Évaluer les vulnérabilités et les corriger : une évaluation des vulnérabilités est un examen systématique des faiblesses de sécurité dans une infrastructure, des systèmes, des applications et des processus informatiques afin d’identifier les faiblesses et les lacunes potentielles qui pourraient être exploitées par des attaquants. L’objectif d’une évaluation des vulnérabilités est de découvrir de manière proactive les vulnérabilités et de les classer par ordre de priorité avant qu’elles ne puissent être exploitées.
L’évaluation des vulnérabilités implique généralement l’utilisation d’outils automatisés, tels que des scanners de vulnérabilités, pour analyser les réseaux, les serveurs, les applications et d’autres actifs informatiques afin de trouver des vulnérabilités connues. Des tests et des analyses manuels peuvent aussi être effectués pour identifier les vulnérabilités que les outils automatisés pourraient rater.
Trouver des vulnérabilités peut sembler une tâche complexe réservée aux développeurs de programmes ou aux fabricants de matériel, mais dans le contexte de la gestion des configuration de la sécurité (SCM), cela peut être aussi simple que de trouver des configurations erronées qui peuvent facilement être trouvées par un administrateur informatique.
Une fois les vulnérabilités identifiées, elles sont généralement classées en fonction de leur gravité et de la probabilité de leur exploitation. Cela permet aux entreprise de hiérarchiser la priorité des tâches de remédiation et d’allouer efficacement les ressources pour traiter d’abord les vulnérabilités les plus critiques.
Les résultats d’une évaluation des vulnérabilités sont généralement consignés dans un rapport, qui contient des recommandations visant à atténuer les vulnérabilités identifiées ou à les corriger afin d’améliorer le niveau de sécurité global de l’entreprise.
Comment classer les vulnérabilités ?
En fonction de l’impact de l’exploit, les vulnérabilités peuvent être classées comme suit :
- Critique : Ces vulnérabilités peuvent être exploitées pour compromettre complètement un système, voler des données sensibles ou provoquer des perturbations généralisées. Elles nécessitent des mesures de mitigation immédiates.
- Élevée: Ces vulnérabilités peuvent être exploitées pour obtenir un accès élevé et non autorisé à un système ou pour causer de graves dégâts. Elles requièrent une attention immédiate.
- Modérée: Ces vulnérabilités peuvent être exploitées pour obtenir un niveau d’accès moyen et non autorisé à un système ou provoquer des perturbations. Elles doivent être traitées en temps utile.
- Faible: Il est peu probable que ces vulnérabilités soient exploitées, mais elles pourraient être utilisées en conjonction avec l’exploitation d’autres vulnérabilités. Elles devraient être traitées lorsque les ressources le permettent.
* La classification des vulnérabilités n’est pas un terme universellement défini, de sorte que d’autres publications peuvent fournir des classifications différentes. Il est important de garder à l’esprit qu’une valeur doit être attribuée à chaque vulnérabilité découverte afin d’établir le risque et la rapidité de sa correction.
Pouvez-vous donner un exemple d’évaluation des vulnérabilités ?
Supposons qu’un serveur Windows 2003 ait été trouvé en train d’exécuter une application web de marketing dans une entreprise. L’exemple d’évaluation pour cette découverte serait le suivant :
1. Un serveur Windows (identification du serveur ici) a été trouvé avec la version du système d’exploitation Windows Server 2003. Le risque de vulnérabilité est Élevé.
2. Risques constatés.
- Cette version du système d’exploitation n’est plus prise en charge et les mises à jour de sécurité font défaut.
- Ce serveur exécute une page web et est exposé au réseau externe, où n’importe qui peut l’atteindre.
- La version du système d’exploitation n’étant plus prise en charge, la probabilité de vulnérabilités de type “zero-day” est élevée.
- Un pirate informatique pourrait modifier les informations publiées et fournir des informations incorrectes aux clients, ce qui porterait atteinte à leur réputation et pourrait entraîner des amendes.
3. Recommandations.
- Mettez à niveau le système d’exploitation vers Windows Server 2022. Le service informatique recommande également d’acquérir du nouveau matériel.
- Comme ce serveur n’héberge qu’un site web, l’utilisation d’une solution PaaS ou SaaS d’un fournisseur de services cloud peut s’avérer plus pratique.
- L’analyse informatique a révélé que le trafic sur ce serveur est modéré. En tant que solution de rechange, cette page web peut être hébergée sur le serveur (identification du serveur ici). Ce serveur est équipé de Windows Server 2019 et héberge un autre site web à trafic modéré. Bien que l’hébergement des deux sites sur le même serveur puisse entraîner une dégradation du service, cette solution est moins risquée que de garder l’ancien site.
La direction et le département financier doivent évaluer et fournir des directives. Il s’agit d’un exemple très simple, il faudrait peut-être une étude de la compatibilité de l’ancienne page Web avec le nouveau système d’exploitation, et peut-être de la base de données, s’il y en a une qui fonctionne en même temps que la page Web.
Il n’y a pas non plus de coûts, et cela montre ce qu’un administrateur informatique peut faire pour aider à résoudre le problème, sans avoir recours à des scanners de vulnérabilités, des tests de pénétration, des analyses de code, etc., qui peuvent être hors de portée.