Ivanti Blog: Publié par

Découverte de la surface d'attaque : Comment identifier la surface d'attaque de votre entreprise

Mon, 18 Aug 2025 09:54:55 Z

Contrôler sa surface d'attaque, c'est comme entretenir son gazon. Si on ne tond pas après la pluie, il grandit rapidement. Avec une surface d'attaque, la situation devient vite incontrôlable, avec une augmentation des cyber-risques. Même s’il est illusoire d’éradiquer totalement le risque — l’environnement de threat intelligence ne cessant d’évoluer — il est possible, et surtout impératif, de garder le risque à un niveau maîtrisé, en ligne avec l'appétence au risque de votre entreprise.

Pourquoi la découverte de la surface d'attaque est-elle si importante ?

Pour gérer les cyber-risques, il faut avant tout savoir où l’on va : cela passe par une identification précise de sa surface d’attaque. Cela implique de recenser ce qui peut servir de porte d’entrée ou d’attaque — qu’il s’agisse de postes client, de vulnérabilités et d'autres vecteurs d'attaque.

Les grandes références du secteur abondent en ce sens : la première fonction du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) version 1.1 est l'identification. Selon le NIST, les « activités liées à l'identification constituent les bases d'une utilisation efficace de ce cadre ». Même logique pour la liste Contrôles CIS v8, qui inclut les contrôles suivants :

Contrôle 1 — Inventaire et contrôle des actifs de l'entreprise
Contrôle 2— Inventaire et contrôle des actifs logiciels
Contrôle 7— Gestion continue des vulnérabilités

En clair : on ne protège bien que ce que l’on connaît. Mais comment faire l’inventaire de tous nos actifs ?

Comment démarrer la découverte de ma surface d'attaque ?

Il s’agit d’adopter l’œil du hacker : quelles ressources seraient facilement exploitables ?

La surface d'attaque se décline en trois volets : la surface d'attaque numérique, la surface d'attaque physique et la surface d'attaque humaine. Ce blog se concentre sur le volet numérique, même s'il aborde aussi brièvement les deux autres volets.

Votre surface d'attaque numérique couvre l'ensemble des actifs IT traditionnels, à savoir le matériel (postes clients et serveurs, notamment) et les applications logicielles, ainsi que les actifs tournés vers Internet, comme les applications Web, les adresses IP, les noms de domaine, les certificats SSL et les services Cloud.

La première étape consiste à dresser l'inventaire des éléments de votre surface d'attaque numérique et à identifier les problèmes de visibilité. Une classification peut être établie comme suit :

Connus connus : les cyberactifs identifiés comme faisant partie de votre surface d’attaque.
Les inconnus connus : les cyberactifs identifiés comme appartenant à votre surface d’attaque, mais sur lesquels vous manquez de visibilité et/ou de contrôle.
Les inconnus non connus : les cyberactifs dont vous ne savez pas s’ils font ou non partie de votre surface d’attaque.
N/A : les cyberactifs pour lesquels vous êtes certain à 100 % qu’ils ne font pas partie de votre surface d'attaque.

Pour ne rien oublier, utilisez notre Checklist Surface d'attaque personnalisable.

Outils et approches pour découvrir et gérer votre surface d'attaque

Une fois la classification effectuée, l’étape suivante consiste à choisir des outils adaptés afin d’affiner votre visibilité et de lever les angles morts. L’objectif : transformer les inconnus (connus ou non) en actifs maîtrisés.

La « gestion de la surface d'attaque » inclut des solutions plus spécifiques : CAASM (Gestion de la surface d'attaque des cyberactifs), EASM (Gestion de la surface d'attaque externe) et DRPS (Services de protection contre les risques numériques). À partir des résultats de ces outils, vous pouvez identifier plus facilement les vulnérabilités. Certains proposent même des fonctions de priorisation et de remédiation, ce qui permet de réagir rapidement en cas de menace et de limiter les risques.

