Selon certains cabinets d’analyse stratégique « Les entreprises échouent à réduire leur exposition aux menaces car elles tentent d’évaluer le risque via des outils disparates et non normalisés. De plus, des méthodes de traitement obsolètes ne permettent pas de vaincre les silos organisationnels ». L’année 2023 doit être celle du changement de paradigme, les responsables sécurité ainsi que les gestionnaires de risques doivent lancer et faire évoluer un programme de gestion continue de l’exposition aux menaces afin de garder une longueur d’avance et être en capacité d’évaluer et corriger les vulnérabilités critiques présentes dans l’organisation. Un programme de gestion continu de l’exposition aux menaces repose sur un cycle répétitif constitué de cinq étapes principales :
Cadrage
Il est important de définir le périmètre du programme afin de consacrer les efforts sur les éléments stratégiques pour le business. Au fur et à mesure de l’évolution des systèmes IT internes ou externes il est tout à fait possible de modifier ce cadrage à chaque itération du cycle. Si bien sur l’IT historique et hébergé au sein de l’organisation fait toujours parti de ce type de cadrage, il sera important de penser à rajouter d’autres périmètres impliquant un risque non négligeable pour le business : Attaque de la surface externe, sécurité des données dans les applications SaaS, dépôts du code des applications business, etc. Cette étape souvent négligée représente pourtant le fondement de tout le cycle.
Découverte
Malheureusement, beaucoup de praticiens confondent encore l’étape de cadrage de celle de découverte et imaginent qu’il suffit de découvrir des éléments pour assurer le succès du cycle. Les outils de découverte doivent prendre en compte de nombreux aspects afin d’identifier les différents types de vulnérabilités, qu’elles soient liées à du code ou à des erreurs de configuration.
Priorisation
L’objectif du cycle n’est pas d’essayer de remédier à tous les problèmes identifiés car cela est impossible, il s’agit plutôt d’évaluer et de traiter les menaces les plus susceptibles d’être exploitées contre l’organisation. Les organisations ne peuvent pas utiliser les méthodes traditionnelles de hiérarchisation des expositions via des scores de gravité de base prédéfinis. La priorisation du traitement des expositions doit être basée sur une combinaison des éléments suivants : existence ou non des exploits liés à la vulnérabilité, les options d’atténuation de la menace présentes sur le système, le niveau d’exposition et d’atteinte du dit système, la criticité de l’activité portée par les systèmes, etc.
Validation
L’étape de validation consiste à atteindre principalement deux objectifs : Évaluer la probabilité pour que l’exécution d’une attaque soit réussie en confirmant notamment que les attaquants pourraient réellement exploiter les expositions précédemment découvertes – Estimer l’impact potentiel le plus élevé en pivotant au-delà de l’empreinte initiale et en analysant tous les chemins d’attaque potentiels vers un actif critique depuis la compromission initiale. La pratique utilise une combinaison d’outils et d’activités tels que le pentesting, les activités de red team, la simulation de brèche et d’attaque, etc.
Mobilisation
Après validation de la liste des vulnérabilités prioritaires à corriger, la remédiation ne peut pas être entièrement automatisée, de nombreuses organisations matures ont atteint les limites de la « remédiation automatisée » car les traitements techniques nécessitent très souvent l’application de correctifs ou la réalisation d’un changement de configuration. Il est donc nécessaire de coupler les méthodes pleinement automatisées aux traitement basés sur un système de tickets et de workflows.
Par Sylvain CORTES chez Hackuity