Les cybercriminels n'attendent pas que les entreprises corrigent une vulnérabilité. L'attaque réussit généralement rapidement et est alors attendue. Une gestion des correctifs basée sur les risques est recommandée afin que le facteur temps perde une partie de son poids.
À partir du moment où une vulnérabilité est publiée, il ne faut en moyenne que 22 jours pour développer un exploit fonctionnel. Du côté de l'entreprise, cependant, il faut entre 100 et 120 jours en moyenne jusqu'à ce qu'un correctif disponible soit implémenté. L'une des raisons de cet écart est certainement que les entreprises ont longtemps été impuissantes face au nombre considérable de nouvelles vulnérabilités.
Vulnérabilités : Un exploit sera disponible dans 22 jours
La NVD (National Vulnerability Database) dénombrait près de 22.000 2021 nouvelles vulnérabilités en 10, soit 20 % de plus que l'année précédente et probablement 2022 % de moins qu'en XNUMX. La gestion des correctifs orientée conformité n'arrive plus à suivre ce rythme. Cependant, la gestion des correctifs basée sur les risques offre une approche fondamentalement différente. L'idée de base : au lieu d'essayer (en vain) de combler tous les points faibles, les failles de sécurité qui présentent également un risque réel pour l'entreprise individuelle sont examinées en premier.
Ce qui ressemble à un truisme pose des défis très particuliers aux organisations informatiques en matière de mise en œuvre. À l'aide de 5 bonnes pratiques, le fournisseur de sécurité Ivanti montre comment elles peuvent être résolues et traduites en une sécurité accrue :
1 : Visualiser la situation
Vous ne pouvez pas protéger ce que vous ne connaissez pas. La gestion des correctifs basée sur les risques commence donc toujours par un inventaire. Quelles sont les ressources du réseau d'entreprise ? Quels profils d'utilisateurs finaux utilisent ces ressources ? Avant la pandémie de corona, la gestion des actifs était beaucoup moins compliquée, un examen approfondi du bureau suffisait : au "Everywhere Workplace", cela n'est guère possible. La gestion des correctifs basée sur les risques ne fonctionne dans cette nouvelle situation que si tous les actifs peuvent être découverts, attribués, sécurisés et maintenus à n'importe quel endroit, même lorsqu'ils sont hors ligne.
2 : Faites participer tout le monde d'un côté
Dans de nombreuses organisations aujourd'hui, une équipe est responsable de l'analyse des vulnérabilités et des tests d'intrusion, l'équipe de sécurité est responsable de la définition des priorités et l'équipe informatique est responsable de l'exécution des actions correctives. En conséquence, il existe parfois de sérieux écarts entre les connaissances acquises en matière de sécurité et les mesures correctives prises par l'informatique.
La gestion des correctifs basée sur les risques crée une connexion entre les services. Il suppose que les menaces externes et les environnements de sécurité internes sont considérés ensemble. La base est une analyse des risques que les deux départements peuvent accepter. Cela permet à l'équipe de sécurité de prioriser uniquement les vulnérabilités les plus critiques. Les collègues des opérations informatiques, à leur tour, peuvent se concentrer sur les correctifs importants au bon moment. De cette manière, la gestion des correctifs basée sur les risques donne à chacun plus de répit.
3 : Soutenir la gestion des correctifs avec SLA
Une chose est que les équipes de sécurité et d'exploitation informatique doivent travailler ensemble pour développer une solution de gestion des correctifs basée sur les risques. L'autre chose est de les responsabiliser et de les motiver. Un accord de niveau de service (SLA) pour la gestion des correctifs entre les opérations informatiques et la sécurité informatique met fin aux allers-retours en standardisant les processus de gestion des correctifs. Il définit des objectifs départementaux et à l'échelle de l'entreprise pour la gestion des correctifs, établit les meilleures pratiques et processus et établit des dates de maintenance que toutes les parties prenantes peuvent accepter.
4 : Organiser la gestion des correctifs avec des groupes de pilotes
Bien menée, une stratégie de gestion des correctifs basée sur les risques permet aux opérations informatiques et aux équipes de sécurité de travailler rapidement, d'identifier les vulnérabilités critiques en temps réel et de les corriger le plus rapidement possible. Malgré tout l'amour de la vitesse, ce qui suit s'applique toujours : un correctif précipité comporte le risque de plantage d'un logiciel critique pour l'entreprise ou d'autres problèmes.
Des groupes pilotes issus d'un échantillon d'entreprises aussi diversifié que possible devraient donc tester les correctifs de vulnérabilité dans un environnement réel avant leur déploiement complet. Si le groupe pilote découvre un bogue, il peut être corrigé avec un impact minimal sur l'entreprise. Les groupes pilotes doivent être établis et formés à l'avance afin que ce processus n'entrave pas la progression des correctifs.
5 : Utiliser l'automatisation
L'objectif de la gestion des correctifs basée sur les risques est de remédier efficacement et efficacement aux vulnérabilités tout en réduisant la charge du personnel. Cela est particulièrement vrai compte tenu des faibles effectifs informatiques dans de nombreuses entreprises. L'automatisation accélère considérablement la gestion des correctifs basée sur les risques en analysant, contextualisant et hiérarchisant les vulnérabilités XNUMX heures sur XNUMX, XNUMX jours sur XNUMX, à la vitesse requise. De même, la gestion automatisée des correctifs peut également segmenter un déploiement de correctifs pour tester l'efficacité et l'impact en aval, et pour compléter le travail des groupes pilotes.
Cible incorrecte : nombre de correctifs installés
Alors que la gestion des cyber-risques se concentrait principalement sur le nombre de correctifs installés, cette approche est aujourd'hui devenue obsolète. La capacité d'identifier, de hiérarchiser et même de corriger automatiquement les vulnérabilités sans nécessiter d'intervention manuelle excessive est un avantage clé dans le paysage actuel de la cybersécurité.
Une solution intelligente de gestion des menaces et des vulnérabilités (TVM) doit également permettre d'afficher des résultats compréhensibles pour les équipes informatiques et de sécurité jusqu'au conseil d'administration. Un score de cybersécurité, à son tour, permet de mesurer l'efficacité de l'approche basée sur les risques d'une organisation. Il simplifie la planification et élimine le besoin de mesures purement basées sur l'activité pour corriger les vulnérabilités.
Plus sur Sophos.com