Presque toutes les banques sont confrontées au casse-tête de la gestion des vulnérabilités, y compris la mienne. Nous étions submergés de vulnérabilités, et il était difficile de déterminer lesquelles devaient être corrigées en premier. Grâce au partenariat avec l’équipe de hackers chevronnés d’IBM X-Force Red, nous avons nettement amélioré notre contrôle sur la gestion des vulnérabilités, et nous bénéficions d’améliorations continues dans l’ensemble de nos pratiques et dans les résultats.
Notre équipe a été submergée par une vague de vulnérabilités, y compris une accumulation de vulnérabilités critiques qui n’avaient pas été atténuées assez rapidement. L’un des problèmes était notre incapacité à transformer efficacement les données tendancielles agrégées en informations exploitables pour les personnes chargées de la résolution.
L’équipe X-Force Red s’est penchée sur nos problèmes. Quatre mois après le début du programme, nous avons constaté une réduction de 60 % des vulnérabilités critiques et une réduction de près de 45 % des vulnérabilités totales.
Les entreprises de services financiers sont victimes d’attaques de cybersécurité 300 fois plus fréquemment que les entreprises d’autres secteurs, et c’est pourquoi notre société a investi dans notre programme de gestion des vulnérabilités et en a fait l’une de ses priorités.
De nombreuses vulnérabilités élevées et critiques s’étaient accumulées. Leur volume compliquait le reporting, la priorisation et le suivi des problèmes. Au fond, il nous manquait simplement une solution de gestion des vulnérabilités à l’échelle de l’entreprise.
La solution dont nous disposions – composée de feuilles de calcul complexes qui extrayaient un grand nombre de vulnérabilités de plusieurs systèmes et scanners – était peu efficace, ce qui empêchait l’équipe de gestion des vulnérabilités et les équipes responsables de l’application des correctifs d’analyser les rapports complexes et d’explorer les données. Les rapports présentaient le nombre global de vulnérabilités et un indicateur clé de risque basé sur une formule, mais nous avions besoin de savoir comment cet indicateur était calculé et quelles vulnérabilités avaient un impact sur tel ou tel système.
Nous avions la sensation d’être paralysés. Les résultats de nos scanners de vulnérabilité nous ont permis de connaître le nombre de vulnérabilités que nous devions gérer, mais nous étions incapables de corréler de manière fiable les données à des systèmes et à des propriétaires spécifiques. En l’absence d’un protocole de reporting efficace, les administrateurs système ne savaient pas par où commencer dans l’application des correctifs. De son côté, l’équipe chargée du traitement des vulnérabilités était incapable d’indiquer des orientations utiles.
Le stress a entravé l’action de notre équipe. Les données étaient si opaques que nous avions l’impression de perdre le contrôle. Chaque mois, nous rendions compte de la situation à la direction, espérant que les chiffres de vulnérabilité allaient enfin diminuer, mais nous savions que le résultat était hors de notre contrôle. Nous nous sentions impuissants.
De plus, notre fournisseur de l’époque refusait de répondre à ces préoccupations et de résoudre les problèmes liés à son modèle de reporting, qui nous empêchaient de progresser. Nous sommes arrivés à la conclusion que nous devions remanier notre programme de gestion des vulnérabilités et changer de fournisseur.
Nous recherchions un service doté de l’expertise, des outils et des informations nécessaires pour nous aider à résorber l’accumulation de vulnérabilités, en particulier les plus critiques. Le choix de faire appel aux services de gestion des vulnérabilités de X-Force Red en novembre 2018 a rapidement fait ses preuves. L’équipe de hackers chevronnés de X-Force Red a immédiatement analysé les différents domaines technologiques et les différents secteurs d’activité de notre entreprise. Ils ont remanié le modèle de données, résolu d’importants problèmes de qualité des données et introduit une automatisation qu’ils continuent encore d’améliorer à ce jour.