Cependant, les organisations ont eu besoin de découvrir et de gérer leur surface d’attaque numérique bien avant l’apparition des solutions ASM. À défaut de solutions ASM, de nombreuses entreprises ont adopté — et continuent d’utiliser — d’autres méthodes pour répondre à ce besoin.

Approche	Description	Atouts	Limites
Outils de découverte des actifs	Inventaire des actifs matériels et logiciels qui se connectent à votre réseau.	Largements déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.	Comportent souvent des angles morts, comme le Shadow IT, les systèmes tiers et les applications métier.
BAS (Simulation de fuites de données et d'attaques)	Tests automatisés des vecteurs de menaces pour comprendre les vulnérabilités de sécurité et valider les contrôles de sécurité.	Génération de rapports sur les faiblesses de sécurité et priorisation de la remédiation basée sur les risques.	Traitent uniquement les attaques connues. Pas de remédiation.
CSPM (Gestion du niveau de sécurité du Cloud)	Suivi des changements de configurations Cloud.	Visibilité en temps réel sur les configurations Cloud.	Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
CMDB (Base de données de gestion des configurations)	Suivi des changements apportés aux systèmes.	Largement déployés dans les entreprises.	Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
Approche locale (manuelle)	Feuilles de calcul, scripts et processus manuels pour gérer la surface d'attaque.	Peu onéreux, voire gratuits (si l'on ne prend pas en compte les heures de travail des ingénieurs IT).	Chronophages et sujets aux erreurs. Ni évolutifs ni en temps réel.
ITAM (Gestion des actifs IT)	Suivi et surveillance du cycle de vie des actifs.	Largement déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.	Traitent uniquement les actifs connus et gérés, en ignorant les actifs inconnus ou non gérés.
Tests d'intrusion (comme les outils de tests d'intrusion automatisés ou les tests d'intrusion en SaaS)	Simulation d'une cyberattaque en identifiant les vulnérabilités de votre réseau et de vos applications.	Exemples de postures de sécurité avec les priorités budgétaires associées.	Traitent uniquement la première phase de la chaîne de cyberdestruction : la reconnaissance. Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.
Red Teaming	Image complète de la posture de cybersécurité de l'entreprise en mettant en scène une simulation de cyberattaque visant les réseaux, les applications, les protections physiques et les collaborateurs.	Va plus loin que les tests d'intrusion, en se concentrant sur les autres phases de la chaîne de cyberdestruction. Va aussi au-delà de la surface d'attaque numérique, en examinant les surfaces d'attaque physique et humaine.	Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.
Intelligence des menaces (Threat Intelligence)	Informations sur les menaces et autres problèmes de cybersécurité.	Informations sur les menaces et les vulnérabilités.	S'adressent aux entreprises dont le niveau de maturité en sécurité est élevé, et ayant du personnel qualifié et d'importantes ressources.
Outils de gestion des vulnérabilités (comme les scanners)	Identification et gestion des vulnérabilités de votre infrastructure et de vos applications.	Déjà déployés dans la plupart des entreprises.	Aucune visibilité des actifs inconnus. Énormes quantités de données.

Même si ces outils ne disposent pas de toutes les fonctions et de tous les avantages d'une solution ASM dédiée, ils ont quand même leur place dans les pratiques IT et de sécurité d'une entreprise.

En fait, les outils CAASM ne fonctionnent pas sans les données des outils de découverte des actifs, d'ITAM, de gestion des vulnérabilités et/ou de gestion des correctifs. De même, l'EASM complète les services d'intelligence des menaces et de tests de sécurité répertoriés ci-dessus.

Comment identifier la surface d'attaque physique de mon entreprise ?

Le premier élément important de la surface d’attaque physique d’une organisation recoupe en partie la surface d’attaque numérique. Il s’agit de la surface d’attaque des postes client, qui regroupe tous les équipements connectés au réseau : ordinateurs de bureau, ordinateurs portables, périphériques mobiles et périphériques IoT. Les outils et les techniques servant à découvrir la surface d'attaque numérique sont également pertinents pour cette catégorie.

