Pour mieux se protéger, Sylvain Cortes, vice-président stratégie chez Hackuity, explique aux entreprises les démarches à suivre pour développer un programme de gestion continue de l’exposition aux menaces cyber.
Face à la prolifération des cyberattaques, les entreprises peinent à réduire leur exposition. En effet, il semblerait que ces dernières utilisent des méthodes de traitement obsolètes qui ne leur permettent pas de se protéger correctement. Un point de vue que soutient Sylvain Cortes, vice-président en charge de la stratégie chez Hackuity, un spécialiste de la gestion des vulnérabilités cyber. Dans un communiqué publié récemment, cet expert en cybersécurité revendique l’importance d’instaurer un programme de gestion continue de l’exposition aux menaces et comment s’y prendre.
Évaluer et corriger les risques
Selon certains cabinets d’analyse stratégique, « les entreprises échouent à réduire leur exposition aux menaces car elles tentent d’évaluer le risque via des outils disparates et non normalisés », déplore Sylvain Cortes. Pour corriger cette erreur, il existe des méthodes telles que le programme de gestion continue qui permet d’évaluer les vulnérabilités présentes dans l’organisation.
Une phase de cadrage
Pour y parvenir, le programme se déploie sur un cycle répétitif constitué de cinq étapes. À commencer par la phase de cadrage qui consiste à définir le périmètre du programme impliquant les risques. Il s’agit par exemple de la surface externe de l’attaque, de la sécurité des données dans les applications SaaS ou encore des dépôts du code des applications métier. « Au fur et à mesure de l’évolution des systèmes IT internes ou externes, il est tout à fait possible de modifier ce cadrage à chaque itération du cycle », précise l’expert qui considère cette phase comme une étape fondamentale dans ce processus.
Découverte des failles
Par la suite, il s’agit de procéder à la phase de découverte qui consiste à identifier les différents types de vulnérabilités, à ne pas confondre avec le cadrage. Ces dernières peuvent par exemple être liées à un défaut du code ou à des erreurs de configuration.
Hiérarchiser les risques
Ensuite, s’opère une étape de hiérarchisation des risques. « L’objectif du cycle n’est pas d’essayer de remédier à tous les problèmes identifiés car c’est impossible. Il s’agit plutôt d’évaluer et de traiter les menaces les plus susceptibles d’être exploitées contre l’organisation », précise le spécialiste. Pour hiérarchiser les expositions, les outils traditionnels tels que les scores de gravité prédéfinis ne suffisent pas. Mieux vaut se baser sur une méthode combinant plusieurs éléments : existence ou non des exploits liés à la vulnérabilité, options d’atténuation de la menace présentes sur le système, niveau d’exposition et d’atteinte du système et criticité de l’activité portée par les systèmes.
Valider les attaques potentielles
Une fois ces démarches réalisées, l’étape de validation permet d’atteindre deux objectifs : tout d’abord en confirmant la probabilité qu’une attaque soit réellement possible en fonction des expositions précédemment découvertes. Puis elle permet d’estimer l’impact potentiel en analysant tous les chemins d’attaque potentiels. « La pratique utilise une combinaison d’outils et d’activités tels que le test de pénétration du système d’information, les activités des hackers éthiques, la simulation de brèche et d’attaque », détaille l’expert.
Corriger les erreurs
Enfin, après validation de la liste des vulnérabilités prioritaires, l’étape de mobilisation consiste à corriger les failles. « La remédiation ne peut pas être entièrement automatisée. De nombreuses organisations matures ont atteint les limites de la remédiation automatisée car les traitements techniques nécessitent très souvent l’application de correctifs ou la réalisation d’un changement de configuration », poursuit Sylvain Cortes. Pour y parvenir, il faut donc coupler ces méthodes automatisées à des traitements basés sur un système de tickets et d’enchaînement de tâches.
Ségolène Kahn
Commentez