Aussi bon soit-il, tout système informatique est potentiellement porteur de vulnérabilités. Passer le patch dès qu’il est disponible ou mettre en place une stratégie de protection est désormais impératif car toute vulnérabilité non corrigée est potentiellement exploitable par un attaquant. Le défi reste d’étendre ces bonnes pratiques à l’échelle du système d’information dans son entièreté.
L’édition 2023 du rapport « Cloud Threat Report » rédigé par la cellule Unit 42 de Palo Alto Networks nous apprend que 63 % des bases de code en production présentent des vulnérabilités classées élevées ou critiques, dont l’indice de sévérité (CVSS) est supérieur ou égal à 7. Or 51 % de ces vulnérabilités non corrigées sont vieilles de plus de 2 ans !
Pour les applications Cloud accessibles depuis Internet, 11 % des ressources exposées dans le Cloud public présentent des vulnérabilités élevées ou critiques, et le constat est le même : 71 % d’entre elles ont plus de deux ans.
Si la nécessité de patcher les systèmes est une évidence, l’exercice n’est pas simple tant le flux de nouvelles CVE découvertes ne faiblit pas et les interdépendances entre les couches logicielles et les applications entre elles sont complexes.
Passer à une réelle gestion des vulnérabilités
Editeur de l’outil de scan de vulnérabilité Nessus depuis une vingtaine d’années, Tenable accompagne l’évolution du marché vers des solutions qui gèrent la vulnérabilité sur tout son cycle de vie. Bernard Montel, Technical Director EMEA and Security Strategist chez Tenable, explique cette maturité croissante du marché : « Le scan de vulnérabilité reste un besoin pour les entreprises qui peuvent se contenter de cette brique, mais la gestion de vulnérabilité va plus loin. Elle consiste à orchestrer des priorités par le risque, faire du RBVM (Risk-Based Vulnerability Management). Il s’agit d’une solution qui permet de rechercher les vulnérabilités et les orchestrer, les prioriser en fonction d’un contexte métier. »
La stratégie de l’éditeur est maintenant de passer d’une gestion des vulnérabilités à celle de l’exposition, c’est-à-dire élargir les sources de données non plus seulement aux scanners de vulnérabilité, mais à l’ensemble de la surface d’attaque du système d’information, notamment le Cloud via l’Attack Surface Management, l’analyse de l’Active Directory grâce à l’acquisition d’Alsid en 2021. La plateforme Tenable One a été lancée il y a un an et l’éditeur continue à travailler sur le Data Model pour apporter une vue à 360° des vulnérabilités. Récemment Tenable a pris le contrôle d’Ermetic afin d’accélérer sur la notion de CNAPP. « Nous savions faire du scan de vulnérabilités sur des conteneurs et cette société nous apporte une compétence sur le CIEM (Cloud Infrastructure Entitlement Management). »
Un éditeur historique de l’ITSM s’est aussi placé sur la gestion des failles
Un éditeur « historique » du monde de l’ITSM s’est lui aussi positionné sur la gestion de vulnérabilité : Ivanti avec son offre Ivanti Neurons for RBVM. « Le différenciant d’Ivanti est d’agréger toutes les données issues des scanners sur les infrastructures IT, mais aussi les applications, puis de faire tourner nos algorithmes afin de proposer la meilleure priorisation possible à la fois sur le plan technique mais aussi vis-à-vis des contraintes métiers » argumente Luc Sabot, Country Manager France Ivanti. « Une pondération des ressources est apportée en fonction de la criticité de chaque asset pour les métiers et l’approche est issue d’un héritage de 25 ans d’expérience d’Ivanti sur les outils de patching. » L’offre de gestion des vulnérabilités de l’éditeur pilote directement son outil de patching, Ivanti Neurons for Patch Management. De même, son logiciel Ivanti Neurons for Discovery, une solution CAASM (Cyber Asset Attack Management) permet de retrouver jusqu’à 30 % d’équipements inconnus dans un système d’information, notamment depuis que le télétravail est monté en puissance et que de nombreux collaborateurs utilisent leur propre matériel informatique.
A ces acteurs, on peut ajouter Qualys VMDR, Rapid7 InsightVM, ou encore le Français Hackuity. Sylvain Cortes, VP Strategy chez Hackuity, présente l’offre de la startup comme un agrégateur de vulnérabilités : « Dans une organisation, de multiples scanners de vulnérabilité sont mis en œuvre : certains dédiés aux systèmes, d’autres pour les bases de données, des scanners embarqués dans les EDR, des scanners qui inspectent les repository de code. Outre ces scanners, l’entreprise dispose d’une ou plusieurs CMDB. L’objectif d’Hackuity est de récupérer toutes ces informations, de les agréger dans un Data Lake, les normaliser, les dédupliquer et d’indiquer les menaces prioritaires qu’il faut traiter. » Créée en 2018, Hackuity est lauréat du Grand Défi Cyber pour son projet APM (Attack Path Monitoring). Celui-ci unit la startup française aux chercheurs de l’Inria, à Capgemini, Tenacy et à Sanofi, un client d’Hackuity. S’inscrivant dans la mouvance du RBVM, il allie cette approche à une supervision des chemins d’attaque (attack paths). Selon les porteurs du projet, cette approche novatrice permet d’optimiser le pilotage du processus de détection / qualification / remédiation des vulnérabilités. L’objectif est de réduire les délais de traitement et l’exposition des utilisateurs à la menace cyber.