Alors que précédemment, nous examinions manuellement chaque vulnérabilité et essayions de déchiffrer celles qui, dans la masse, étaient potentiellement les plus dangereuses, la formule de classement automatique de X-Force Red nous a permis de hiérarchiser les vulnérabilités les plus critiques de manière beaucoup plus efficace.
L’équipe de X-Force Red a rendu la formule transparente, de sorte que nous savions exactement comment l’algorithme fonctionnait. Fidèle à son esprit de hacker, X-Force Red a priorisé les vulnérabilités en fonction de leur utilisation (les cybercriminels les exploitent-t-ils pour des actions malveillantes ou non) et de la valeur de l’actif exposé. La hiérarchisation automatisée ne prenait que quelques minutes, alors qu’elle pouvait prendre plusieurs jours avec les méthodes manuelles que nous utilisions précédemment. Cette rapidité d’exécution nous a permis de remédier immédiatement aux vulnérabilités, de prévenir ainsi les attaques, et a permis aux membres de mon équipe de se concentrer sur d’autres tâches.
Avec l’aide de X-Force Red, mon équipe a pu attribuer les vulnérabilités aux bons propriétaires de résolution, mais aussi mesurer plus facilement les performances de ces propriétaires jour après jour. Notre nouvelle capacité à soutenir les propriétaires de systèmes et à les responsabiliser a amené d’importants progrès. Les services de gestion des vulnérabilités de X-Force Red permettent d’apporter rapidement des ajustements à notre processus de production de rapports. Nous comprenons désormais les données que nous étions incapables de déchiffrer depuis des années, et nous pouvons les visualiser dans un format spécifique ou par segments, ceci grâce aux services de gestion des vulnérabilités de X-Force Red.
Les chiffres ne mentent pas. Quatre mois seulement après le début de notre partenariat avec X-Force Red, nous avons constaté une réduction de 60 % des vulnérabilités les plus critiques et une réduction de 44 % du total des vulnérabilités.
Nous implantons actuellement un composant dédié à la facilitation de la résolution fourni par les services de gestion des vulnérabilités de X-Force Red, le but étant de transmettre nos problèmes les plus importants, par lots gérables, aux équipes d’administration des systèmes chargées de les résoudre.
Outre les aspects liés au reporting et au suivi de la pratique de gestion des vulnérabilités, l’équipe de X-Force Red a également pris en charge l’amélioration de notre infrastructure d’analyse. Nous sommes en mesure d’analyser l’environnement presque deux fois plus rapidement grâce aux reconfigurations qui éliminent les analyses redondantes et résolvent les problèmes de configuration du scanner.
Notre équipe est optimiste quant à la poursuite de notre partenariat avec X-Force Red et à l’impact significatif de ses services de gestion des vulnérabilités sur notre sécurité future. Je suis extrêmement satisfait : il est rare qu’un partenaire dépasse les attentes, mais dans ce cas, X-Force Red l’a fait.
Mentions légales
© Copyright IBM Corporation 2019. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux États-Unis d'Amérique, septembre 2019.
IBM, le logo IBM, ibm.com et X-Force sont des marques commerciales d’International Business Machines Corp., déposées dans de nombreux pays. Les autres noms de produits et de services sont des marques d’IBM ou qui appartiennent à d’autres sociétés. La liste actualisée des marques d’IBM est disponible sur la page web « Copyright and trademark information » à l’adresse ibm.com/legal/copyright-trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès inappropriés depuis et en dehors de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l'utilisation abusive d'informations, ainsi qu'à l'endommagement ou à l'utilisation abusive de vos systèmes, notamment pour les utiliser dans des attaques contre d'autres personnes. Aucun système ou produit informatique ne devrait être considéré comme entièrement sécurisé et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher l'utilisation ou l'accès abusif. Les systèmes, produits et services d'IBM sont conçus pour fonctionner dans le cadre d'une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent nécessiter des performances maximales des autres systèmes, produits et services. IBM NE GARANTIT PAS QUE LES SYSTÈMES, PRODUITS OU SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D'UN TIERS OU QU'ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.