Connaître toutes les vulnérabilités qui affligent un système d’information est une chose. Exploiter efficacement cette information en est une autre. Il est désormais primordial d’industrialiser le cycle de gestion des vulnérabilités et de prioriser la mise à jour des infrastructures.
Avec une moyenne qui s’établit à près de 20 000 nouvelles vulnérabilités découvertes chaque année, il est illusoire de vouloir maintenir une infrastructure IT à jour à 100%. Impossible d’arrêter les serveurs de production à chaque nouveau patch. Il est indispensable de gérer au mieux les vulnérabilités et consacrer les efforts de patching en priorité la où le risque est le plus élevé.
La gestion des vulnérabilités et au-delà !
Qualys fut l’un des premiers à défricher le marché des solutions de gestion des vulnérabilités avec sa solution QualysGuard Intranet Scanner dès 2002. Depuis, l’offre de l’éditeur s’est beaucoup étoffée comme l’explique Charles de la Gardette, Sales Manager SMB/ SME chez Qualys lors du FIC 2022 : « Notre spécificité est de proposer une offre 100% Cloud qui s’appuie sur un agent unique qui alimente tous nos modules : nous sommes les seuls à pouvoir faire de la détection des assets, la gestion des vulnérabilités jusqu’au patching. » Toujours fidèle à son approche de client unique, Qualys étoffe maintenant son offre avec un EDR : « Nous développons aujourd’hui notre offre EDR/XDR, ainsi que la gestion exhaustive des inventaires sur un périmètre très large incluant le Cloud via l’offre CSAM (CyberSecurity Asset Management). »
Cette stratégie d’élargissement rapide du portefeuille produit au-delà de la gestion des vulnérabilités est identique à celle de Rapid7. Avec la solution InsightCloudSec, l’éditeur s’est doté d’un outil spécifique de gestion des vulnérabilités dans le Cloud, puis d’un XDR/SIEM avec InsightIDR, un outil d’orchestration InsightConnect, Threat Command by Rapid7, un outil de Threat Intelligence, et encore la sécurité applicative de type Web avec InsightAppSec, un outil de type DAST (Test dynamique de la sécurité des applications). « L’intérêt de ce portefeuille élargi, c’est que tous nos produits dialoguent entre eux et la gestion des vulnérabilités échange avec la partie SOAR, mais aussi avec le SIEM afin d’injecter des informations dans la partie détection d’intrusions. Le même agent logiciel travaille pour la partie InsightVM (Vulnerability Management) et pour l’EDR » résume Bettolo Minh, Expert en sécurité réseau chez Rapid7. Avec InsightVM, l’éditeur propose une solution hybride qui gère les vulnérabilités de tous types de ressources IT et qui gère l’ensemble du cycle de gestion des vulnérabilités, de la découverte des assets jusqu’à la génération de rapports de synthèse sur les vulnérabilités découvertes. La solution est connectée à des outils connexes dont un SOAR qui peut automatiquement mener des actions correctives suite à la détection d’une vulnérabilité sur une ressource.
Le catalogue d’HCL Software montre la diversité des solutions nécessaires à la gestion des vulnérabilités car outre les vulnérabilités système et Cloud, les entreprises doivent aussi gérer celles qui affligent leurs propres développements logiciels. C’est là qu’entrent en jeu les solutions de SAST, DAST et IAST : Avec la solution AppScan d’HCL Software, nous faisons à la fois de l’analyse de code statique (SAST) mais aussi de l’analyse dynamique (DAST) : cela permet d’identifier la majorité des vulnérabilités déclare Arnaud Bourlier, gérant d’AB Logix, partenaire de HCL Software, « puis les algorithmes d’intelligence artificielle éliminent de nombreux faux positifs. »
Optimiser le traitement des vulnérabilités par la DSI
Si les services informatiques ne manquent pas d’outils pour repérer les vulnérabilités, il leur faut s’atteler à la tâche immense de colmater toutes ces brèches de sécurité potentielles. « Les outils de détection des vulnérabilités restent très techniques » estime Frédéric Saulet, responsable commercial pour la zone EMEA chez Vulcan. « Ceux-ci délivrent des scores CVSS mais ne prennent pas en compte le contexte de l’organisation, la criticité de chaque asset vis-à-vis de l’activité de l’entreprise »
L’éditeur israélien propose depuis 4 ans une plateforme de gestion du risque cyber qui vise à aider les entreprises à prioriser leur action. Sa solution va utiliser une classification des assets, éventuellement issue d’une CMDB, afin de contextualiser les vulnérabilités : le score accordé à une vulnérabilité x présente sur 3 ressources différentes va dépendre de la criticité réelle de chacune d’elles en tenant compte du contexte de l’organisation, mais aussi du contexte CTI (Threat Intelligence) et prioriser une vulnérabilité activement exploitée par les attaquants. Ainsi armée, l’entreprise va prioriser ses interventions.