Publication : 15 décembre 2023
Contributeurs : Matt Kosinski, Amber Forrest
L’analyse des vulnérabilités, également appelée « évaluation des vulnérabilités », est le processus d’évaluation des réseaux ou des actifs informatiques à la recherche de vulnérabilités de sécurité : des failles ou des faiblesses que les acteurs malveillants externes ou internes peuvent exploiter. L’analyse des vulnérabilités est la première étape du cycle de vie plus large de la gestion des vulnérabilités.
Dans la plupart des entreprises d’aujourd'hui, l’analyse des vulnérabilités est entièrement automatisée. Elle est réalisée à l’aide d’outils d’analyse des vulnérabilités spécialisés qui détectent et signalent les failles que l’équipe chargée de la sécurité devrait examiner.
L’exploitation des vulnérabilités est le deuxième vecteur de cyberattaque le plus courant derrière l’hameçonnage, selon l’indice X-Force Threat Intelligence d’IBM. Grâce à l’analyse des vulnérabilités, les organisations peuvent détecter les failles de sécurité et y remédier avant que les cybercriminels ne les exploitent. C’est pour cette raison que le Center for Internet Security (CIS) (lien externe à ibm.com) considère la gestion continue des vulnérabilités, y compris leur analyse automatisée, comme une pratique de cybersécurité critique.
Une vulnérabilité de sécurité, c’est tout point faible dans la structure, le fonctionnement ou la mise en œuvre d’un actif informatique ou d’un réseau que des pirates ou autres acteurs malveillants peuvent exploiter pour obtenir un accès non autorisé aux systèmes et nuire au réseau, aux utilisateurs ou à l’entreprise. Voici quelques vulnérabilités courantes :
- Les défauts de codage, comme dans les applications web sujettes au cross-site scripting, à l’injection de code SQL et à d’autres attaques par injection en raison de la façon dont elles gèrent les entrées utilisateur.
- Ports ouverts non protégés sur les serveurs, ordinateurs portables et autres terminaux, que les pirates peuvent utiliser pour diffuser des logiciels malveillants.
- Mauvaises configurations, par exemple un compartiment de stockage cloud qui expose des données sensibles sur le réseau Internet public à cause d’autorisations d’accès inappropriées.
- Des correctifs manquants, des mots de passe faibles ou d’autres problèmes de cyberhygiène.
Des milliers de nouvelles vulnérabilités sont découvertes chaque mois. Aux États-Unis, deux agences gouvernementales tiennent des catalogues consultables des failles de sécurité connues : le National Institute of Standards and Technologies (NIST) et la Cybersecurity and Infrastructure Security Agency (CISA) (liens externes à ibm.com).
Malheureusement, même si les vulnérabilités sont soigneusement documentées une fois découvertes, ce sont souvent les pirates informatiques et autres acteurs malveillants qui les trouvent en premier, leur permettant de prendre les organisations par surprise.
Pour adopter une posture de sécurité plus proactive face à ces cybermenaces, les équipes informatiques mettent en œuvre des programmes de gestion des vulnérabilités. Ces programmes s’appuient sur un processus continu qui permet d’identifier et de résoudre les risques de sécurité avant que les pirates ne puissent les exploiter. L’analyse des vulnérabilités constitue généralement la première étape du processus de gestion des vulnérabilités : son objectif étant de découvrir les failles de sécurité que les équipes chargées de l’informatique et de la sécurité devront résoudre.
Voici comment de nombreuses équipes de sécurité utilisent également l’analyse des vulnérabilités :
Pour valider les mesures et les contrôles de sécurité : après avoir mis en place de nouveaux contrôles, les équipes effectuent souvent une autre analyse pour confirmer que les vulnérabilités identifiées ont été corrigées et que les efforts de résolution n’ont pas introduit de nouveau problème.
Pour maintenir la conformité réglementaire : certaines réglementations exigent explicitement l’exécution d’une analyse des vulnérabilités. Par exemple, la norme PCI-DSS (Payment Card Industry Data Security Standard) exige que les organisations qui gèrent les données des titulaires de carte fassent des analyses trimestrielles (lien externe à ibm.com).
Entre les applications cloud et sur site, les appareils mobiles et IdO, les ordinateurs portables et autres terminaux traditionnels, les réseaux d’entreprise modernes contiennent trop d’actifs pour une analyse manuelle des vulnérabilités. Les équipes de sécurité utilisent à la place des scanners de vulnérabilités pour effectuer des analyses automatisées récurrentes.