Le second élément majeur concerne les bureaux, les centres de données et les autres locaux de l’entreprise. Là encore, certaines techniques utilisées pour la surface d’attaque numérique sont applicables, notamment dans le cadre des tests d’intrusion physique réalisés lors des exercices de red teaming.

Comment identifier la surface d'attaque humaine de mon entreprise ?

L'identification de votre surface d'attaque humaine commence par l'examen de votre organigramme. Toute personne associée à votre entreprise et ayant accès à ses informations sensibles (ou étant en capacité d'empêcher d'autres personnes d'accéder à ces informations) fait partie de votre surface d'attaque humaine. Cela inclut vos collaborateurs (à plein temps et à temps partiel), les membres du conseil d'administration, les sous-traitants, les partenaires, les fournisseurs, les prestataires et éditeurs de logiciels, les intérimaires, etc.

Le Red Teaming, pratique visant à identifier les éléments des surfaces d'attaque numérique et physique, peut aussi servir à identifier un composant majeur de la surface d'attaque humaine : la sensibilité des collaborateurs à l'ingénierie sociale.

En parallèle, l’analyse des affectations de droits et des accès réels reste indispensable pour ne pas se laisser surprendre par des privilèges mal accordés ou des comptes dormants.

J'ai identifié la surface d'attaque de mon entreprise. Et maintenant ?

La découverte de votre surface d'attaque n'est que la première étape vers votre objectif final : la remédiation des vulnérabilités qui présentent le plus de risque pour votre entreprise. Ce processus s'inscrit dans la gestion de l'exposition.

Comme nous l'avons dit, la découverte de la surface d'attaque est l'une des bases de votre stratégie de sécurité : vous ne pouvez pas protéger ce dont vous ignorez l'existence. La gestion de l'exposition intègre un autre pilier essentiel : la détermination de votre appétence au risque. Elle définit le niveau de risque que votre entreprise est prête à accepter pour atteindre ses objectifs. (Vous pouvez vous inspirer de ce modèle personnalisable.)

Maintenant que vous avez géré ces deux aspects fondamentaux, vous pouvez évaluer les vulnérabilités détectées dans votre surface d'attaque. Vous déterminez ainsi l'importance du danger qu'elles représentent pour votre entreprise, et si cela entre dans les limites de votre appétence au risque (ce processus est traité en détail dans notre guide Évaluer objectivement le cyber-risque).

Les vulnérabilités hors du champ de votre appétence au risque doivent être remédiées en priorité, ce qui vous permet de concentrer vos efforts de remédiation là où ils auront le plus d’impact.

Commentaire du Patch Tuesday d'avril

Thu, 22 Apr 2021 20:23:48 Z

Microsoft publie des mises à jour pour l'OS Windows, Office et O365, Exchange Server, Edge (Chromium), Visual Studio, Azure DevOps, Azure AD Web Sign-in, Azure Sphere, ainsi que de nombreux autres composants. Un total de 110 vulnérabilités uniques sont résolues ce mois-ci, notamment une vulnérabilité Zero Day (CVE-2021-28310) et quatre vulnérabilités divulguées publiquement (CVE-2021-28458, CVE-2021-28437, CVE-2021-28312, CVE-2021-27091). 19 de ces CVE sont classées « Critique », mais cela n'inclut pas la vulnérabilité Zero Day Win32k.

Publications Microsoft

Zero Day : Microsoft résout une vulnérabilité Win32k classée Important, qui peut permettre l'élévation de privilèges sur les systèmes Windows 10 (CVE-2021-28310). Même si elle est seulement de niveau « Important », cette vulnérabilité a été détectée lors d'attaques en environnement réel. Le site de détails des exploitations Open Source attackerkb.com montre cette CVE comme réservée et mise à jour pour la dernière fois le 12 mars 2021. Elle pourrait donc avoir été exploitée par des pirates depuis un mois, à ce jour. Cela montre à quel point il est important d'adopter une approche qui définit des priorités sur la base des risques. Si vous établissez votre ordre de priorité sur le niveau de gravité attribué par le fournisseur et que vous ne tenez compte que des CVE marquées « Critique », vous risquez de manquer celle-ci. Heureusement pour les entreprises concernées, cette CVE est incluse dans la mise à jour cumulative Windows 10 ce mois-ci (aux côtés de CVE critiques). L'élargissement de vos mesures de définition des priorités pour inclure des métadonnées de risques (comme le nombre d'exploitations, de divulgations publiques et autres indicateurs) garantit que vous donnez la priorité aux meilleures mises à jour pour les corriger rapidement.

