La gestion des vulnérabilités, un sous-domaine de la gestion des risques informatiques, est la découverte, la hiérarchisation et la résolution continues des vulnérabilités de sécurité dans l'infrastructure informatique et les logiciels d'une organisation.

Une vulnérabilité de sécurité est une faille ou une faiblesse dans la structure, une fonctionnalité ou la mise en œuvre d'un réseau ou d'un actif en réseau que les pirates informatiques peuvent exploiter pour lancer des cyber-attaques, obtenir un accès non autorisé aux systèmes ou aux données, ou nuire d'une à une organisation. Les mauvaises configurations de pare-feu qui pourraient permettre à certains types de logiciels malveillants de pénétrer dabs le réseau, ou les bogues non corrigés dans le protocole de bureau à distance d'un système d'exploitation qui pourraient permettre aux pirates informatiques de prendre le contrôle d'un appareil sont des exemples de vulnérabilités courantes.

Comme les réseaux d'entreprise actuels sont considérablement distribués et qu'un nombre considérables de nouvelles vulnérabilités sont découvertes chaque jour, une gestion efficace des vulnérabilités, manuelle ou ad hoc, est pratiquement impossible. Les équipes de cyber-sécurité recourent généralement à des solutions de gestion des vulnérabilités pour automatiser le processus.

Le Center for Internet Security ( CIS ) répertorie la gestion des vulnérabilités comme l'un de ses contrôles de sécurité critiques (lien externe à ibm.com) pour se défendre contre les cyber-attaques les plus courantes. Grâce à la gestion des vulnérabilités, les équipes de la sécurité informatiques peuvent adopter une posture de sécurité plus proactive en identifiant et en résolvant les vulnérabilités avant qu'elles ne puissent être exploitées. 

Comme de nouvelles vulnérabilités peuvent apparaître à tout moment, les équipes de sécurité abordent la gestion des vulnérabilités comme un cycle de vie continu plutôt que comme un événement distinct. Ce cycle de vie comprend cinq flux de travail continus et qui se chevauchent : découverte, catégorisation et priorisation, résolution, réévaluation et production de rapports.

1. Découverte

Le flux de travail de détection porte sur l’évaluation des vulnérabilités, un processus permettant de rechercher les vulnérabilités connues et potentielles sur les actifs de l'organisation. Généralement, les équipes de sécurité automatisent ce processus à l'aide d'un logiciel de scanner de vulnérabilité. Certains scanners de vulnérabilité analysent régulièrement la totalité du réseau, tandis que d'autres utilisent des agents installés sur les ordinateurs portables, les routeurs et d'autres noeuds finaux pour collecter des données sur chaque appareil. Les équipes de sécurité peuvent également utiliser des évaluations épisodiques des vulnérabilités, comme les tests de pénétration, pour localiser les vulnérabilités qui pourraient échapper à un scanner.  

2. Catégorisation et hiérarchisation

Une fois les vulnérabilités identifiées, elles sont classées par type (par exemple, mauvaise configuration de dispositif, problèmes de chiffrement, exposition de données sensibles) et par ordre de priorité en fonction du niveau de criticité, qui est une estimation de la gravité de chaque vulnérabilité, de son exploitabilité et de sa probabilité de mener à une attaque.

Pour déterminer la criticité, les solutions de gestion des vulnérabilités s'appuient généralement sur des sources de renseignements sur les menaces telles que le Common Vulnerability Scoring System (CVSS), une norme ouverte du secteur de la cybersécurité qui évalue la criticité des vulnérabilités connues sur une échelle de 0 à 10, la liste des vulnérabilités et expositions communes (CVE) du MITRE et la National Vulnerability Database (NVD) du NIST. 

3. Solution

Une fois les vulnérabilités hiérarchisées, les équipes de sécurité peuvent les résoudre de trois manières :

• Résolution : traitement complet d'une vulnérabilité, afin qu'elle ne puisse plus être exploitée, en installant, par exemple, un module de correction qui corrige un bogue logiciel ou en retirant un actif vulnérable. De nombreuses plateformes de gestion des vulnérabilités fournissent des outils de résolution tels que la gestion des correctifs, pour le téléchargement et le test automatiques des correctifs, et la gestion de la configuration, pour remédier aux mauvaises configurations du réseau et des appareils à partir d'un tableau de bord ou d'un portail centralisé.
• Atténuation : rendre une vulnérabilité plus difficile à exploiter et/ou limiter l'impact de l'exploitation sans supprimer entièrement la vulnérabilité. Laisser un appareil vulnérable en ligne, mais l'isoler du reste du réseau est un exemple d'atténuation. L'atténuation est généralement effectuée lorsqu'un correctif ou un autre moyen de résolution n'est pas encore disponible. 
• Acceptation : choisir de ne pas traiter la vulnérabilité. Les vulnérabilités dont le score de criticité est faible, c'est-à-dire qu'il est peu probable qu'elles soient exploitées ou qu'elles causent des dommages importants, sont souvent acceptées. 

4. Réévaluation

Lorsque les vulnérabilités sont résolues, les équipes de sécurité procèdent généralement à une nouvelle évaluation des vulnérabilités pour s'assurer que leurs efforts d'atténuation ou de résolution ont fonctionné et n'ont pas introduit de nouvelles vulnérabilités.

5. Production de rapports

Les plateformes de gestion des vulnérabilités fournissent généralement des tableaux de bord permettant d'établir des rapports sur des mesures telles que le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). De nombreuses solutions gèrent également des bases de données des vulnérabilités identifiées. Ainsi, les équipes de sécurité peuvent suivre la résolution des vulnérabilités identifiées et auditer les tâches passées de gestion des vulnérabilités.

