LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Transcription

1 Mise en œuvre d un programme efficace de gestion des vulnérabilités

2 Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace de gestion des vulnérabilités 4 Identification et gestion des ressources 4 Identification des vulnérabilités 4 Gestion continue des vulnérabilités 4 Évaluation du risque 5 Gestion des changements 5 Gestion des correctifs 5 Gestion de l atténuation des risques 5 Réponse aux incidents 5 Automatisation 5 KPI pour l amélioration de la gestion des vulnérabilités 6 Résumé 6 À propos de Tenable Network Security 6 2

3 Les défis de la gestion des vulnérabilités Les informations deviennent rapidement l un des biens les plus précieux pour bon nombre d entreprises. Alors que la valeur de ces informations augmente, il en va de même de leur attrait pour les criminels et autres pirates. Toutefois, contrairement à d autres biens de valeur tels que l argent, les informations sont rarement enfermées dans un grand coffre-fort facile à protéger. Bien au contraire, les informations sont dispersées sur de nombreux systèmes, réseaux et équipements, et sont ainsi exposées à un risque plus élevé d attaque. Cette dépendance croissante par rapport aux informations et à l infrastructure informatique sous-jacente chargée de les traiter entraîne une myriade de défis à relever pour assurer la sécurité de ces réseaux, systèmes et données. Les nombreuses entreprises soucieuses de protéger leurs réseaux doivent faire face à des menaces de plus en plus sophistiquées. Ces menaces prennent des formes très diverses : vers et virus informatiques, pirates traditionnels qui tentent de nuire à l intégrité d un système, militants en ligne qui cherchent à défendre leur cause, criminels qui monnayent les données et systèmes compromis et même espions commandités par des entreprises ou des gouvernements en quête d informations de valeur. Les outils et techniques employés peuvent présenter différents niveaux de sophistication et de capacité. Toutefois, quelle que soit leur complexité, ces menaces exploitent toujours un point faible : correctifs non appliqués, mots de passe trop simples, configuration erronée des systèmes ou autres vulnérabilités présentes. Étant donné le rythme de changement sur de nombreux réseaux d entreprise et la diversité des logiciels souvent employés, il y a de très fortes probabilités que des pirates détectent une faille quelque part. En plus de combattre ces menaces, les entreprises doivent également veiller au respect du cadre réglementaire applicable à leur activité. Certaines de ces réglementations, telles que la norme PCI DSS, imposent une évaluation régulière des vulnérabilités. L approche classique de la gestion des vulnérabilités consiste à analyser les systèmes et les applications à intervalles définis afin de détecter les éventuelles faiblesses. Les analyses peuvent ainsi être annuelles, trimestrielles voire mensuelles. L inconvénient de cette approche est que l entreprise a seulement une visibilité sur les vulnérabilités détectées à ces moments précis. Mais les réseaux sont rarement statiques et la plupart sont en constante évolution. De nouveaux serveurs, nœuds ou applications sont en permanence ajoutés, retirés, changés ou mis à niveau. Par ailleurs, les systèmes qui sont hors ligne ou non connectés au réseau (équipements portables et machines virtualisées, par exemple) au moment de l analyse de vulnérabilités ne sont pas pris en compte. Pour compliquer encore les choses, de nouvelles vulnérabilités sont constamment détectées au niveau des systèmes d exploitation et applications installés sur le réseau. Par conséquent, les entreprises qui adoptent l approche classique de la gestion des vulnérabilités ont une vision incomplète des vulnérabilités qu elles doivent gérer. Ce qu il leur faut, c est un programme complet de gestion continue des vulnérabilités étroitement intégré avec d autres processus essentiels de sécurité opérationnelle, tels que la gestion des ressources, la gestion des correctifs et la réponse aux incidents. Identification des principales faiblesses L adjectif «vulnérable» signifie être exposé à des risques d attaque ou de dommage. Un programme efficace de gestion des vulnérabilités doit donc envisager différentes méthodes pour réduire l exposition des systèmes aux risques. Pour cela, il ne faut pas se contenter d analyser les systèmes et de réagir aux résultats, mais il faut avoir une vue plus complète sur la façon de gérer les vulnérabilités. Cela nécessite une stratégie de gestion continue qui tient compte de tous les facteurs de risque potentiels et les intègre dans d autres processus pour remédier efficacement aux problèmes détectés. Il existe un certain nombre de facteurs susceptibles de faire courir un risque aux systèmes et qu il est donc nécessaire de gérer. En voici quelques-uns : Logiciels : Tous les logiciels ont des bogues par nature. Certains de ces bogues peuvent ne jamais être détectés et