DSI NumériquePartage d'expériencesChallenges 2023 : Mettre en œuvre un programme de gestion continue de...

Challenges 2023 : Mettre en œuvre un programme de gestion continue de l’exposition aux menaces

Selon certains cabinets d’analyse stratégique « Les entreprises échouent à réduire leur exposition aux menaces car elles tentent d’évaluer le risque via des outils disparates et non normalisés. De plus, des méthodes de traitement obsolètes ne permettent pas de vaincre les silos organisationnels ». L’année 2023 doit être celle du changement de paradigme, les responsables sécurité ainsi que les gestionnaires de risques doivent lancer et faire évoluer un programme de gestion continue de l’exposition aux menaces afin de garder une longueur d’avance et être en capacité d’évaluer et corriger les vulnérabilités critiques présentes dans l’organisation. Un programme de gestion continu de l’exposition aux menaces repose sur un cycle répétitif constitué de cinq étapes principales :

Cadrage

Il est important de définir le périmètre du programme afin de consacrer les efforts sur les éléments stratégiques pour le business. Au fur et à mesure de l’évolution des systèmes IT internes ou externes il est tout à fait possible de modifier ce cadrage à chaque itération du cycle. Si bien sur l’IT historique et hébergé au sein de l’organisation fait toujours parti de ce type de cadrage, il sera important de penser à rajouter d’autres périmètres impliquant un risque non négligeable pour le business : Attaque de la surface externe, sécurité des données dans les applications SaaS, dépôts du code des applications business, etc. Cette étape souvent négligée représente pourtant le fondement de tout le cycle.

Découverte

Malheureusement, beaucoup de praticiens confondent encore l’étape de cadrage de celle de découverte et imaginent qu’il suffit de découvrir des éléments pour assurer le succès du cycle. Les outils de découverte doivent prendre en compte de nombreux aspects afin d’identifier les différents types de vulnérabilités, qu’elles soient liées à du code ou à des erreurs de configuration.

Priorisation

L’objectif du cycle n’est pas d’essayer de remédier à tous les problèmes identifiés car cela est impossible, il s’agit plutôt d’évaluer et de traiter les menaces les plus susceptibles d’être exploitées contre l’organisation. Les organisations ne peuvent pas utiliser les méthodes traditionnelles de hiérarchisation des expositions via des scores de gravité de base prédéfinis. La priorisation du traitement des expositions doit être basée sur une combinaison des éléments suivants : existence ou non des exploits liés à la vulnérabilité, les options d’atténuation de la menace présentes sur le système, le niveau d’exposition et d’atteinte du dit système, la criticité de l’activité portée par les systèmes, etc.

Validation

L’étape de validation consiste à atteindre principalement deux objectifs : Évaluer la probabilité pour que l’exécution d’une attaque soit réussie en confirmant notamment que les attaquants pourraient réellement exploiter les expositions précédemment découvertes – Estimer l’impact potentiel le plus élevé en pivotant au-delà de l’empreinte initiale et en analysant tous les chemins d’attaque potentiels vers un actif critique depuis la compromission initiale. La pratique utilise une combinaison d’outils et d’activités tels que le pentesting, les activités de red team, la simulation de brèche et d’attaque, etc.

Mobilisation

Après validation de la liste des vulnérabilités prioritaires à corriger, la remédiation ne peut pas être entièrement automatisée, de nombreuses organisations matures ont atteint les limites de la « remédiation automatisée » car les traitements techniques nécessitent très souvent l’application de correctifs ou la réalisation d’un changement de configuration. Il est donc nécessaire de coupler les méthodes pleinement automatisées aux traitement basés sur un système de tickets et de workflows.

Par Sylvain CORTES chez Hackuity

 

-- WEBINAIRES --

Articles récents

Cela pourrait aussi vous interesser
Innovations

Les centres de soins La Pignada et Le Hillot adoptent la plateforme de Wraptor

Wraptor, éditeur de solutions à destination de professionnels de...

Maturité de l’automatisation : quatre tendances à surveiller en 2024

Par Jakob Freund, CEO de Camunda De nombreuses entreprises choisissent...

Transformation digitale du Figaro : Almavia CX repense la gestion client

Almavia CX, une ESN qui guide la transformation digitale...

Faut-il choisir entre pare-feu de frontière et pare-feu d’application Web ?

Par Kameerath Abdul Kareem, Product Marketing Manager, Progress Ne tournons...

ITS Integra et Nutanix signent un nouvel accord de cinq ans

Les deux sociétés renouvellent leur engagement et collaboration pour...

thecamp, référence en intelligence artificielle pour la zone euroméditerranéenne

À l'aube des Rencontres Économiques d'Aix-en-Provence, thecamp est fier...

Paris 2024 : la cybersécurité en première ligne pour les JO

Par Cédric Lefebvre, Expert Cybersécurité chez Custocy  À moins d’un...

Compétence AWS IoT : Smile – Alter Way confirmés comme leaders du marché

Le Groupe Smile, leader européen du numérique ouvert et...

Cybersécurité et résilience : piliers de la performance des datacenters

S’appuyer sur des infrastructures performantes, disponibles et sécurisées est...

Maximiser le potentiel de la CMDB pour une gouvernance efficace du SI

Bien qu’existante depuis de nombreuses années et déployée dans...

Réseau de partenaires : pilier de la téléphonie d’entreprise performante

Une chose est désormais évidente, les télécoms se positionne...