Divulgations publiques : Il existe une vulnérabilité dans Windows Installer, susceptible de mener à la divulgation d'informations : CVE-2021-28437. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette CVE affecte tous les systèmes d'exploitation Windows, en remontant jusqu'à Windows 7 et Server 2008. Les vulnérabilités de divulgation d'informations Windows Installer permettent souvent à un pirate d'obtenir un accès à des informations supplémentaires, qui risquent de compromettre encore davantage le système. Il s'agit d'une CVE de catégorie « Important ». Le code d'exploitation était marqué non prouvé lors de la publication.

Divulgations publiques : Il existe dans le service de mappage de poste client RPC une vulnérabilité susceptible de permettre à un pirate d'élever ses privilèges (CVE-2021-27091). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette CVE affecte les systèmes Windows 7, Server 2008 R2 et Server 2012 les plus anciens. Cette CVE est classée « Important », mais l'on dispose d'un code POC (Proof of Concept - Validation de principe) qui pourrait permettre à un pirate de développer rapidement une exploitation fonctionnelle.

Divulgations publiques : Une vulnérabilité d'élévation des privilèges a été identifiée dans la bibliothèque Azure ms-rest-nodeauth (CVE-2021-28458). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette vulnérabilité a été classée « Important ». Au moment où nous écrivons, aucun autre article ou note de publication n'est lié à cette CVE.

Divulgations publiques : Il existe une vulnérabilité dans Windows NTFS, susceptible de permettre une attaque par déni de service CVE-2021-28312. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette CVE affecte Windows 10 1809, et Server 2019 et supérieur. Cette CVE est seulement considérée comme modérée, mais un code d'exploitation entièrement fonctionnel est disponible. Vous devez traiter cette CVE comme représentant davantage de risques que ne l'implique son niveau de gravité.

Exchange Server : Microsoft Exchange Server bénéficie d'une autre mise à jour ce mois-ci et, d'après les résultats Pwn2Own, il y en aura sans doute d'autres. Les quatre CVE résolues ce mois-ci ont toutes été découvertes par la NSA. Ces quatre CVE sont toutes de niveau « Critique ». À ce jour, aucune n'a fait l'objet d'une exploitation prouvée, mais, après un regain d'activité des exploitations graves visant Microsoft Exchange, l'on peut s'attendre à ce que, si les analystes de sécurité de la NSA trouvent de nouvelles vulnérabilités et que les chercheurs prouvent l'existence de nouvelles exploitations dans le secteur Pwn2Own, les pirates vont aussi tourner autour de Microsoft Exchange pour trouver des failles à exploiter.

Peu d'activité ce mois-ci concernant les mises à jour tierces

Ce mois-ci, Adobe publie quatre mises à jour pour Photoshop, Digital Editions, Bridge et Robohelp, toutes classées Priorité 3. Ces quatre mises à jour résolvent un total de 10 CVE. Toutes, sauf la mise à jour RoboHelp, incluent des CVE critiques.

Le raisonnement sous-jacent pour la définition des priorités Adobe est le suivant : cette mise à jour résout des vulnérabilités dans un produit qui n'a jamais été une cible pour les pirates dans le passé. Adobe recommande aux administrateurs d'installer cette mise à jour, à leur seule discrétion.