les logiciels peuvent continuer à fonctionner parfaitement. D autres bogues peuvent engendrer des problèmes de performance ou d ordre visuel. Certains bogues entraînent cependant des failles de sécurité qui, si elles sont exploitées, peuvent avoir un impact sur la confidentialité, l intégrité ou la disponibilité de ces logiciels ou des données du système. La plupart des éditeurs publient régulièrement des mises à jour de leurs logiciels pour corriger ces bogues. La mise à jour continue des logiciels avec les dernières versions est essentielle pour assurer la sécurité des systèmes. Pour renforcer la sécurité d un réseau, il est important de bénéficier en permanence d un retour d informations sur les vulnérabilités présentes au sein du réseau. Mise en œuvre et configuration : L une des autres mesures importantes pour la sécurisation des systèmes est de vérifier que leur mise en œuvre et leur configuration ont été correctement exécutées. Toutefois, certains systèmes peuvent ne pas être configurés de façon sécurisée ou leur configuration peut changer suite à la maintenance continue ou à des opérations de dépannage. Les causes peuvent être diverses : exécution de services non sécurisés, utilisation des mots de passe par défaut ou de mots de passe trop simples, ou désactivation des fonctions de diagnostique sur un système de production. Changements : La nature des systèmes informatiques modernes est de changer régulièrement. Ces changements peuvent être le résultat d une activité planifiée (mise à niveau par exemple), de l ajout de nouvelles fonctionnalités, ou aider à résoudre un problème. Toutefois, si ces changements ne sont pas gérés correctement, ils peuvent introduire des vulnérabilités dans l environnement. Pour résoudre ces problématiques de sécurité, il est important de connaître en permanence l état de ces systèmes et d être en mesure de détecter et d identifier rapidement toute nouvelle vulnérabilité. 3

4 Facteur humain : L un des éléments clés souvent négligés lors de la sécurisation d un réseau est le facteur humain. La plupart des utilisateurs considèrent simplement les ordinateurs, les applications et les réseaux comme des outils utiles à l exécution de leurs tâches. Toutefois, s ils n ont pas reçu une formation correcte pour l utilisation sécurisée des systèmes, ils peuvent mettre en péril la sécurité de ces derniers. Ils sont susceptibles d utiliser des mots de passe trop simples, de désactiver les logiciels de sécurité pour améliorer les performances de leur ordinateur, d installer des logiciels provenant d une source non autorisée ou de changer la configuration de leur PC en fonction de leurs besoins. La surveillance régulière des systèmes clés peut permettre d identifier les vulnérabilités potentielles. Une faille de sécurité est bien souvent attribuable à une vulnérabilité découlant de l échec d un contrôle individuel dans un ou plusieurs des domaines ci-dessus sans aucun autre contrôle en place pour surveiller, détecter et/ou pallier cette défaillance. Un programme complet de gestion des vulnérabilités doit surveiller en permanence l échec d un contrôle et prévoir des moyens d alerte et de correction des vulnérabilités qui en résultent. Développement d un programme efficace de gestion des vulnérabilités Des initiatives telles que les pratiques BYOD (Bring Your Own Device - utilisation du matériel personnel), la virtualisation et l adoption des services de cloud ont abouti à un environnement informatique en constante mutation et évolution dans de nombreuses entreprises. Cette évolution permanente, associée à une sophistication accrue des menaces pesant sur la sécurité de ces systèmes, impose aux entreprises d adopter un système de défense flexible. L exécution d analyses de vulnérabilités périodiques à un instant T ne suffit plus à maintenir un niveau de sécurité adéquat dans les entreprises. Pour détecter les menaces de façon proactive et y répondre efficacement, les entreprises doivent mettre en œuvre un programme de gestion continue des vulnérabilités, intégré avec d autres processus de sécurité clés. Cela permet de détecter précocement les vulnérabilités de manière à ce que les autres processus, comme la gestion des correctifs, puissent protéger l entreprise contre toute faille potentielle. Les processus à intégrer avec le programme de gestion des vulnérabilités sont notamment les suivants : Identification et gestion des ressources Pour pouvoir sécuriser une ressource, il est important de savoir que cette ressource existe et de connaître sa nature et l endroit où elle se trouve. Par conséquent, l une des premières mesures essentielles pour la sécurisation d un réseau consiste à identifier toutes les ressources résidant sur ce réseau. Ces ressources incluent l ensemble des éléments constituant l environnement informatique : routeurs, commutateurs, serveurs, pare-feu, imprimantes, systèmes d exploitation, logiciels système et logiciels applicatifs. Les relations et dépendances entre les