Publication : 15 décembre 2023
Contributeurs : Matt Kosinski, Amber Forrest
L’analyse des vulnérabilités, également appelée « évaluation des vulnérabilités », est le processus d’évaluation des réseaux ou des actifs informatiques à la recherche de vulnérabilités de sécurité : des failles ou des faiblesses que les acteurs malveillants externes ou internes peuvent exploiter. L’analyse des vulnérabilités est la première étape du cycle de vie plus large de la gestion des vulnérabilités.
Dans la plupart des entreprises d’aujourd'hui, l’analyse des vulnérabilités est entièrement automatisée. Elle est réalisée à l’aide d’outils d’analyse des vulnérabilités spécialisés qui détectent et signalent les failles que l’équipe chargée de la sécurité devrait examiner.
L’exploitation des vulnérabilités est le deuxième vecteur de cyberattaque le plus courant derrière l’hameçonnage, selon l’indice X-Force Threat Intelligence d’IBM. Grâce à l’analyse des vulnérabilités, les organisations peuvent détecter les failles de sécurité et y remédier avant que les cybercriminels ne les exploitent. C’est pour cette raison que le Center for Internet Security (CIS) (lien externe à ibm.com) considère la gestion continue des vulnérabilités, y compris leur analyse automatisée, comme une pratique de cybersécurité critique.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
Une vulnérabilité de sécurité, c’est tout point faible dans la structure, le fonctionnement ou la mise en œuvre d’un actif informatique ou d’un réseauque des pirates ou autres acteurs malveillants peuvent exploiter pour obtenir un accès non autorisé aux systèmes et nuire au réseau, aux utilisateurs ou à l’entreprise. Voici quelques vulnérabilités courantes : Voici quelques vulnérabilités courantes :
Des milliers de nouvelles vulnérabilités sont découvertes chaque mois. Aux États-Unis, deux agences gouvernementales tiennent des catalogues consultables des failles de sécurité connues : le National Institute of Standards and Technologies (NIST) et la Cybersecurity and Infrastructure Security Agency (CISA) (liens externes à ibm.com).
Malheureusement, même si les vulnérabilités sont soigneusement documentées une fois découvertes, ce sont souvent les pirates informatiques et autres acteurs malveillants qui les trouvent en premier, leur permettant de prendre les organisations par surprise.
Pour adopter une posture de sécurité plus proactive face à ces cybermenaces, les équipes informatiques mettent en œuvre des programmes de gestion des vulnérabilités. Ces programmes s’appuient sur un processus continu qui permet d’identifier et de résoudre les risques de sécurité avant que les pirates ne puissent les exploiter. L’analyse des vulnérabilités constitue généralement la première étape du processus de gestion des vulnérabilités : son objectif étant de découvrir les failles de sécurité que les équipes chargées de l’informatique et de la sécurité devront résoudre.
Voici comment de nombreuses équipes de sécurité utilisent également l’analyse des vulnérabilités :
Validation des mesures et des contrôles de sécurité : après avoir mis en place de nouveaux contrôles, les équipes effectuent souvent une autre analyse. Il s’agit de confirmer que les vulnérabilités identifiées ont été corrigées et que les efforts de résolution n’ont pas introduit de nouveau problème.
Pour maintenir la conformité réglementaire : certaines réglementations exigent explicitement l’exécution d’une analyse des vulnérabilités. Par exemple, la norme PCI-DSS (Payment Card Industry Data Security Standard) exige que les organisations qui gèrent les données des titulaires de carte fassent des analyses trimestrielles (lien externe à ibm.com).
Entre les applications cloud et sur site, les appareils mobiles et IdO, les ordinateurs portables et autres terminaux traditionnels, les réseaux d’entreprise modernes contiennent trop d’actifs pour une analyse manuelle des vulnérabilités. Les équipes de sécurité utilisent à la place des scanners de vulnérabilités pour effectuer des analyses automatisées récurrentes.
Pour détecter les vulnérabilités potentielles, les scanners collectent d’abord des informations sur les actifs informatiques. Certains scanners utilisent des agents installés sur les terminaux pour recueillir des données sur les appareils et les logiciels qui s’y exécutent. D’autres scanners examinent les systèmes de l’extérieur, en pénétrant les ports ouverts pour découvrir des détails sur les configurations et les services actifs sur les appareils. Certains scanners effectuent des tests plus dynamiques : en essayant de se connecter à un appareil à l'aide d’identifiants par défaut.
