Le monde des affaires dépend amplement des technologies de l’information et évolue très rapidement, donnant lieu presque inévitablement à des dysfonctionnements informatiques (des bugs) qui, dans le pire des cas, peuvent être exploités par des personnes malveillantes pour compromettre la confidentialité, l’intégrité ou la disponibilité de vos systèmes. Vous ne pouvez pas vous en remettre au hasard pour en assurer la sécurité. Vous devez identifier les vulnérabilités, les quantifier et les gérer efficacement pour éviter tout dommage à votre réputation et à vos résultats.
Les attaques massives rappellent le risque colossal que posent les vulnérabilités informatiques, incitant de nombreuses sociétés à prendre des mesures proactives. Mais avec des infrastructures de plus en plus complexes - y compris dans le cloud - il est difficile de garder le suivi de toutes les vulnérabilités qui apparaissent. C’est une chance pour les cybercriminels, qui ont appris à exploiter ces faiblesses à des fins malveillantes.
La pression réglementaire incite également à répondre à ces menaces. Par exemple, le législateur suisse impose aux organisations fournissant des services informatiques dans le secteur financier de mettre en place un programme de gestion des vulnérabilités fondé sur les risques. Avec l’essor des solutions numériques et de l’informatique dématérialisée dans tous les domaines de l’entreprise et de la vie, la réglementation devrait s’étoffer.
Un nombre croissant d’entreprises se rendent compte de la nécessité d’identifier et de gérer leurs vulnérabilités informatiques, et la crise du COVID-19 en a accentué l’urgence. Dans l’échantillon suisse de l’enquête Digital Trust Insights 2021 de PwC, 36 % des personnes interrogées ont déclaré que la pandémie allait probablement les conduire à une quantification plus rigoureuse et plus granulaire des cyber-risques. Si certaines sociétés ont déjà pris des mesures, beaucoup n’ont pas encore initié la mise en œuvre de leur plan d’action, voire n'ont pas encore établi de plan.
Gestion des vulnérabilités
Nous prenons en charge le processus afin que vous puissiez vous concentrer sur votre cœur de métier.
Qu’est-ce que la gestion des vulnérabilités ?
Supposons que vous soyez l’une des entreprises qui évaluent leurs options. Pour s’engager dans la gestion des vulnérabilités, il faut d’abord comprendre la notion de « vulnérabilité » dans le contexte de votre infrastructure informatique. Les vulnérabilités sont des dysfonctionnements qui peuvent être exploités par des personnes ayant l’intention malveillante de contourner les contrôles de sécurité pour accéder à vos systèmes et données.
L’objectif de la gestion des vulnérabilités est d’identifier et de corriger les vulnérabilités connues, et d’évaluer la capacité et la maturité de votre organisation informatique en matière d’application de correctifs de sécurité dans un délai défini. La gestion des vulnérabilités est un processus continu d’identification, d’évaluation, de correction, de vérification et de signalement des vulnérabilités des systèmes informatiques et des logiciels qui fonctionnent dans une infrastructure informatique.
En plus de renforcer la cybersécurité de votre entreprise et de réduire le risque de violations coûteuses et problématiques, la gestion efficace des vulnérabilités permet de se conformer aux exigences en matière de sécurité et de réglementation. En Suisse, les entreprises sont notamment soumises aux réglementations de la FINMA, du RGPD de l’UE, de SWIFT et de la norme PCI DSS, ainsi qu’aux réglementations relatives au dossier électronique du patient (BAG TOZ). Cette liste est susceptible de s’allonger au fur et à mesure que la dépendance aux solutions numériques augmente dans tous les domaines de la vie et des affaires.
Le processus de gestion des vulnérabilités
Examinons maintenant plus en détail le processus de gestion des vulnérabilités. Comme nous l'avons indiqué plus haut, le but ultime de la gestion des vulnérabilités est d’atteindre et de pouvoir conserver durablement un niveau de sécurité fiable au sein de l’entreprise en identifiant et en corrigeant de manière proactive les vulnérabilités, tout en se conformant à des exigences réglementaires toujours plus strictes. Le meilleur moyen d’y parvenir est de suivre un cycle composé de plusieurs éléments.
Prework: Defining the scope of vulnerability management, establishing IT governance with roles and responsibilities, having vulnerability management as an integrated process in IT service management, and evaluating sourcing options.