C'est l'une des difficultés des scores de gravité attribués par les fournisseurs : comme ces applications sont moins susceptibles d'être ciblées par les pirates, Adobe attribue à leurs vulnérabilités un niveau de priorité plus faible, quels que soient le nombre de vulnérabilités résolues et le danger que représentent ces vulnérabilités. Même si l'histoire justifie l'approche d'Adobe, cela n'exclut pas les risques. Au fil des années, jusqu'à neuf CVE Photoshop ont été exploitées. Les plus récentes sont les CVE de 2015. Parmi ces quatre mises à jour, Photoshop présente le plus de risques. Mais elles ont toutes un niveau de risque faible et peuvent être appliquées au cours des sessions de maintenance régulières.

Priorités ce mois-ci :

De nombreuses vulnérabilités sont résolues ce mois-ci. La bonne nouvelle, c'est que la plupart concernent l'OS, y compris la Zero Day et trois des quatre vulnérabilités divulguées publiquement. En traitant rapidement l'OS, vous éliminerez une bonne partie des risques du mois. Vos principales priorités ce mois-ci doivent être l'OS Windows, Edge (Chromium) et Exchange Server.

Restez vigilant

Le challenge Pwn2Own du projet Zero Day Initiative s'est terminé la semaine dernière. Les conséquences de cet événement devraient se produire dans les 90 jours qui suivent, car les fournisseurs disposent de ce délai pour traiter les vulnérabilités exploitées pendant l'événement avant qu'elles ne deviennent publiques. Comme cela va donner lieu à des publications dans les mois à venir, vous devez les surveiller et les résoudre le plus rapidement possible. Produits concernés :

Zoom : Il s'agit probablement de l'exploitation la plus vicieuse signalée lors de la compétition. Il suffit pour exploiter la vulnérabilité qu'un utilisateur participe à une réunion. Aucune autre opération de la part de l'utilisateur n'est nécessaire. Zoom signale qu'il a déjà apporté des changements côté serveur pour limiter cette vulnérabilité, mais l'on s'attend à ce qu'il effectue d'autres modifications pour mieux se protéger de cette attaque.
Microsoft Exchange a été entièrement submergé par une combinaison de contournement de l'authentification et d'escalade des privilèges locaux. Attendez-vous à un correctif pour Exchange Server et sans doute pour l'OS dans les mois à venir, pour corriger cette vulnérabilité. Avec les récentes attaques Zero Day visant Exchange Server, Microsoft va sûrement réagir très rapidement... et les pirates réagiront sans doute eux aussi pour reprendre l'avantage.
Microsoft Teams a été visé par l'exploitation d'une paire de vulnérabilités permettant aux chercheurs d'exploiter du code dans Microsoft Teams.
Comme toujours, les navigateurs sont des cibles de choix. Prévoyez des mises à jour de sécurité pour Chrome et Microsoft Edge (Chromium) avec le moteur JavaScript v8, et pour un débordement d'entier dans Safari, qui permet une écriture hors limites en vue d'obtenir l'exécution de code de niveau noyau.
Parallels Desktop a souvent été ciblé dans la catégorie Virtualisation, et deux exploitations incluant de multiples failles ont réussi.
Concernant les systèmes d'exploitation, Windows 10 et Ubuntu ont tous deux été exploités avec succès, les deux fois pour escalader les privilèges : d'utilisateur à Système sous Win 10 et d'Utilisateur standard à root pour Ubuntu.

Le secteur tend à instaurer un SLA de 14 jours pour la correction des vulnérabilités. Qu'attendez-vous ?

Thu, 29 Oct 2020 17:44:29 Z

Les pirates agissent très vite. On ne connaît même pas le nombre des ennemis qui agissent dans l'ombre, guettant la prochaine vulnérabilité à exploiter. Ils trouvent parfois une vulnérabilité qui n'a pas été identifiée par les chercheurs au chapeau blanc ou par les fournisseurs, ce qui résulte en une exploitation « Zero Day ». Cependant, le plus souvent, ils guettent les divulgations publiques et les mises à jour des fournisseurs pour identifier les changements apportés au code. C'est là que la course commence. Ils essaient de créer une exploitation fonctionnelle avant que les entreprises du monde entier n'aient corrigé les vulnérabilités.

