Qu’est-ce qu’une évaluation des vulnérabilités ?

L’évaluation des vulnérabilités fait référence à un outil, à une technique ou à un processus qui examine un composant spécifique d’une entreprise afin de mettre en évidence des faiblesses de sécurité particulières. Les applications, les services, les réseaux, l’infrastructure et les personnes peuvent tous présenter des problèmes de sécurité involontaires. En effectuant des évaluations des vulnérabilités, telles que la vérification automatique des correctifs, l’analyse de code et des exercices d’ingénierie sociale, les organisations peuvent atténuer les menaces et améliorer leur posture de sécurité globale.

L’évaluation des vulnérabilités présente plusieurs avantages pour les entreprises qui cherchent à améliorer leur niveau de sécurité.

Réduire les risques de sécurité

Une évaluation des vulnérabilités permet d’identifier directement les failles de votre environnement que les adversaires pourraient exploiter. En comprenant les domaines dans lesquels votre posture de sécurité doit être améliorée, vous pouvez immédiatement commencer à développer des mesures préventives pour renforcer votre sécurité. La réalisation fréquente d’évaluations des vulnérabilités permet de découvrir des failles de sécurité inconnues, ce qui vous permet de les corriger à l’avance.

Améliorer les voies de réponse aux incidents et la gestion de l’exposition

Les évaluations des vulnérabilités vous permettent de planifier les processus de réponse aux incidents et les techniques de gestion de l’exposition. À l’aide de l’analyse des vulnérabilités, vous constaterez peut-être que certaines vulnérabilités peuvent être difficiles à corriger ou qu’il peut être long de les corriger.

Dans ces cas, vous pouvez développer ou affiner des plans de réponse aux incidents, y compris des techniques de gestion de l’exposition, des plans de communication avec les parties prenantes et d’autres voies post-incident.

Soutenir les efforts de conformité et d’audit

Une partie importante de la conformité en matière de sécurité consiste à surveiller régulièrement la conformité de vos systèmes aux conditions d’audit et de reporting du cadre réglementaire. La réalisation d’une analyse des vulnérabilités alignée sur des cadres spécifiques peut vous aider à identifier les domaines dans lesquels vous pourriez avoir besoin d’affiner votre architecture et vos contrôles pour assurer la conformité. En effectuant régulièrement des évaluations des vulnérabilités, vous créez un journal des contrôles de gestion de la posture de sécurité que vous pouvez utiliser à des fins d’audit.

Améliorez la gestion de la posture de sécurité en supprimant les vulnérabilités identifiées

Les évaluations des vulnérabilités permettent d’identifier les domaines dans lesquels votre entreprise pourrait améliorer sa posture de sécurité ou améliorer les protocoles et contrôles de cybersécurité actuels. En comprenant les domaines dans lesquels vous pouvez améliorer votre sécurité, vous pouvez hiérarchiser plus facilement les vulnérabilités en fonction de leur impact potentiel. Ce programme de gestion des vulnérabilités fournit une feuille de route pour aider votre équipe de cybersécurité à accélérer la résolution des problèmes de sécurité critiques.

Voici quelques-unes des failles de sécurité les plus courantes que votre entreprise peut rencontrer lors de l’exécution d’une analyse des vulnérabilités.

Réseaux non renforcés

Le renforcement du réseau consiste à ajouter des solutions et des contrôles de protection afin que votre infrastructure réseau soit aussi sécurisée que possible. Si une partie de votre surface d’attaque ne dispose pas de contrôles de sécurité spécifiques ou possède, par exemple, un pare-feu mal configuré, cela sera considéré comme une vulnérabilité réseau non renforcée. L’ouverture de ports ou de réseaux publics peut entraîner la menace qu’un tiers accède à vos données sensibles sans autorisation. La surveillance de vos réseaux pour détecter ces menaces potentielles constitue un élément central de la gestion des vulnérabilités.

Logiciel obsolète

De nombreux systèmes hérités et logiciels existants contiennent des failles de sécurité connues de l’ensemble du secteur. Si une entreprise continue à utiliser des systèmes hérités et des logiciels obsolètes, elle court un risque. Les systèmes et logiciels non pris en charge sans nouveaux correctifs de sécurité et mises à jour présentent des risques. Modernisez ou remplacez ces systèmes dès que possible.