diverses ressources doivent également être identifiées et enregistrées. Il est alors possible de déterminer le chemin qu un pirate est susceptible d emprunter pour nuire à l intégrité d une ressource. Cela permet d évaluer la gravité des vulnérabilités identifiées par rapport à une ressource. La ressource vulnérable a peut-être une faible valeur pour l entreprise, mais une ressource sensible peut y être connectée, ce qui aurait alors un impact sur la manière de gérer cette vulnérabilité. L identification et l enregistrement des ressources qui se connectent ou se déconnectent du réseau permettent d avoir une vue cohérente de toutes les vulnérabilités. Si le réseau d une entreprise est statique, avec des équipements qui ne sont pas régulièrement connectés ou déconnectés, il est possible d enregistrer manuellement ces équipements. Toutefois, la plupart des réseaux sont dynamiques et des équipements tels que des ordinateurs portables sont régulièrement connectés et déconnectés. Dans ce cas, il est nécessaire d employer des méthodes de détection automatique des équipements qui se connectent au réseau. Il est ainsi possible d utiliser un système de contrôle d accès réseau pour gérer les équipements qui se connectent au réseau. Une autre méthode pour identifier les ressources connectées au réseau consiste à consulter les journaux stockés sur les serveurs DHCP du réseau afin de déterminer les équipements auxquels une adresse IP a été affectée. Un examen régulier des journaux des serveurs DNS permet également d identifier les équipements cherchant à communiquer sur le réseau. Identification des vulnérabilités Pour déterminer la meilleure façon de sécuriser une ressource, il est important de connaître les vulnérabilités qu elle présente, ainsi que leur gravité. L existence de vulnérabilités sur un équipement ou une ressource peut être due à des correctifs non appliqués, à des logiciels anciens, à des mots de passe trop simples ou à des configurations incorrectes. La facilité avec laquelle la vulnérabilité détectée peut être exploitée ou les dommages que l exploitation de cette vulnérabilité pourrait causer déterminent sa gravité. Gestion continue des vulnérabilités Comme nous l avons déjà évoqué, une analyse de vulnérabilités à un instant T qui est exécutée à intervalles réguliers offre une vision limitée des risques potentiels en matière de sécurité. Les nouvelles vulnérabilités introduites suite à la découverte de nouveaux bogues logiciels, à l ajout de nouveaux équipements sur le réseau ou à des changements intervenus sur les systèmes ne seront pas détectées avant la prochaine analyse. Si l intervalle entre deux analyses est trop long, ces systèmes courent alors un risque tant que ces vulnérabilités n ont pas été identifiées et corrigées. Par ailleurs, des analyses de vulnérabilités trop épisodiques peuvent aboutir à un nombre important de vulnérabilités à gérer après chaque analyse. Dans certains cas, le volume même des vulnérabilités détectées suite à une analyse peut décourager les entreprises à prendre toute mesure corrective. Les entreprises peuvent utiliser des fonctions d analyse continue ou mettre en place des analyses à des fréquences très élevées pour identifier rapidement toute nouvelle vulnérabilité. Cela permet également de réduire le nombre de vulnérabilités à gérer et donc d augmenter les chances qu elles soient corrigées. 4

5 Évaluation du risque Les équipements et les ressources ne nécessitent pas tous le même niveau de sécurité. Ce sont la valeur que l entreprise leur accorde et leur degré de vulnérabilité qui déterminent les mesures à prendre pour les protéger. Le risque est souvent décrit comme l impact qu un événement aurait si celui-ci devait se produire. Les vulnérabilités sont les facteurs contribuant à la survenue d un événement. Un mot de passe trop simple risque d être facilement deviné et de donner un accès non autorisé au système. Si un correctif n a pas été appliqué sur un serveur Web, un pirate peut exploiter cette vulnérabilité pour accéder à ce dernier. Pour prendre des décisions de gestion avisées sur les niveaux de risque auxquels sont exposées les informations d une entreprise, celle-ci doit disposer rapidement de données détaillées et précises sur les vulnérabilités existantes. L adoption d une stratégie de gestion continue des vulnérabilités permet d accéder rapidement aux données nécessaires à un processus efficace de gestion des risques. Gestion des changements Des changements se produisent régulièrement sur de nombreux réseaux et systèmes. Les logiciels sont mis à niveau, du matériel est ajouté ou retiré, et les applications sont mises à jour en permanence. Chaque changement est susceptible d introduire de nouvelles vulnérabilités ou de nouveaux problèmes qui peuvent mettre à mal la sécurité d une entreprise. L intégration de la gestion des changements avec le processus de gestion continue des vulnérabilités garantit l identification et la résolution des problèmes de sécurité