Plusieurs exemples récents montrent à quelle vitesse les pirates agissent :

BlueKeep (CVE-2019-0708) : Cette vulnérabilité, qui a fait tant de bruit car on voyait en elle la prochaine attaque WannaCry potentielle, a été résolue le 14 mai 2019. En raison de sa notoriété, nous avons pu voir le développement des exploitations en action, car plusieurs équipes de recherche indépendantes ont conçu des exploitations opérationnelles en seulement 14 jours (dès le 28 mai 2019, plusieurs vidéos POC (Proof of Concept) montraient une exploitation complète de cette vulnérabilité). Les pirates n'ont pas utilisé ces exploitations immédiatement, mais on a vu un grand nombre d'utilisations actives en minage de cryptomonnaie.
ZeroLogon (CVE-2020-1472) : Cette vulnérabilité de NetLogon a été résolue par la mise à jour du 11 août 2020. Cette résolution a nécessité des changements dans le mode de fonctionnement de NetLogon, si bien que Microsoft a déployé la mise à jour en corrigeant la vulnérabilité mais en mettant le changement en mode Audit pour commencer. Microsoft a annoncé une application de ce changement dans les publications du Patch Tuesday de février 2021, mais les entreprises pouvaient l'appliquer plus rapidement si elles étaient prêtes, en modifiant un paramètre de registre. Le 15 septembre 2020, des POC ont été annoncés et, le 18 septembre, le Department of Homeland Security – la sécurité intérieure des Etats-Unis – a publié une directive d'urgence (Emergency Directive 20-04) qui conseillait aux agences gouvernementales de déployer et d'appliquer la mise à jour dès le lundi suivant, le 21 septembre 2020. Il s'avère que cette urgence était justifiée, puisque les premières exploitations sur le terrain ont été détectées avant la fin du mois de septembre.

.Net\SharePoint RCE Flaw (CVE-2020-1147) : Initialement résolue lors du Patch Tuesday du 14 juillet. Dès le 21 juillet, du code d'exploitation POC circulait. Cette mise à jour a été publiée une nouvelle fois pour le Patch Tuesday d'octobre.

Dans ces trois cas, le délai entre publication et mise à disposition du code d'exploitation est compris entre 14 et 28 jours. Cela concorde avec les résultats du 2016 Data Breach Investigations Report de Verizon, qui montre que 50 % des exploitations se produisent dans les quatre semaines qui suivent la publication par le fournisseur. Les résultats du rapport « Zero Days, Thousands of Nights », publié par RAND Corporation, montrent que le délai moyen d'exploitation d'une vulnérabilité est de 22 jours. Sur la base de ces preuves, il est recommandé de cibler un SLA de correction des vulnérabilités de 14 jours maximum. Et cela nous amène à d'autres difficultés.

Pourquoi un SLA de 14 jours est-il difficile à mettre en place ?

Des solutions de gestion des vulnérabilités et des correctifs sont disponibles sur le marché depuis plus de dix ans, et ce sont des solutions relativement matures. Les technologies servant à identifier, préparer, traiter et signaler rapidement l'état des vulnérabilités présentent peu de difficultés.

Les plus grands défis sont notamment le fait que le processus de correction des vulnérabilités implique plusieurs équipes et jeux de technologies. Ce processus est truffé d'étapes manuelles, de tests et d'impacts opérationnels, et de problèmes de communication de base qui provoquent des délais. Je peux vous citer sans trop réfléchir un grand nombre d'entreprises qui ont réussi à appliquer des SLA de 14 jours maximum pour la correction des vulnérabilités. Certaines sont de grandes entreprises de fabrication, de vente, etc. Qu'ont-elles fait pour y parvenir, puisqu'elles utilisent les mêmes technologies que d'autres entreprises, dont le cycle est toujours de 30 jours ?