Pour détecter les vulnérabilités potentielles, les scanners collectent d’abord des informations sur les actifs informatiques. Certains scanners utilisent des agents installés sur les terminaux pour recueillir des données sur les appareils et les logiciels qui s’y exécutent. D’autres scanners examinent les systèmes de l’extérieur, en pénétrant les ports ouverts pour découvrir des détails sur les configurations et les services actifs sur les appareils. Certains scanners effectuent des tests plus dynamiques : en essayant de se connecter à un appareil à l'aide d’identifiants par défaut.
Une fois que le scanner a fait l’inventaire des actifs, il les compare à une base de données de vulnérabilités qui enregistre les vulnérabilités et les expositions courantes (CVE) pour diverses versions matérielles et logicielles. Certains scanners s’appuient sur des sources publiques comme les bases de données du NIST et de la CISA. D’autres utilisent des bases de données propriétaires.
Le scanner vérifie si chaque actif présente les signes des failles qui lui sont associées, comme un système d’exploitation connu pour contenir un bug au niveau du protocole de bureau à distance permettant aux pirates de prendre le contrôle de l’appareil. Les scanners peuvent également comparer la configuration d’un actif à une liste de bonnes pratiques de sécurité, par exemple en s’assurant que des critères d’authentification stricts sont en place pour accéder à une base de données sensible.
Ensuite, le scanner compile un rapport sur les vulnérabilités identifiées à l’attention de l’équipe de sécurité. Les rapports les plus basiques se contentent de dresser la liste de tous les problèmes de sécurité à résoudre. Certains scanners peuvent fournir des explications détaillées et comparer les résultats de l’analyse à ceux des analyses précédentes afin de suivre les évolutions de la gestion des vulnérabilités dans le temps.
Les scanners plus avancés hiérarchisent également les vulnérabilités en fonction de leur criticité. Les scanners peuvent utiliser des renseignements sur les menaces open source, tels que les scores CVSS (Common Vulnerability Scoring System), pour juger de la gravité d’une faille, ou ils peuvent utiliser des algorithmes plus complexes qui prennent en compte la faille dans le contexte unique de l’organisation. Ces scanners peuvent également recommander des méthodes de résolution et d’atténuation pour chaque faille.
Les risques de sécurité associés à un réseau évoluent avec l’ajout de nouveaux actifs et la découverte de nouvelles vulnérabilités dans la nature. Pourtant, chaque analyse des vulnérabilités ne peut capturer qu’un moment instantané. Pour suivre l’évolution du paysage des cybermenaces, les entreprises effectuent des analyses régulières.
La plupart des analyses de vulnérabilités n’examinent pas tous les actifs du réseau en une seule fois, car cela nécessiterait beaucoup de trop de ressources et de temps. Souvent, les équipes de sécurité regroupent les actifs en fonction de leur criticité et les analysent par lots. Les actifs les plus critiques peuvent être analysés chaque semaine ou chaque mois, tandis que les actifs moins critiques peuvent être analysés tous les trimestres ou chaque année.
Les équipes de sécurité peuvent également effectuer des analyses chaque fois que des modifications majeures sont apportées au niveau du réseau, comme l’ajout de nouveaux serveurs web ou la création d’une nouvelle base de données sensible.
Certains scanners de vulnérabilités avancés proposent des analyses en continu. Ces outils surveillent les actifs en temps réel et signalent les nouvelles vulnérabilités dès leur apparition. Cependant, les analyses en continu ne sont pas toujours possibles ni souhaitables. Des analyses de vulnérabilités plus intensives peuvent interférer avec les performances du réseau, c’est pourquoi certaines équipes informatiques préfèrent procéder à des analyses périodiques.
Il existe de nombreux types de scanners, et les équipes de sécurité utilisent souvent une combinaison d’outils pour obtenir une vue complète des vulnérabilités du réseau.
Certains scanners se concentrent sur des types d’actifs particuliers. Par exemple, les scanners cloud se concentrent sur les services cloud, tandis que les outils d’analyse des applications web recherchent les failles, comme leur nom l’indique, dans les applications web.
Les scanners peuvent être installés localement ou fournis sous forme d’applications SaaS (Software-as-a-Service ou logiciel en tant que service). Il existe des scanners de vulnérabilités open source et des outils payants. Certaines organisations externalisent entièrement l’analyse des vulnérabilités à des fournisseurs de services tiers.