Gestion non sécurisée des données

La gestion des données est un élément essentiel d’une gestion efficace de la posture de sécurité. Si votre entreprise applique des politiques de traitement des données médiocres, telles que des techniques de chiffrement inefficaces, des comptes de connexion par défaut ou des contrôles d’accès non gérés, vos données seront plus facilement accessibles aux personnes non autorisées.

vulnérabilités de configuration

Les vulnérabilités de configuration font référence à des erreurs de configuration de vos systèmes numériques qui les rendent vulnérables aux exploits. Par exemple, une mauvaise configuration qui partage publiquement un compartiment Amazon S3 peut entraîner une exposition involontaire d’informations. Il est donc essentiel pour votre entreprise de vérifier régulièrement les configurations actives afin d’identifier et de corriger les vulnérabilités connues.

Faible gestion des utilisateurs

Les employés et les comptes utilisateurs mal protégés, tels que ceux dont les mots de passe sont faibles ou ne disposent pas de l’authentification multifacteur, peuvent représenter un risque potentiel pour votre sécurité. Les entreprises devraient revoir régulièrement les comptes des utilisateurs, promouvoir de bonnes pratiques en matière de mots de passe, exiger l’authentification multifacteur pour tous les comptes et supprimer les comptes de tous les utilisateurs qui ne travaillent plus pour une entreprise.

Vulnérabilités non corrigées

Lorsque les équipes de cybersécurité identifient une vulnérabilité dans un système largement utilisé, publier ces informations et les partager avec les autres équipes constitue une norme du secteur. Le faire via des canaux privés permet à n’importe quel outil de publier un correctif pour résoudre le problème avant que des équipes tierces ne commencent à utiliser l’exploit.

Pour cette raison, les équipes de cybersécurité doivent s’efforcer de toujours mettre à jour la version la plus récente de tous les logiciels qu’elles utilisent, car celles-ci contiendront les correctifs de sécurité les plus récents.

Menaces internes

Les menaces internes se produisent lorsque des employés actifs déclenchent délibérément ou accidentellement un événement de sécurité inattendu. Ces menaces sont souvent liées à un manque de connaissances en matière de sécurité, comme le fait de tomber dans une escroquerie par hameçonnage et de perdre l’accès à leur compte. Les menaces internes sont assez courantes, ce qui fait de la formation des utilisateurs un élément important des mesures de sécurité complètes et continues.

Il existe plusieurs types d’évaluations des vulnérabilités qui portent chacune sur des types de vulnérabilités distincts.

Outils d’analyse des vulnérabilités

L’analyse automatique des vulnérabilités surveille la surface d’attaque d’une entreprise et interagit avec ses systèmes d’exploitation, ses périphériques réseau et ses applications pour vérifier la conformité à une base de données de vulnérabilités identifiées par les principaux groupes de surveillance des menaces. Si le scanner identifie l’une des vulnérabilités courantes de la base de données de votre système, il alertera votre équipe de sécurité pour qu’elle prenne des mesures.

Techniques d’analyse statique et d’analyse dynamique

Les tests statiques de sécurité des applications (SAST) sont un outil d’analyse des vulnérabilités qui inspecte le code source des applications afin de détecter d’éventuelles vulnérabilités. Le SAST est un élément central du codage sécurisé et est souvent intégré au pipeline de développement logiciel pour aider les développeurs à détecter les vulnérabilités avant qu’elles ne soient transférées au code réel.

Les tests dynamiques de sécurité des applications (DAST) observent les applications dans les environnements d’exécution afin de détecter toute anomalie pouvant indiquer la présence d’une interaction tierce. Les tests de vulnérabilité DAST identifient les exploits courants tels que les scripts intersites, les injections SQL et les scénarios de gestion de session inappropriés.

Évaluations internes par les pairs

Les révisions internes du code par des pairs sont devenues une pratique courante à l’ère de la gauche dans le développement de logiciels. Dans le cadre d’un examen interne par les pairs, les équipes internes de cybersécurité inspectent le code et les systèmes existants des autres équipes afin d’identifier les erreurs de configuration, les vulnérabilités potentielles et les failles logiques susceptibles d’être exploitées par des tiers lors d’événements de sécurité imprévus.

Examens externes et tests d’intrusion

Les évaluations externes suivent un processus similaire à celui des évaluations internes par les pairs, mais sont effectuées par des sociétés de sécurité externes. Ces entreprises sont spécialisées dans les inspections granulaires des postures de sécurité et dans l’inspection des outils, des systèmes, des applications et du code pour détecter d’éventuelles vulnérabilités. Les examens externes peuvent également comprendre des exercices de simulation et des tests d’intrusion faisant appel à des équipes spéciales.

Un processus d’évaluation intégré

De nombreux outils d’évaluation des vulnérabilités de sécurité du cloud, tels qu’AWS Security Hub, collectent activement des données provenant de diverses sources internes, telles que les journaux de données, les systèmes de contrôle d’accès et les paramètres de configuration, afin d’offrir une vue d’ensemble des environnements cloud. L’analyse intégrée des vulnérabilités fournit aux équipes de sécurité une visibilité étendue sur leur posture de sécurité.

