Cybersécurité : Méthodes d’évaluation des vulnérabilités
Pour un système d’information donné, il est nécessaire de mettre en place une politique de sécurité. C’est-à-dire de définir un ensemble de process, de méthodes, mettre en place des dispositifs techniques, organisationnels ou humains, afin de réduire le risque d’une attaque potentielle, ou déjà de la contrôler.
Les faiblesses d’un système d’information sont de plusieurs types :
Une fois les vulnérabilités identifiées, il va être nécessaire d’évaluer les mesures mises en œuvre pour se protéger et selon le cas, on devra mettre en place d’autres mesures selon l’impact de l’exploitation de la vulnérabilité.
Le principe est de répéter ce processus à des intervalles de temps réguliers ; c’est pour cela qu’on parle de « cycle de vie des vulnérabilités ».
1. Audit des vulnérabilités
L’audit des vulnérabilités peut être effectué en interne au sein du service informatique de la société ou sous la direction du responsable de la sécurité, selon la taille de la société. Voire par un prestataire extérieur spécialiste en cyber sécurité.
L’audit peut porter uniquement sur un périmètre technique : on parlera de « test d’intrusion » ou « pen test ».
Mais il peut être plus global et axé sur l’organisationnel, ou dans certains cas uniquement sur la sécurité physique des locaux.
Il semble plus intéressant dans tous les cas, et notamment sur le plan technique, de faire réaliser ces audits, par des personnes extérieures au système qui auront une vision différente et ne seront pas influencés.
Dans le cas de ce qu’on appelle les boites noires (test d’intrusion à l’aveugle à partir de l’extérieur), ça doit être forcément le cas.
Il est certain que ce type d’audits ne doit pas être réalisé par le service informatique ou alors, il doit être détaché à un service autre que l’exploitation, dédié à la sécurité. Ce qu’on appelle en général un « SOC » pour « Security Operation Control ».
L’auditeur peut aussi effectuer des tests poussés « tests boites blanches » toujours des tests techniques. Dans ce cas, il connait le système qu’il attaque. Par exemple pour une application, l’auditeur aura accès au code source.
2. Cycle de vie d’évaluation des vulnérabilités
Recommandé par LinkedIn
L'audit des vulnérabilités se fait en plusieurs étapes :
Cela commence par un audit de tous les éléments du système d’information. Cela correspond plus ou moins à la première phase d’une attaque présentée précédemment.
Mais là, on va en plus, lister les éléments mis en place pour assurer la sécurité des éléments recensés. Ces éléments vont être :
La politique de sécurité mis en place comme la gestion des droits d’accès, la configuration des équipements de sécurité, les firewalls, …
On va ensuite procéder à l’analyse des vulnérabilités. D’un point de vue technique on va s’intéresser à l’infrastructure et on va mettre en place ce que l’on appelle un scan de vulnérabilités qui va balayer les machines, les serveurs, les services hébergés, les applications, pour les mettre en rapport avec les bases de vulnérabilités connues.
Pour rappel, cette recherche de vulnérabilités n’est pas uniquement basée sur la technique. Un exemple serait un accès à une salle serveurs qui n’est pas contrôlé : ça représente clairement une vulnérabilité mais rien à voir avec la technique.
Par rapport aux vulnérabilités, on va procéder à l’analyse des risques essentiels.
Par rapport à la criticité du risque que représente ces vulnérabilités qu’on a identifiées, on va définir les moyens à mettre en œuvre pour éliminer ou réduire le risque, bref corriger ces vulnérabilités.
Enfin, on va devoir contrôler que ces vulnérabilités ne sont plus présentes, puis mettre en place des moyens de contrôle, de surveillance par rapport à d’autres menaces et du coup d’autres vulnérabilités potentielles.
Voici ainsi les grands principes d’évaluation des vulnérabilités d’un système. Cette démarche doit être renouvelée assez régulièrement surtout si le système d’information évolue beaucoup.
On retrouve la philosophie de cette démarche dans les bonnes pratique ITIL, et la majorité des normes et référentiels de sécurité comme le COBIT ou le RGPD.