Les 4 principaux défis de la correction des vulnérabilités :

Combler le fossé entre sécurité et opérations IT : Soyons honnêtes. Il n'est pas fréquent que les équipes Sécurité et Opérations « s'entendent » réellement. L'équipe Sécurité parle de risques et de CVE, alors que l'équipe Opérations parle de fonctionnement et de correctifs. La résolution d'une CVE a un impact opérationnel, parce que le correctif peut endommager quelque chose. Cela entraîne de nombreuses difficultés pour l'équipe Opérations. Lorsque les opérations quotidiennes empêchent la résolution rapide des problèmes de sécurité et qu'un incident se produit, cela provoque de nombreuses difficultés pour l'équipe Sécurité.
La définition de priorités en fonction des risques est essentielle pour résoudre d'abord les bonnes vulnérabilités : Très souvent, le niveau de gravité défini par le fournisseur et le score CVSS ne reflètent pas ce qui est le plus urgent. On compte de nombreux exemples de résolution d'un « Zero Day », alors que la gravité fournisseur est seulement « Important » et que le score CVSS est de 7,0, voire moins. Des mesures et métadonnées supplémentaires sont nécessaires pour s'assurer que les éléments les plus dangereux sont corrigés. Par exemple, quelles sont les vulnérabilités activement exploitées ?
Connaître la fiabilité des mises à jour : Retour au SLA de correction des vulnérabilités et au délai d'application des correctifs. L'un des plus grands obstacles qui empêchent d'agir rapidement est l'incapacité à faire des tests efficaces. Les administrateurs ont deux options : 1) Essayer de mettre leurs tests à l'échelle pour garantir qu'ils n'ont pas d'impact opérationnel. - ou - 2) Laisser jouer le temps dans leur processus de tests, les choses se résoudront d'elles-mêmes si l'on attend assez longtemps. Le problème, c'est que les pirates adorent ça, lorsque vous attendez. Je vous ai parlé du rapport RAND qui a montré que la durée de vie moyenne d'une exploitation est de sept ans ? Apparemment, certains problèmes n'ont pas été résolus pendant très longtemps... autant de fruits défendus à portée de main pour les pirates.
Conformité des correctifs : Les rapports de conformité sont très variés, mais la plupart vérifient l'heure d'ouverture de votre fenêtre de maintenance, pas la date initiale de publication de la mise à jour. Microsoft, Adobe et Oracle publient la plupart des mises à jour de sécurité à des dates régulières et prévisibles, mais Google, Apple, Mozilla et de nombreux autres ne le font pas. Le suivi de la conformité d'une vulnérabilité nécessite de se concentrer sur un niveau plus granulaire pour tenir compte de la nature des logiciels actuels, distribués en continu.

Si la fiabilité des correctifs, la définition de priorités en fonction des risques et la conformité des correctifs sont des défis qui vous empêchent de respecter un SLA de 14 jours pour la correction des vulnérabilités, il vous faut peut-être une expérience plus performante que votre solution actuelle de gestion des correctifs. Ivanti® Neurons for Patch Intelligence a été spécialement conçu pour relever ces défis. Découvrez-le dès maintenant.

Faire évoluer votre stratégie de sécurité vers l'autosécurisation

Wed, 29 Jul 2020 07:00:03 Z

Les pirates agissent vite. Ils sont agiles et saisissent sans attendre les opportunités qui s'ouvrent à eux. La pandémie de COVID a changé notre façon de travailler et de gérer nos utilisateurs et nos environnements. Les pirates aussi ont changé de méthodes et se sont très rapidement adaptés à cette nouvelle réalité. Dans un rapport publié en avril dernier, ZScaler révèle que les attaques sur le thème du COVID ont augmenté de +30 000 % entre janvier et mars cette année. En seulement quelques mois, les pirates ont radicalement modifié leurs tactiques pour tirer parti de l’opportunité. Voilà une agilité que beaucoup d’entre nous ne peuvent qu'envier.