potentiels à un stade précoce. Gestion des correctifs Un programme efficace de gestion des vulnérabilités doit être étroitement intégré avec les processus de gestion des correctifs et des versions, de manière à garantir l application des mises à jour logicielles aux systèmes et ressources en fonction de leur importance pour l entreprise. Les informations recueillies par le programme de gestion des correctifs doivent être transmises au programme de gestion des vulnérabilités en vue de l enregistrement des vulnérabilités corrigées. Le processus de gestion des correctifs doit également être intégré avec le processus de gestion des changements pour garantir l application des versions et mises à jour logicielles de façon contrôlée. Il est également important que le processus de gestion des vulnérabilités analyse les systèmes après toute mise à jour pour s assurer que cette dernière a été correctement appliquée et qu elle corrige la vulnérabilité identifiée. Gestion de l atténuation des risques Un aspect souvent ignoré dans le cadre d un programme efficace de gestion des vulnérabilités est la façon de gérer une vulnérabilité si aucune mise à jour logicielle ou aucun correctif n est disponible pour la corriger. Il y a toujours un décalage entre le moment auquel une vulnérabilité est détectée et le moment où le correctif permanent nécessaire est mis à disposition par l éditeur. Par conséquent, les ressources d une entreprise peuvent courir plus de risques tant que le correctif n est pas disponible. Un programme efficace de gestion des vulnérabilités doit identifier les autres solutions possibles pour gérer de tels risques, par exemple un changement des règles de pare-feu, le renforcement de la surveillance des journaux ou la mise à jour des signatures d attaques IDS, jusqu à la mise à disposition d un correctif par l éditeur. Réponse aux incidents L efficacité de la sécurité des systèmes d une entreprise dépend de l efficacité avec laquelle cette dernière réagit à une faille de sécurité. Une réponse rapide à un incident de sécurité peut considérablement réduire son impact sur l entreprise. Toutefois, de nombreuses entreprises considèrent la réponse aux incidents comme une fonction qu il faut uniquement utiliser en cas de faille de sécurité. Le paysage actuel des menaces nécessite une approche plus proactive de la réponse aux incidents avérés et potentiels. Alors que la découverte d une vulnérabilité critique ne signifie pas obligatoirement une faille de sécurité exploitée, la notification du problème au processus de réponse aux incidents peut procurer un certain nombre d avantages. Tout d abord, elle permet à l équipe de réponse aux incidents de mieux se préparer. Par ailleurs, cette même équipe peut ainsi s assurer de la mise en place des outils et des dispositifs de surveillance de la sécurité appropriés pour apporter la réponse qui convient. Durant un incident, il peut également s avérer nécessaire d intégrer le processus de gestion des vulnérabilités de manière à analyser les systèmes en vue de la détection de vulnérabilités potentielles à inclure ou à exclure comme points de compromission éventuels. Par ailleurs, ce processus peut aider l équipe de réponse aux incidents à identifier toute autre vulnérabilité potentielle susceptible d être exploitée par les pirates pour nuire à l intégrité des systèmes. Automatisation L automatisation est la clé d un programme réussi de gestion des vulnérabilités. Les solutions de sécurité sont souvent considérées comme un moyen de bloquer ou de prévenir une faille de sécurité. Cependant, cela ne se vérifie pas souvent dans la réalité. Selon l instigateur ou la méthode employée pour attaquer le système, les diverses solutions de sécurité peuvent simplement servir de ralentisseurs et ne faire que retarder le pirate dans l accomplissement de son acte. Le facteur temps a donc une importance capitale dans la détection, l évaluation et la correction des vulnérabilités. Un autre élément plaidant en faveur de l automatisation est le volume de données qu il peut être nécessaire de traiter. Cela dépend de la taille et de la complexité de l environnement géré, mais sur de nombreux réseaux de grande taille, des équipements sont ajoutés ou retirés en permanence. Le traitement manuel de quantités importantes de données prend un temps considérable et peut engendrer des erreurs. La dernière raison justifiant l automatisation est la limitation de l aspect humain dans le processus, et donc du risque d erreur humaine. 5

