La gestion des vulnérabilités, qu'est-ce que c'est ?

La gestion des vulnérabilités désigne une pratique de sécurité informatique qui comprend l'identification, l'évaluation et la correction des failles de sécurité touchant les appareils, les réseaux et les applications, et dont l'objectif consiste à réduire les risques de cyberattaques et de failles.

Pour les professionnels de la sécurité, il s'agit d'une composante fondamentale de l'automatisation des processus de sécurisation, et d'un élément essentiel de toute stratégie de surveillance continue de la sécurité de l'information telle que définie par le NIST (National Institute of Standards and Technology). 

Une base de données des CVE (Common Vulnerabilities and Exposures ou « vulnérabilités et risques les plus courants » en français) répertorie l'ensemble des failles identifiées par les chercheurs en sécurité et les fournisseurs de solutions informatiques. La gestion des vulnérabilités est un processus continu, car la liste CVE ne cesse de s'allonger. Avec un programme de gestion des vulnérabilités, les équipes de sécurité peuvent automatiser les processus de détection et de correction, notamment l'analyse et l'application des correctifs.

Le classement et le suivi des vulnérabilités informatiques s'effectuent au moyen de la liste des CVE, une ressource supervisée par l'organisme MITRE et subventionnée par la CISA (Cybersecurity and Infrastructure Security Agency), qui fait partie du Département de la Sécurité intérieure des États-Unis. Cette liste est alimentée par des chercheurs, des fournisseurs de solutions et des membres des communautés Open Source.

En plus des CVE plutôt brèves, elle fournit aux professionnels de la sécurité des détails techniques concernant les vulnérabilités qui proviennent de la base de données NVD (National Vulnerability Database) des États-Unis, de la base de données Vulnerability Notes Database du CERT/CC ainsi que d'autres sources, notamment des listes propres à un produit alimentées par des fournisseurs.

Les identifiants CVE inclus dans ces différents systèmes aident les utilisateurs à reconnaître les vulnérabilités, puis à coordonner le développement d'outils et de solutions de sécurité.

Le système CVSS (Common Vulnerability Scoring System) est une norme de notation des CVE basée sur une formule qui tient compte de plusieurs critères, comme le risque que l'attaque puisse être exécutée à distance, sa complexité et si elle nécessite l'intervention d'un utilisateur. Le système CVSS attribue à chaque CVE un score de base compris entre 0 (aucun impact) et 10 (impact le plus élevé).

Toutefois, ce score à lui seul ne permet pas d'évaluer complètement un risque. Pour obtenir une analyse CVSS exhaustive, il est nécessaire d'examiner deux autres aspects : la temporalité et l'environnement. La mesure temporelle fournit des détails concernant les techniques d'exploitation actuelles, l'existence d'attaques exploitant la vulnérabilité, ou l'existence de correctifs ou de solutions pour traiter la faille. L'analyse environnementale ajoute des détails propres à l'entreprise concernant l'existence de données, systèmes ou contrôles essentiels dans l'environnement de l'utilisateur final qui pourraient modifier l'impact ou la probabilité d'occurrence d'une attaque.

En plus des scores CVSS, les fournisseurs et chercheurs peuvent utiliser d'autres systèmes de notation. L'équipe Red Hat Product Security, par exemple, évalue les problèmes de sécurité selon quatre niveaux de gravité :

• Impact critique : ce type de faille est facilement exploitable à distance par un pirate non authentifié et compromet l'intégrité du système, sans nécessiter l'intervention d'un utilisateur. 
• Impact important : ce type de faille peut facilement compromettre la confidentialité, l'intégrité ou la disponibilité des ressources.
• Impact modéré : ce type de faille, plus difficile à exploiter, peut toutefois compromettre la confidentialité, l'intégrité ou la disponibilité des ressources dans certaines circonstances.
• Impact faible : il s'agit de tous les autres problèmes qui peuvent affecter la sécurité du système, notamment les failles aux conséquences minimes ou exploitables dans des situations très rares.

Parce que le nombre de vulnérabilités ne cesse d'augmenter, les entreprises doivent mobiliser toujours plus de ressources et de personnel pour la sécurité. Celles-ci doivent donc impérativement optimiser leur stratégie. Avec un programme de gestion des vulnérabilités basé sur des données imprécises et vagues, il est difficile de hiérarchiser correctement les vulnérabilités et certains problèmes critiques risquent d'échapper trop longtemps à la correction.

La gestion des vulnérabilités basée sur les risques est une approche récente qui consiste à hiérarchiser les mesures en fonction du risque de menace pour une entité spécifique. Cette approche tient compte de diverses données propres à chaque partie prenante : renseignement sur les menaces, probabilité que la vulnérabilité soit exploitée, importance des ressources affectées pour l'entreprise, etc. Pour une évaluation encore plus précise des risques, il est possible d'intégrer des fonctionnalités d'intelligence artificielle et d'apprentissage automatique. La gestion des vulnérabilités basée sur les risques a aussi pour objectif la surveillance en temps réel ainsi que l'analyse continue et automatisée des vulnérabilités.

L'évaluation des vulnérabilités est une analyse des mesures mises en place pour identifier les défauts de sécurité d'un système informatique. Elle peut inclure la collecte de données liées au système et à ses ressources, la vérification des vulnérabilités connues et la génération d'un rapport avec le classement des résultats en fonction du risque et des axes d'amélioration. Il s'agit en quelque sorte d'un audit interne où l'infrastructure complète est analysée en vue de détecter d'éventuels problèmes de sécurité. Même s'il est possible d'en planifier régulièrement, ce type d'évaluation est en général réalisé de façon ponctuelle et produit un rapport final qui représente un instantané du système.

La gestion des vulnérabilités, en revanche, désigne un processus automatisé et permanent, dont les fonctions se chevauchent de manière continue. Cette approche permet de réagir plus tôt et plus rapidement en cas de vulnérabilités critiques, et ainsi de renforcer la sécurité.

En tant que leader des logiciels Open Source, nous accordons la priorité à la transparence et à la responsabilité vis-à-vis des clients et des communautés. Nous communiquons régulièrement au sujet des vulnérabilités et, en 2022, Red Hat a été nommé entreprise Root dans le cadre du programme CVE.

Par ailleurs, nous proposons des solutions pour la sécurisation de la création, du déploiement et de l'exécution des applications cloud-native. Découvrez comment détecter et gérer plus efficacement les vulnérabilités dans les environnements Kubernetes avec la solution Red Hat Advanced Cluster Security for Kubernetes.