Une fois les actifs analysés, le scanner les compare à une base de données de vulnérabilités. Celle-ci enregistre les vulnérabilités et les expositions courantes (CVE) pour diverses versions matérielles et logicielles. Certains scanners s’appuient sur des sources publiques comme les bases de données du NIST et de la CISA. D’autres utilisent des bases de données propriétaires.
Le scanner vérifie, pour chaque actif, s’il présente les indices de failles qui lui sont associés. Par exemple, il recherche des problèmes comme un bogue du protocole de bureau à distance dans le système d’exploitation. Ce bogue pourrait permettre aux pirates informatiques de prendre le contrôle de l’appareil. Les scanners peuvent également comparer la configuration d’un actif à une liste de bonnes pratiques de sécurité, par exemple en s’assurant que des critères d’authentification stricts ont été mis en œuvre pour réglementer l’accès à une base de données sensible.
Ensuite, le scanner compile un rapport sur les vulnérabilités identifiées à l’attention de l’équipe de sécurité. Les rapports les plus basiques se contentent de dresser la liste de tous les problèmes de sécurité à résoudre. Certains scanners peuvent fournir des explications détaillées et comparer les résultats de l’analyse à ceux des analyses précédentes afin de suivre les évolutions de la gestion des vulnérabilités dans le temps.
Les scanners plus avancés hiérarchisent également les vulnérabilités en fonction de leur criticité. Les scanners peuvent utiliser des renseignements sur les menaces open source, comme les scores CVSS (Common Vulnerability Scoring System), pour juger de la gravité d’une faille. Ils peuvent également utiliser des algorithmes plus complexes qui prennent en compte la faille dans le contexte unique de l’organisation. Ces scanners peuvent également recommander des méthodes de résolution et d’atténuation pour chaque faille.
Les risques de sécurité associés à un réseau évoluent avec l’ajout de nouveaux actifs et la découverte de nouvelles vulnérabilités dans la nature. Pourtant, chaque analyse des vulnérabilités ne peut capturer qu’un moment instantané. Pour suivre l’évolution du paysage des cybermenaces, les entreprises effectuent des analyses régulières.
La plupart des analyses de vulnérabilités n’examinent pas tous les actifs du réseau en une seule fois, car cela nécessite beaucoup trop de ressources et de temps. Souvent, les équipes de sécurité regroupent les actifs en fonction de leur criticité et les analysent par lots. Les actifs les plus critiques peuvent être analysés chaque semaine ou chaque mois, tandis que les actifs moins critiques peuvent être analysés tous les trimestres ou chaque année.
Les équipes de sécurité peuvent également effectuer des analyses chaque fois que des modifications majeures sont apportées au niveau du réseau, comme l’ajout de nouveaux serveurs web ou la création d’une nouvelle base de données sensible.
Certains scanners de vulnérabilités avancés proposent des analyses en continu. Ces outils surveillent les actifs en temps réel et signalent les nouvelles vulnérabilités dès leur apparition. Cependant, les analyses en continu ne sont pas toujours possibles ni souhaitables. Des analyses de vulnérabilités plus intensives peuvent interférer avec les performances du réseau, c’est pourquoi certaines équipes informatiques préfèrent procéder à des analyses périodiques.
Il existe de nombreux types de scanners, et les équipes de sécurité utilisent souvent une combinaison d’outils pour obtenir une vue complète des vulnérabilités du réseau.
Certains scanners se concentrent sur des types d’actifs particuliers. Par exemple, les scanners cloud se concentrent sur les services cloud, tandis que les outils d’analyse des applications web recherchent les failles, comme leur nom l’indique, dans les applications web.
Les scanners peuvent être installés localement ou fournis sous forme d’applications SaaS (Software-as-a-Service ou logiciel en tant que service). Il existe des scanners de vulnérabilités open source et des outils payants. Certaines organisations externalisent entièrement l’analyse des vulnérabilités à des fournisseurs de services tiers.
Bien que les scanners de vulnérabilités soient disponibles sous forme de solutions autonomes, les fournisseurs les proposent de plus en plus dans des suites de solutions holistiques de gestion des vulnérabilités. Ces outils combinent plusieurs types de scanners avec la gestion de la surface d’attaque, la gestion des actifs, la gestion des correctifs et d’autres fonctions clés, dans une seule solution.