6 KPI pour l amélioration de la gestion des vulnérabilités Un programme efficace de gestion des vulnérabilités nécessite une attention constante. Selon un proverbe célèbre dans le monde du management, «vous ne pouvez pas gérer ce que vous ne pouvez pas mesurer». Cela s applique également à l exécution d un programme de gestion des vulnérabilités. Pour savoir si le programme est efficace ou pour identifier les points susceptibles d être améliorés, il est important de disposer d indicateurs clés de performances (KPI) afin de mettre en évidence les défaillances du programme et les domaines où concentrer les efforts et les ressources. Les KPI applicables à une entreprise varient considérablement en fonction d un certain nombre de critères tels que la taille de l entreprise, son secteur d activité, le type de systèmes utilisés et la localisation de ses systèmes. Voici quelques-uns des KPI les plus courants : Nombre de vulnérabilités par éditeur : Ce KPI peut s avérer utile pour identifier les éditeurs qui ne sont pas réputés comme fournisseurs de solutions sécurisées. Si un éditeur enregistre un nombre important de vulnérabilités, cela peut indiquer un problème de contrôle qualité dans ses processus de développement. Cette information peut être utile lors du choix de nouvelles solutions car les éditeurs ayant connu un grand nombre de vulnérabilités, notamment si elles sont de nature critique, peuvent être classés à un niveau de risque plus élevé que ceux ayant enregistré un nombre moindre. Nombre de vulnérabilités par produit : Ce KPI peut être un bon indicateur de l endroit où résident la plupart des vulnérabilités et du type de produit concerné. Il peut ensuite servir à allouer les ressources appropriées pour renforcer la sécurité de ce produit. Il peut également être utilisé pour identifier des solutions plus adaptées en remplacement des produits affectés. Caractère vieillissant des vulnérabilités : Ce KPI peut servir à mesurer l efficacité du programme de gestion des correctifs. Dans l idéal, ce KPI peut être encore décomposé selon le niveau de gravité des vulnérabilités. Il peut être utile de connaître le laps de temps généralement nécessaire pour appliquer un correctif à une vulnérabilité lors de la détermination de l exposition d une entreprise à une nouvelle vulnérabilité annoncée et des mesures à prendre pour réduire ce risque. Pourcentage de systèmes analysés : Les réseaux sont par nature des environnements instables, avec des systèmes et des équipements qui se connectent et se déconnectent très régulièrement. Lorsqu une analyse de vulnérabilités est réalisée, rien ne garantit que tous les équipements seront pris en compte. Il peut être utile de connaître le pourcentage du parc informatique de l entreprise qui a été analysé pour décider si les analyses doivent être lancées plus régulièrement, à des moments différents ou si d autres méthodes d analyse plus efficaces doivent être employées. Nombre de vulnérabilités dans le temps : La surveillance du nombre de vulnérabilités dans le temps est un autre KPI important. Dans l idéal, le nombre de vulnérabilités détectées au fil du temps doit s orienter à la baisse, ce qui prouve l efficacité du programme de gestion des vulnérabilités. Résumé En raison de la volatilité du paysage des menaces d aujourd hui, de la complexité croissante des systèmes informatiques et des réseaux dans les entreprises et de la rapidité de changement, une gestion efficace des vulnérabilités est un élément critique pour la sécurisation de ces réseaux, systèmes, applications et données. La gestion des vulnérabilités doit évoluer : elle ne doit plus simplement être un exercice programmé pour s exécuter quelques jours par an, mais devenir un processus continu permettant d identifier les problèmes potentiels de manière proactive. Il est également important de s assurer que le processus de gestion des vulnérabilités est étroitement intégré avec d autres processus et que ces processus complètent et renforcent leurs capacités mutuelles. En particulier, l aptitude à détecter les nouvelles ressources sur le réseau et à les analyser rapidement pour identifier les vulnérabilités et menaces éventuelles est un aspect essentiel. En raison du volume de données à traiter, l automatisation des différents processus et de leurs interdépendances est vitale pour maintenir un niveau de sécurité approprié dans l entreprise. La gestion continue des vulnérabilités est un processus de plus en plus incontournable pour assurer la sécurité des systèmes de l entreprise. La question n est plus de savoir s il faut ou non mettre en œuvre un programme de gestion continue des vulnérabilités, mais plutôt de décider à quel moment le mettre en place. À propos de Tenable Network Security Plus de organisations, dont le Département américain de la Défense et un nombre important de grandes entreprises et d administrations à travers le monde, font appel à Tenable Network Security pour garder une longueur d avance sur les vulnérabilités émergentes, les menaces et les risques liés à la conformité. Ses solutions Nessus et SecurityCenter continue a definir la référence pour l identification des vulnérabilités, la prévention des attaques et la conformité avec une multitude d exigences réglementaires. Pour plus d informations, visitez le site SIÈGE INTERNATIONAL Tenable Network Security Corporate Head office amer@tenable.com EMEA Head office emea@tenable.com +44 (0) APAC Head Office apac@tenable.com 6