Les capacités d’intégration, une clé pour la gestion de l’exposition
L’éditeur israélien Vulcan Cyber se pose aussi en tant que plateforme d’agrégation des vulnérabilités dans une approche conduite par le risque. Sa solution consolide toutes les données des solutions d’audit de manière automatisée, via appels d’API. Plus d’une centaine de sources de données sont disponibles, depuis le SCA Black Duck, Tanium, Microsoft Defender, les DAST de Qualys, Rapid7, SentinelOne, les CWPP et CSPM d’Aqua.
Frédéric Saulet, responsable commercial pour la zone EMEA chez Vulcan Cyber, souligne : « Notre CEO aime dire que, au même titre que Salesforce est l’outil du CRM, que ServiceNow est celui de l’ITSM, Vulcan veut être l’outil du « risk management ». Au-delà de consolider les vulnérabilités comme beaucoup d’acteurs sont capables de faire, notre point fort est d’orchestrer la remédiation. » Ainsi, lorsqu’une nouvelle vulnérabilité apparaît sur la plateforme, celle-ci est assignée automatiquement aux bonnes personnes dans l’organisation en fonction d’un workflow de remédiation en place. « Tout ce qui est réalisé manuellement aujourd’hui via des fichiers Excel, des échanges d’e-mail ou des réunions est désormais industrialisé via un workflow. » En juillet 2023, l’éditeur annonçait l’Attack Path Graph, l’idée étant d’aider le RSSI à visualiser un chemin d’attaque en exploitant les informations de vulnérabilité de configuration, liées au réseau et aux assets. Selon l’éditeur, un tel outil permet d’améliorer la priorisation et de justifier pourquoi il faut patcher tel ou tel élément du système d’information en priorité. L’éditeur travaille aujourd’hui à la partie identité sur sa plateforme, avec l’intégration de données issues des solutions d’IAM.
Autre éditeur sur les rangs, Rapid7. En parallèle à son XDR InsightIDR, sa solution de sécurité Cloud InsightCloudSec, et son SOAR InsightConnect, il propose InsightVM, un outil de gestion des vulnérabilités. « La solution permet aux équipes de sécurité de découvrir et de remédier en premier lieu aux vulnérabilités à haut risque, de suivre et de collaborer avec leurs pairs pour faire progresser la remédiation » argumente Ben Austin, Sr. Manager, Product Marketing chez Rapid7. « Elle permet en outre d’assurer la conformité aux politiques et aux réglementations et d’accroître la couverture des risques dans un environnement en évolution rapide. » Parmi les atouts de l’offre InsightVM figure une surveillance en temps réel depuis l’agent léger, des tableaux de bord entièrement personnalisables et interactifs ainsi que des projets de remédiation intégrés à l’IT. « Les flux de menaces intégrés et une évaluation dynamique des risques permettent aux utilisateurs de classer les vulnérabilités par ordre de priorité comme le ferait un attaquant, et bien plus encore. InsightVM est intégré à la plateforme Insight de Rapid7, avec d’autres fonctionnalités de sécurité du Cloud, de test de sécurité des applications, de détection et de réponse, et d’orchestration et d’automatisation, offrant aux équipes de sécurité une solution consolidée qui les aide à gérer les risques et à éliminer les menaces dans l’ensemble de leur organisation, des endpoints (terminaux) au Cloud. »
Le CTEM, le futur de la gestion des vulnérabilités ?
Si la concurrence est rude sur les solutions de RBVM, les analystes du Gartner ont déjà formalisé la prochaine étape : le Continuous Threat Exposure Management (CTEM). L’idée est de réduire encore le délai entre la découverte d’une vulnérabilité et sa remédiation. Le CTEM ne correspond pas nécessairement à un outil, mais à une posture de sécurité avec des processus et des technologies qui évaluent en permanence l’accessibilité et la vulnérabilité des ressources IT d’une entreprise.
L’approche met en œuvre les concepts de gestion de l’exposition avec un spectre qui va bien au-delà de la seule gestion des vulnérabilités remontées par les scanners : une surveillance de l’ensemble de l’exposition, couplée à des contrôles en continu des mesures de remédiation prises. Le CTEM introduit une notion de « Red Team » automatisée qui vérifie en permanence la validité des nouvelles applications et des corrections apportées, mais aussi une approche collaborative en interne puisque l’approche se veut transversale dans la DSI afin de traiter au plus vite les vulnérabilités pouvant apparaître dans les nouvelles applications ou les briques du SI déjà en place. Avec l’acquisition de la startup Randori en 2022, IBM Security propose une implémentation de cette approche. Nul doute que cette vision proactive du traitement des vulnérabilités prendra de l’ampleur dans les années à venir.