aspect
technologique indispensable à l’industrialisation de la
gestion des vulnérabilités. En effet, la mise en place
d’un outil de scan de vulnérabilités permet d’automatiser les
activités de recherche et d’évaluation des vulnérabilités. Ce
type d’outil offre également des informations essentielles sur
les vulnérabilités présentes sur les systèmes d’information
ainsi que sur les mesures correctives à mettre en œuvre
(correctif à installer, partie de code vulnérable à modifier,
etc.). En parallèle, une veille technologique efficace s’avère
aussi nécessaire afin d’être informé rapidement de l’existence de nouvelles vulnérabilités et des
correctifs de sécurité associés.
Enfin, il est primordial d’impliquer les différentes parties
prenantes concernées par le programme. En premier
lieu, il convient que le management soit informé de la valeur
et de l’intérêt d’un tel programme afin d’allouer les ressources
nécessaires à sa mise en œuvre. Les directions métier et le
département informatique ont pour leur part un rôle essentiel
afin d’identifier les impacts opérationnels potentiels et les coûts
associés.
Conclusion
Encore trop souvent sous-évaluée, la gestion des vulnérabilités s’avère actuellement un élément
indispensable dans la protection du patrimoine informationnel d’une organisation. Reposant sur les
trois piliers que sont le processus, la technologie et les individus, cette gestion doit immanquablement
être adaptée au contexte de l’organisation et doit être mise en œuvre de façon transverse au sein de
celle-ci.
Enfin, la gestion des vulnérabilités ne pourrait se suffire à elle-même et doit être considérée comme
partie intégrante d’un système de gestion des risques lié à la sécurité de l’information. En particulier,
des initiatives telles que la sensibilisation des utilisateurs ou l’intégration de la sécurité dans les projets
informatiques revêtent également une importance cruciale et doivent donc être pris en compte.
Voulez-vous en savoir davantage sur le sujet?
Envoyez un mail à : mathieu.briol(at)mielabelo.com
3