De nombreux scanners prennent en charge les intégrations avec d’autres outils de cybersécurité, comme les systèmes de gestion des informations et des événements de sécurité (SIEM) et les outils de détection et de réponse des terminaux (EDR).
Les équipes de sécurité peuvent exécuter différents types d’analyses en fonction de leurs besoins. En voici les types les plus courants :
Les analyses de vulnérabilités externes examinent le réseau depuis l’extérieur. Elles se concentrent sur les failles des actifs orientés Internet tels que les applications web, et elles testent les contrôles de périmètre comme les pare-feu. Ces analyses montrent comment un pirate externe pourrait s’introduire sur un réseau.
Les analyses de vulnérabilités internes examinent les vulnérabilités depuis l’intérieur du réseau. Elles révèlent ce qu’un pirate informatique pourrait faire en cas d’intrusion, notamment ses déplacements latéraux potentiels et les informations sensibles qu’il pourrait voler en cas de violation de données.
Les analyses avec authentification, également appelées « analyses avec identification », nécessitent les privilèges d’accès d’un utilisateur autorisé. Au lieu de simplement regarder une application de l’extérieur, le scanner peut voir ce qu’un utilisateur connecté pourrait voir. Ces analyses illustrent ce qu’un pirate pourrait faire avec un compte piraté ou comment une menace interne peut causer des dommages.
Dans les analyses sans authentification, également appelées « analyses sans identification », aucune autorisation d’accès ni aucun privilège ne sont donnés. Elles ne voient les actifs que d’un point de vue extérieur. Les équipes de sécurité peuvent exécuter des analyses non authentifiées internes et externes.
Bien que chaque type d’analyse ait ses propres cas d’utilisation, certains aspects se recoupent et ils peuvent être combinés pour répondre à des objectifs différents. Par exemple, une analyse interne authentifiée montrerait le point de vue d’une menace interne. En revanche, une analyse interne non authentifiée montrerait ce que verrait un pirate informatique s’il franchissait le périmètre du réseau.
L’analyse des vulnérabilités et les tests d’intrusion sont des formes distinctes mais liées de tests de sécurité réseau. Malgré leurs fonctions différentes, de nombreuses équipes de sécurité les utilisent en complément l’un de l’autre.
Les analyses de vulnérabilités sont des analyses générales automatisées des actifs. Elles trouvent des failles et les signalent à l’équipe de sécurité. Les tests d’intrusion, ou tests de pénétration, sont des processus manuels. Les responsables des tests de pénétration utilisent des compétences de piratage éthique pour non seulement détecter les vulnérabilités du réseau, mais aussi pour les exploiter lors de simulations d’attaques.
Les analyses de vulnérabilité sont moins coûteuses et plus faciles à exécuter, de sorte que les équipes de sécurité les utilisent pour surveiller un système. Les tests de pénétration nécessitent plus de ressources, mais peuvent aider les équipes de sécurité à mieux comprendre les failles de leur réseau.
Utilisés ensemble, les analyses de vulnérabilités et les tests de pénétration peuvent rendre la gestion des vulnérabilités plus efficace. Par exemple, les analyses des vulnérabilités peuvent constituer un point de départ utile pour les responsables des tests de pénétration. De même, les tests de pénétration peuvent ajouter plus de contexte aux résultats de l’analyse en révélant les faux positifs, en identifiant les origines des problèmes et en déterminant comment les cybercriminels peuvent associer les vulnérabilités lors d’attaques plus complexes.
Améliorez considérablement les taux de détection et réduisez les délais de détection et d’examen des menaces.
Adoptez un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la correction des failles susceptibles d’exposer vos actifs les plus critiques.
Identifiez les menaces en quelques minutes. Gagnez en efficacité et simplifiez les opérations grâce à des workflows intégrés.
Simplifiez et optimisez la gestion de vos applications et vos opérations technologiques grâce à des informations basées sur l’IA générative.
Soyez mieux préparé face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
Découvrez comment la traque des menaces permet d’identifier de manière proactive les menaces jusque-là inconnues, ou non résolues, qui pèsent sur le réseau de l’entreprise.
Connaître les menaces pour mieux les vaincre : obtenez des connaissances exploitables pour comprendre comment les acteurs de menaces mènent leurs attaques et comment protéger votre organisation de manière proactive.