Selon une étude de RAND, les pirates sont capables d'exploiter une vulnérabilité sous 22 jours en moyenne et la plupart des exploitations ont une durée de vie de 7 ans. Un rapport annuel de Recorded Futures, qui répertorie les vulnérabilités les plus souvent exploitées en 2019, confirme ce phénomène. La plupart des exploitations s'appuient sur des vulnérabilités qui existent déjà depuis un moment.

Comment contrer un tel niveau d'agilité et d'adaptabilité chez les pirates ? En nous adaptant aussi. Nous devons nous orienter vers une stratégie d'autosécurisation. Certes, les pirates gagnent en sophistication. Mais, à la racine de cette sophistication, on trouve la même exécution tactique que celle déjà appliquée depuis des années : reconnaissance, exploitation des vulnérabilités, persistance, déplacement latéral, exfiltration/cryptage des données. Les pirates agissent toujours de la même façon, mais avec plus d’automatisation et des fonctions plus riches.

Qu'entendons-nous par autosécurisation ? En analysant les méthodes des pirates, et en faisant appel à l'automatisation et au machine learning, nous pouvons réagir plus rapidement aux menaces réelles. Cette approche adaptative de la sécurité comprend trois volets. Détection, définition des priorités et correction.

Détection

Découvrez ce que contient votre environnement. Détectez les logiciels et les configurations en cours d'exécution, et lancez des analyses des vulnérabilités. Effectuez une surveillance en continu des changements, des nouveaux périphériques qui se connectent et des changements d'état des périphériques de votre environnement.

Définition des priorités

Définissez des priorités en fonction des risques, pour identifier les éléments activement exploités et réagir rapidement au niveau de risque le plus élevé. Utilisez les algorithmes prédictifs pour anticiper les changements et les menaces, et suivez leurs conseils sur les prochaines étapes à suivre.

Filtrez les informations parasites : il y a toujours bien trop de données et bien trop de menaces pour pouvoir tout gérer, mais un tri peut être fait pour ne conserver que les opérations critiques et atténuer ainsi rapidement les risques les plus élevés.

Correction

L'aspect le plus critique de ce processus, c'est l'action. Il ne sert à rien d'identifier des milliers ou des dizaines de milliers de menaces si aucune mesure n'est prise pour les éliminer.

Soyez proactif : comme nous l'avons dit plus haut, les pirates agissent vite. Nous devons être proactifs dans nos réponses. Des risques prioritaires peuvent rapidement apparaître et devront être traités en premier. Si vous connaissez les vulnérabilités activement exploitées, vous pouvez optimiser vos efforts de correction.
Adaptez-vous : vos fonctions de correction (et d'évaluation) doivent être capables de s'adapter à l'environnement et aux circonstances. La pandémie de COVID nous a montré pourquoi c'était nécessaire. Avec le passage soudain au télétravail, il est indispensable que nos capacités de sécurité suivent le rythme. Qu'il s'agisse de Clouds publics ou privés, de systèmes serveur sur site ou hors site, de périphériques d'entreprise ou en BYOD (Bring Your Own Device), il faut nous assurer que nous pouvons gérer les menaces dans notre environnement et y réagir.
Enfin, parlons de l'automatisation. Les pirates automatisent de plus en plus leurs attaques. Ils peuvent ainsi agir vite et à grande échelle. Nous devons automatiser notre réponse. En automatisant les étapes, en réduisant le délai entre deux étapes et en supprimant l'intervention humaine chaque fois que possible, vous réduisez les délais de réponse et évitez les erreurs.

Le plus important à garder à l'esprit, c'est que l'autosécurisation ne signifie pas que l'être humain est éliminé de l'équation. Il s'agit d'automatiser en priorité les activités qui peuvent l'être, de générer les données analytiques nécessaires pour prendre rapidement des décisions et de définir la priorité des actions, pour que les analystes les approuvent et réagissent vite aux menaces urgentes, qui (nous l'avons dit) peuvent être automatisées.

Pour en savoir plus sur l'autosécurisation, visitez le site www.ivanti.fr/neurons