Ingénierie sociale et évaluations physiques

L’erreur humaine est l’une des principales causes des failles de sécurité. Les employés qui tombent accidentellement dans le piège d’une escroquerie par hameçonnage ou qui cliquent sur un lien malveillant constituent une vulnérabilité potentielle. Les équipes de sécurité peuvent proposer des séminaires et des opportunités de formation afin de réduire la fréquence de ces événements. En outre, les entreprises peuvent lancer des tests d’ingénierie sociale automatisés pour évaluer l’efficacité des employés à identifier ces menaces et à y répondre.

Un processus d’évaluation continue des vulnérabilités est un système d’analyse des vulnérabilités planifié ou en temps réel qui surveille les anomalies. Cette approche de l’analyse des vulnérabilités permet une réponse continue, car toute anomalie peut être identifiée et classée par ordre de priorité pour être corrigée le plus rapidement possible.

Un rapport d’évaluation des vulnérabilités peut fournir un meilleur aperçu de l’état actuel de votre système à tout moment. Les rapports peuvent être intégrés à des solutions de sécurité unifiées pour fournir des informations plus détaillées sur la sécurité.

Une évaluation des risques est une évaluation supplémentaire que les entreprises peuvent utiliser si elles souhaitent comprendre l’impact potentiel des vulnérabilités qu’elles ont découvertes. Par exemple, après avoir effectué une évaluation des vulnérabilités, les entreprises peuvent ensuite effectuer une évaluation des risques avec une analyse des vulnérabilités afin de déterminer quelles vulnérabilités présentent la plus grande menace pour leurs objectifs et leur sécurité.

La combinaison d’une évaluation complète des vulnérabilités et d’une évaluation des risques liés aux vulnérabilités identifiées peut donner plus de contexte à une entreprise, lui permettant de mieux hiérarchiser certains correctifs en premier lieu. 

Une simulation de brèche et d’attaque (BAS) est une forme d’exercice de red teaming au cours duquel des équipes internes ou externes simulent une attaque contre vos cyberdéfenses. Ces exercices visent à simuler de près une attaque, en utilisant des stratégies réelles que des groupes tiers non autorisés sont susceptibles d’utiliser. En règle générale, BAS suit des frameworks de vecteurs d’attaque connus, tels que ceux documentés dans MITRE ATT&CK.

Alors qu’une évaluation des vulnérabilités vise à identifier les vulnérabilités, une simulation de violation vise à les exploiter dans un environnement sécurisé et contrôlé pour tester les réponses aux incidents. Une entreprise peut utiliser une simulation de faille après avoir corrigé des vulnérabilités connues afin de tester la validité de cette solution.

La grande majorité des cadres de conformité en matière de cybersécurité, tels que ISO 27001, SOC 2 et PCI DSS, obligent les entreprises à effectuer régulièrement des évaluations des vulnérabilités. En effectuant ces évaluations en continu, les entreprises s’acquittent de leur devoir de diligence, avec des rapports démontrant leur conformité.

La réalisation fréquente d’évaluations des vulnérabilités aide une entreprise à se préparer à un audit et réduit le risque de sanctions potentielles en cas de violation. 

Les solutions de sécurité du cloud AWS peuvent vous aider à protéger vos actifs, vos réseaux et la gestion des personnes.

Amazon Inspector découvre automatiquement les charges de travail, telles que les instances Amazon Elastic Compute Cloud (Amazon EC2), les images de conteneurs et les fonctions AWS Lambda, ainsi que les référentiels de code, et les analyse pour détecter les vulnérabilités logicielles et les attaques de sécurité réseau. Ce service d’évaluation continue des vulnérabilités utilise les informations actuelles sur les vulnérabilités et les expositions courantes (CVE) et l’accessibilité du réseau pour créer des scores de risque contextuels afin de hiérarchiser et de résoudre les ressources vulnérables.

AWS Security Hub unifie vos opérations de sécurité dans le cloud, y compris l’évaluation continue et intégrée des vulnérabilités et la détection permanente des menaces.

AWS Security Hub Cloud Security Posture Management (CPSM) effectue des vérifications des meilleures pratiques de sécurité et intègre les résultats de sécurité des services de sécurité et des partenaires AWS. Il associe ces résultats aux conclusions d’autres services et outils de sécurité partenaires, proposant des vérifications automatisées de vos ressources AWS afin de vous aider à identifier les erreurs de configuration et à évaluer votre niveau de sécurité.

Commencez à évaluer les vulnérabilités sur AWS en créant un compte gratuit dès aujourd’hui.