Les responsables de la cybersécurité et des risques doivent lier les pratiques de gestion des vulnérabilités aux besoins spécifiques de leur organisation, et non à une norme mythique.
Bien qu’il soit techniquement possible de corriger tous les systèmes Windows d’une grande banque internationale en trois jours, la perturbation des activités qui s’ensuivrait en ferait très probablement une solution non viable.
A propos de l’auteur
Craig Lawson est vice-président de la recherche chez Gartner.
La question devient alors, quel est un délai réaliste pour corriger et traiter les vulnérabilités de sécurité ?
Une banque suisse, un détaillant britannique et une agence gouvernementale chinoise auraient chacun des réponses très différentes, car le paysage des menaces est complètement différent pour chaque organisation individuelle.
Malheureusement, la « norme de l’industrie » reconnue pour les délais de correction des vulnérabilités tient rarement compte des contraintes spécifiques à l’organisation, des considérations de cohabitation technologique, des politiques internes ou des exigences de conformité externes.
La réalité est bien plus nuancée.
Ce qui est important, c’est de transformer « si une plate-forme est corrigée » en « si le risque spécifique de vulnérabilité de la plate-forme a été suffisamment atténué ».
Pour y parvenir, les organisations doivent adopter une approche plus structurée basée sur les risques et les faits de la gestion des vulnérabilités dans le cadre d’un programme de sécurité global.
Sommaire
À quelle vitesse est assez rapide dans la gestion des vulnérabilités ?
Le volume de vulnérabilités signalées, à lui seul, signifie que les organisations sont mises au défi de les traiter et de les modifier de manière appropriée et en temps opportun.
En fonction de la rapidité avec laquelle les vulnérabilités peuvent être exploitées, les entreprises doivent être équipées pour mettre en œuvre des mesures correctives d’urgence sur les systèmes clés dans les heures suivant la publication d’un correctif pour corriger une vulnérabilité, en plus d’investir massivement dans des mesures d’atténuation. L’affinement de la maturité de leur processus de remédiation est également essentiel pour parvenir à une remédiation non urgente sur tous les types de systèmes en quelques semaines, au lieu de quelques mois ou années.
Quatre bonnes pratiques peuvent opérationnaliser des délais de remédiation efficaces :
1. Aligner la gestion de la vulnérabilité sur l’appétit pour le risque
Les organisations ont un plafond pour la vitesse à laquelle elles peuvent corriger ou compenser les vulnérabilités. Cette limite supérieure est déterminée par l’appétit de chaque entreprise pour le risque opérationnel, la capacité/les capacités opérationnelles informatiques et la capacité à absorber les perturbations lorsqu’elle tente de remédier aux plates-formes technologiques vulnérables.
Les responsables de la sécurité peuvent aligner les pratiques de gestion des vulnérabilités sur les besoins et les exigences de leur organisation en évaluant des cas d’utilisation spécifiques, en mesurant l’appétit pour le risque opérationnel pour des risques particuliers ou risque par risque, et en déterminant les capacités et les limites de correction.
2. Prioriser les vulnérabilités en fonction du risque
Les organisations doivent appliquer une hiérarchisation des vulnérabilités complète et basée sur les risques, en fonction de considérations telles que la gravité de la vulnérabilité, l’activité d’exploitation actuelle, la criticité de l’entreprise et l’exposition du système affecté.
L’un des changements les plus importants que vous puissiez apporter est de vous concentrer sur les vulnérabilités qui sont exploitées dans la nature. Cela devrait être l’objectif numéro un et garantira que les risques les plus importants sont traités rapidement et efficacement.
Les entreprises peuvent réduire leur surface d’attaque plus efficacement tout en ayant moins d’impact opérationnel sur l’organisation en fusionnant les contrôles compensatoires qui peuvent réaliser des correctifs virtuels, tels que les systèmes de détection et de prévention des intrusions et les pare-feu d’applications Web avec des solutions de correction telles que des outils de gestion des correctifs. Les technologies plus récentes, y compris les outils de simulation de violation et d’attaque (BAS), peuvent également offrir un aperçu de la façon dont vos technologies de sécurité actuelles sont configurées et si elles sont capables de vous protéger contre une variété de menaces similaires aux ransomwares.
Il est tout simplement impossible de corriger un système si le fournisseur n’a pas encore fourni de correctif, et le système n’est plus pris en charge pour d’autres raisons telles que la compatibilité logicielle. Il est important de noter que les industries hautement réglementées ont souvent des mandats qui peuvent limiter votre capacité à exécuter des fonctions telles que l’application de correctifs.
Le patch n’est pas tout, cependant : c’est dur, ça peut casser des choses, et ça prend du temps. Il est donc important d’avoir un plan B – vous avez besoin de plus de flèches dans votre carquois que de simplement patcher.
Si vous faites un meilleur travail avec votre programme de gestion des vulnérabilités, vous pouvez réduire considérablement votre surface d’attaque. Cela vous permet de présenter une cible plus difficile à un acteur menaçant essayant d’avoir un effet de levier au sein de votre environnement. C’est pourquoi c’est si important.
4. Utiliser des technologies pour automatiser l’analyse des vulnérabilités
En utilisant des technologies capables d’automatiser l’analyse des vulnérabilités, vous pouvez améliorer les fenêtres de correction et l’efficacité.
Il est également essentiel d’évaluer vos solutions actuelles d’évaluation des vulnérabilités et de vous assurer qu’elles prennent en charge les types d’actifs les plus récents tels que le cloud, les conteneurs et les systèmes cyber-physiques dans votre environnement. Sinon, augmentez ou remplacez la solution.
