Vous souhaitez être appelé gratuitement par un de nos conseillers ?

Nos conseillers sont disponibles du lundi au vendredi de 9h à 12h et de 14h à 18h

Merci, nos conseillers vont vous rappeler.

 /

📢 ESBD devient BlueFinch-ESBD

😀 Nous sommes heureux d’annoncer la fusion entre ESBD et BlueFinch. Les deux sociétés continuent leur aventure sous le nom de BlueFinch-ESBD

En savoir plus
Demander une démo
fr / en /
Demander une démo
fr / en /

Comment adopter un programme de gestion des vulnérabilités ?

par Eloïse • 19 Sep 2022

« PrintNightmare », « Log4Shell », « ProxyLogon », « ProxyShell », quel est le point commun entre tous ces noms ?  Il s’agit de vulnérabilités survenues entre 2021 et 2022. On pourrait vous étayer leur code CVE ainsi que leur incidence, mais ce n’est pas le sujet de cet article. Il s’agit de s’interroger sur comment lancer un programme de gestion des vulnérabilités alors que les failles sont de plus en plus naissantes chaque jour.

Qu’est-ce que la gestion des vulnérabilités ?

La gestion des vulnérabilités est décrite comme la pratique consistant à identifier, classer, corriger et atténuer les vulnérabilités. Elle est également représentée comme la découverte, le signalement, la hiérarchisation et la réponse aux vulnérabilités de votre réseau.

La gestion des vulnérabilités n’est plus une option pour les organisations, elle devient même exigée par de nombreux cadres de conformité, d’audit et de gestion des risques.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) définit un gestionnaire de vulnérabilités ou scanner de vulnérabilités comme l’outil qui « permet de mettre en lumière les faiblesses des différentes composantes de votre système d’information (réseau, applicatif) au travers de scans automatiques. Cet outil intervient à deux niveaux :

Vous ne pouvez vous concentrer sur quelque chose dont vous ne savez même pas être potentiellement impacté. C’est pourquoi la gestion des vulnérabilités doit être un des axes prioritaires de votre programme de sécurité. Vous devez savoir ce qui se trouve sur votre réseau. Un bon programme de gestion des vulnérabilités peut vous aider à comprendre de manière proactive les risques qui pèsent sur tous vos actifs afin d’en assurer leur sécurité.

Comment adopter un programme de gestion des vulnérabilités ?

1- Pour qui ?

Toutes personnes et entreprises ayant des actifs connectés à l’Internet a besoin d’un programme de gestion des vulnérabilités. De nombreux secteurs en exigent un pour se conformer aux réglementations. Les attaques entraînant des pertes de données sont souvent dues à des brèches utilisant des vulnérabilités connues et non corrigées.

Si vous avez des actifs sur votre réseau qui ne sont pas corrigés régulièrement, un programme de gestion des vulnérabilités est fait pour vous.

2- Pourquoi ?

Pourquoi ? Il existe des milliers de vulnérabilités connues dans la nature. La plupart d’entre elles disposant de correctifs. Cependant, toutes les vulnérabilités ne sont pas égales et de même ampleur. En utilisant un programme de gestion des vulnérabilités, vous pouvez :

Gérer intelligemment les vulnérabilités : toutes les vulnérabilités ne comportent pas les mêmes risques. Grâce à un programme de gestion des vulnérabilités, votre organisation peut établir des priorités en matière de remédiation, appliquer des correctifs de sécurité et allouer plus efficacement les ressources de sécurité.

Répondre aux exigences réglementaires : les programmes de gestion des vulnérabilités n’aident pas seulement votre organisation en vous permettant de rester conforme aux réglementations du secteur, mais ils peuvent également vous aider à fournir des rapports détaillés afin d’éviter des amendes importantes en cas de non-conformité et vous permettre de faire preuve de diligence raisonnable lors d’un audit.

3- Comment ?

Voici quelques recommandations pour une bonne gestion des vulnérabilités :

Découverte : dressez une liste de tous les actifs informatiques présents sur votre réseau, puis créez une base de données que les solutions de gestion de vulnérabilités pourront utiliser. Cette liste sera en constante évolution et devra donc être continuellement mise à jour. Cependant, assurez vous que tous les actifs soient découverts, répertoriés, catégorisés et évalués.

Rapports : il s’agit d’inclure toutes les données de vos actifs réseau dans leur état actuel. En général, cela se fait à l’aide d’un scanner de vulnérabilités qui produira un rapport de toutes les vulnérabilités connues sur tous les actifs de votre réseau.

Établissement des priorités : selon la taille de votre organisation ou l’âge de vos actifs, la liste des vulnérabilités connues peut être longue. Dans cette étape, les vulnérabilités seront classées du risque le plus élevé au risque le plus faible en fonction de multiples facteurs. Votre solution de gestion des vulnérabilités doit les classer par ordre de priorité en fonction du score CVSS (Common Vulnerability Scoring System) de FIRST et du risque unique qu’elles représentent pour votre organisation.

Réponse : l’objectif de la découverte, du signalement et de la hiérarchisation de vos vulnérabilités est de permettre à votre équipe de concentrer ses mesures correctives sur les risques les plus importants de votre réseau. Une fois ces vulnérabilités corrigées, vous devez effectuer un test de pénétration pour vous assurer que le correctif est valide et que vous n’avez plus de problème avant de passer à la vulnérabilité suivante.

Tips outil : le scanner de vulnérabilités Cyberwatch est une solution applicative qui permet de superviser en continu les vulnérabilités de vos actifs (postes de travail, serveurs, équipements réseaux et industriels, applications web, etc.) et d’assurer la conformité à votre PSSI. Identifiez les failles et priorisez les actions correctives à réaliser selon le score CVSS des vulnérabilités, la maturité des kits d’exploitation et vos propres critères de criticité, en accord avec votre stratégie de gestion des risques.

 

Je veux découvrir Cyberwatch en live !

 

S'inscrire à la newsletter

Restez informé de l’actualité ESBD

Merci de vous être abonné(e) à notre newsletter.