Bien que les scanners de vulnérabilités soient disponibles sous forme de solutions autonomes, les fournisseurs les proposent de plus en plus dans des suites de solutions holistiques de gestion des vulnérabilités. Ces outils combinent plusieurs types de scanners avec la gestion de la surface d'attaque, la gestion des actifs, la gestion des correctifs et d’autres fonctions clés, dans une seule solution.
De nombreux scanners prennent en charge les intégrations avec d’autres outils de cybersécurité, comme les systèmes de gestion des informations et des événements de sécurité (SIEM) et les outils de détection et de réponse des terminaux (EDR).
Les équipes de sécurité peuvent exécuter différents types d’analyses en fonction de leurs besoins. En voici les types les plus courants :
Les analyses de vulnérabilités externes examinent le réseau depuis l’extérieur. Elles se concentrent sur les failles des actifs orientés Internet tels que les applications web, et elles testent les contrôles de périmètre comme les pare-feu. Ces analyses montrent comment un pirate externe pourrait s’introduire sur un réseau.
Les analyses de vulnérabilités internes examinent les vulnérabilités depuis l’intérieur du réseau. Elles révèlent ce qu’un pirate informatique pourrait faire en cas d’intrusion, notamment ses déplacements latéraux potentiels et les informations sensibles qu’il pourrait voler en cas de violation de données.
Les analyses avec authentification, également appelées « analyses avec identification », nécessitent les privilèges d’accès d’un utilisateur autorisé. Au lieu de simplement regarder une application de l'extérieur, le scanner peut voir ce qu'un utilisateur connecté pourrait voir. Ces analyses illustrent ce qu'un pirate pourrait faire avec un compte piraté ou comment une menace interne peut causer des dommages.
Dans les analyses sans authentification, également appelées « analyses sans identification », aucune autorisation d’accès ni aucun privilège ne sont donnés. Elles ne voient les actifs que d’un point de vue extérieur. Les équipes de sécurité peuvent exécuter des analyses non authentifiées internes et externes.
Bien que chaque type d’analyse ait ses propres cas d’utilisation, certains aspects se recoupent et ils peuvent être combinés pour répondre à des objectifs différents. Par exemple, une analyse interne authentifiée montrerait le point de vue d’une menace interne. En revanche, une analyse interne non authentifiée montrerait ce que verrait un pirate informatique s’il franchissait le périmètre du réseau.
L’analyse des vulnérabilités et les tests d’intrusion sont des formes distinctes mais liées de tests de sécurité réseau. Malgré leurs fonctions différentes, de nombreuses équipes de sécurité les utilisent en complément l’un de l’autre.
Les analyses de vulnérabilités sont des analyses générales automatisées des actifs. Elles trouvent des failles et les signalent à l’équipe de sécurité. Les tests d’intrusion, ou tests de pénétration, sont des processus manuels. Les responsables des tests de pénétration utilisent des compétences de piratage éthique pour non seulement détecter les vulnérabilités du réseau, mais aussi pour les exploiter lors de simulations d’attaques.
Les analyses de vulnérabilité sont moins coûteuses et plus faciles à exécuter, de sorte que les équipes de sécurité les utilisent pour surveiller un système. Les tests de pénétration nécessitent plus de ressources, mais peuvent aider les équipes de sécurité à mieux comprendre les failles de leur réseau.
Utilisés ensemble, les analyses de vulnérabilités et les tests de pénétration peuvent rendre la gestion des vulnérabilités plus efficace. Par exemple, les analyses des vulnérabilités peuvent constituer un point de départ utile pour les responsables des tests de pénétration. De même, les tests de pénétration peuvent ajouter plus de contexte aux résultats de l’analyse en révélant les faux positifs, en identifiant les origines des problèmes et en déterminant comment les cybercriminels peuvent associer les vulnérabilités lors d’attaques plus complexes.
Améliorez considérablement les taux de détection et réduisez les délais de détection et d’examen des menaces
Adoptez un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la correction des failles susceptibles d’exposer vos actifs les plus critiques.
Identifiez les menaces en quelques minutes. Gagnez en efficacité et simplifiez les opérations grâce à des workflows intégrés.
Soyez mieux préparé face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
La traque des menaces est une approche proactive permettant d’identifier les menaces auparavant inconnues ou permanentes non corrigées au sein du réseau d’une organisation.
Connaître les menaces pour mieux les vaincre : obtenez des connaissances exploitables pour comprendre comment les acteurs de menaces mènent leurs attaques et comment protéger votre organisation de manière proactive.