Identify: Setting up a central asset inventory and defining the right scanning method. Which assets should be scoped in? Which assets are critical IT assets that hold sensitive data?
Tâches préalables : Définir la portée de la gestion des vulnérabilités, établir une gouvernance informatique assortie de rôles et de responsabilités précis, faire de la gestion des vulnérabilités un processus intégré à la gestion des services informatiques et évaluer les différents canaux d’approvisionnement possibles.
Corriger : S’attaquer aux vulnérabilités dès qu’elles sont découvertes. Quelle est l’efficacité du processus de gestion des correctifs ? Est-il possible d’appliquer des mesures compensatoires par une gestion des changements formelle ? L’organisation accepte-t-elle le risque résiduel s’il n'est pas possible d’appliquer un correctif ou s’il n’en existe pas ?
Vérifier : Effectuer rapidement une nouvelle analyse, effectuer des examens périodiques et veiller à ce qu’un processus de remontée d’informations soit mis en place pour traiter les vulnérabilités.
Reporter : Communiquer avec chaque ligne de défense par le biais de rapports adressés à chaque partie concernée (visualisation par un tableau de bord).
Amélioration continue : Passer en revue les enseignements tirés, évaluer la propension au risque (tolérance au risque), étudier l’avancement du processus, l’améliorer en permanence au moyen d’un processus automatisé et en accroître le développement.
Comment relever les défis
Une approche fondée sur trois piliers – gouvernance informatique, intégration des processus et intégration des outils – constitue une base solide pour gérer les vulnérabilités. Les étapes précises dépendront de la situation actuelle et de ce qui est déjà en place. Mais pour vous donner une idée des tenants et des aboutissants du processus, voici quelques exemples de défis que nous avons aidé nos clients à relever.
1) Gouvernance informatique : La gestion des vulnérabilités nécessite une gouvernance informatique bien établie permettant d’identifier les biens informatiques à prendre en compte et de définir clairement les rôles et les responsabilités en matière de traitement des données conformément à la réglementation.
- Pas de gestion active des vulnérabilités permettant d’y remédier rapidement (manque de définition claire des rôles et des responsabilités).
- Pas d’appropriation du processus ni de cartographie du niveau critique des éléments de configuration et des biens informatiques.
2) Intégration des processus : La gestion des vulnérabilités nécessite d’établir un cadre regroupant des processus attitrés pour la surveillance informatique, la gestion des événements et la réponse en cas d’incident. La gestion de la conformité doit passer par une définition des normes techniques et un contrôle systématique du respect des normes informatiques.
- Absence d’intégration durable de la sécurité informatique et de la gestion des services informatiques dans un cadre de processus aligné sur le contexte opérationnel.
- Mise en place de cycles de correctifs applicables à chaque technologie et vérification de leur application dans les délais définis.
3) Outils et intégration des outils : Pour tirer parti au mieux des outils d’analyse des vulnérabilités, il faut les intégrer. Envisager de combiner des outils d’analyse des vulnérabilités avec une solution d’orchestration globale afin de garantir une intégration sans accroc avec votre système de gestion des services informatiques et votre registre des biens informatiques/base de données de gestion de configuration (CMDB), et utiliser des capacités d’automatisation plutôt que des flux de travail conçus dans de nombreux outils différents.
- La gestion des vulnérabilités implique un effort manuel important.
- Absence d’intégration avec le registre des biens informatiques, l’inventaire des systèmes critiques, l’outil de gestion des services informatiques pour la gestion des incidents et l’outil de gestion du changement.
En résumé : il est temps pour vous d’investir dans la gestion des vulnérabilités
Les vulnérabilités informatiques sont une porte ouverte à n’importe qui à l’intérieur de votre organisation. Ces vulnérabilités sont complexes et évoluent rapidement, ce qui les rend encore plus risquées et difficiles à traiter. Tout comme vous déléguez la défense contre les virus à des entreprises spécialisées dans les logiciels antivirus, vous pouvez être épaulés dans la gestion des vulnérabilités informatiques de votre entreprise. Des spécialistes peuvent vous aider à mettre en place une gestion efficace des vulnérabilités qui tienne le rythme de l’apparition des menaces, protège votre entreprise et les données de vos clients, et contribue, en fin de compte, à établir de précieux liens de confiance.
Des questions ?