Grâce à ces fonctionnalités de production de rapports, les équipes de sécurité peuvent établir une base de référence pour les activités de gestion des vulnérabilités en cours et surveiller les performances du programme dans le temps. Les rapports peuvent servir également à partager des informations entre l'équipe de sécurité et les autres équipes informatiques qui peuvent être responsables de la gestion des actifs, mais qui ne sont pas directement impliquées dans le processus de gestion des vulnérabilités. 

La gestion de la vulnérabilité basée sur les risques (RBVM) est une approche relativement nouvelle de la gestion des vulnérabilités. RVBM combine des données de vulnérabilité spécifiques aux parties prenantes avec des fonctionnalités d'intelligence artificielle et d'apprentissage automatique pour améliorer la gestion de la vulnérabilité de trois manières importantes.

Plus de contexte pour définir les priorités plus efficacement. Comme indiqué ci-dessus, les solutions traditionnelles de gestion des vulnérabilités déterminent la criticité à l'aide de ressources standard du secteur comme CVSS ou NVD du NIST. Ces ressources s'appuient sur des généralités qui permettent de déterminer la criticité moyenne d'une vulnérabilité dans toutes les organisations. Cependant, elles manquent de données sur les vulnérabilités spécifiques aux parties prenantes, ce qui peut entraîner une sur- ou sous-priorisation dangereuse de la criticité d'une vulnérabilité pour l'entreprise.

Par exemple, comme aucune équipe de sécurité ne dispose du temps ni des ressources nécessaires pour traiter toutes les vulnérabilités de son réseau, beaucoup donnent la priorité aux vulnérabilités ayant un score CVSS "élevé" (7-8,9) ou "critique" (9-10). Mais si une vulnérabilité "critique" existe dans un actif qui ne stocke ou ne traite aucune information sensible, ou qui n'offre aucune voie d'accès aux segments à haute valeur du réseau, la résolution peut constituée une perte de temps pour l'équipe de sécurité. En revanche, les vulnérabilités ayant des scores CVSS bas peuvent représenter plus une menace pour certaines organisations que pour d'autres. Le bogue Heartbleed, découvert en 2014, a reçu un score "moyen" (5) sur l'échelle CVSS (lien externe à ibm.com). Pourtant, les pirates l'ont utilisé pour réaliser des attaques de grande envergure, comme le vol des données de 4,5 millions de patients (lien externe à ibm.com) de l'une des plus grandes chaînes d'hôpitaux américaines.

RBVM complète le score avec des données de vulnérabilité spécifiques aux parties prenantes (nombre et criticité de l'actif affecté, façon dont les actifs sont connectés à d'autres actifs et dommages potentiels qu'un exploit pourrait causer) et des données sur la manière dont les cybercriminels interagissent avec les vulnérabilités dans le monde réel. Il utilise apprentissage automatique pour établir des scores de risque qui reflètent plus précisément le risque de chaque vulnérabilité pour l'organisation. Ainsi, les équipes de sécurité informatique peuvent donner la priorité à un plus petit nombre de vulnérabilités critiques sans sacrifier la sécurité du réseau.

Détection en temps réel. Dans RBVM, les analyses de vulnérabilité sont souvent effectuées en temps réel plutôt que selon un calendrier récurrent. En outre, les solutions RBVM peuvent surveiller un plus large éventail d'actifs. Alors que les scanners de vulnérabilité traditionnels sont généralement limités aux actifs connus directement connectés au réseau, les outils RBVM peuvent généralement analyser les appareils mobiles sur site et à distance, les actifs dans le cloud, les applications tierces et d'autres ressources.

Réévaluation automatisée. Dans un traitement RBVM, la réévaluation peut être effectuée automatiquement en recherchant en continu les vulnérabilités.ration Dans la gestion traditionnelle des vulnérabilités, la réévaluation peut nécessiter d'une analyse du réseau ou des testes de pénétration. 

La gestion des vulnérabilités est étroitement associée à la gestion du périmètre de vulnérabilité (ASM). ASM est la découverte, l'analyse, la résolution et la surveillance continues des vulnérabilités et des vecteurs d'attaque potentiels qui constituent le périmètre de vulnérabilité. La principale différence entre ASM et la gestion des vulnérabilités est une question de portée. Si les deux processus surveillent et résolvent les vulnérabilités des actifs d'une organisation, ASM adopte une approche plus générale de la sécurité du réseau. 

Les solutions ASM comprennent des fonctionnalités de reconnaissance des actifs qui identifient et surveillent tous les actifs connus, inconnus, tiers, accessoires et malveillants connectés au réseau. ASM ne se limitent pas aux actifs informatiques pour identifier les vulnérabilités dans les périmètres de vulnérabilité physiques et d'ingénierie sociale de l'organisation. Il analyse ensuite ces actifs et ses vulnérabilités du point de vue des pirates informatiques, afin de comprendre comment les cybercriminels pourraient les utiliser pour infiltrer le réseau.

Avec l'essor de la gestion des vulnérabilités basée sur les risques (RBVM), la frontière entre la gestion des vulnérabilités et ASM continue de s'estomper. Les organisations déploient généralement des plateformes ASM dans le cadre de leur solution RBVM, car ASM offre une vue plus complète du périmètre de vulnérabilité que la gestion des vulnérabilités seule.