DSI NumériquePartage d'expériencesChallenges 2023 : Mettre en œuvre un programme de gestion continue de...

Challenges 2023 : Mettre en œuvre un programme de gestion continue de l’exposition aux menaces

Selon certains cabinets d’analyse stratégique « Les entreprises échouent à réduire leur exposition aux menaces car elles tentent d’évaluer le risque via des outils disparates et non normalisés. De plus, des méthodes de traitement obsolètes ne permettent pas de vaincre les silos organisationnels ». L’année 2023 doit être celle du changement de paradigme, les responsables sécurité ainsi que les gestionnaires de risques doivent lancer et faire évoluer un programme de gestion continue de l’exposition aux menaces afin de garder une longueur d’avance et être en capacité d’évaluer et corriger les vulnérabilités critiques présentes dans l’organisation. Un programme de gestion continu de l’exposition aux menaces repose sur un cycle répétitif constitué de cinq étapes principales :

Cadrage

Il est important de définir le périmètre du programme afin de consacrer les efforts sur les éléments stratégiques pour le business. Au fur et à mesure de l’évolution des systèmes IT internes ou externes il est tout à fait possible de modifier ce cadrage à chaque itération du cycle. Si bien sur l’IT historique et hébergé au sein de l’organisation fait toujours parti de ce type de cadrage, il sera important de penser à rajouter d’autres périmètres impliquant un risque non négligeable pour le business : Attaque de la surface externe, sécurité des données dans les applications SaaS, dépôts du code des applications business, etc. Cette étape souvent négligée représente pourtant le fondement de tout le cycle.

Découverte

Malheureusement, beaucoup de praticiens confondent encore l’étape de cadrage de celle de découverte et imaginent qu’il suffit de découvrir des éléments pour assurer le succès du cycle. Les outils de découverte doivent prendre en compte de nombreux aspects afin d’identifier les différents types de vulnérabilités, qu’elles soient liées à du code ou à des erreurs de configuration.

Priorisation

L’objectif du cycle n’est pas d’essayer de remédier à tous les problèmes identifiés car cela est impossible, il s’agit plutôt d’évaluer et de traiter les menaces les plus susceptibles d’être exploitées contre l’organisation. Les organisations ne peuvent pas utiliser les méthodes traditionnelles de hiérarchisation des expositions via des scores de gravité de base prédéfinis. La priorisation du traitement des expositions doit être basée sur une combinaison des éléments suivants : existence ou non des exploits liés à la vulnérabilité, les options d’atténuation de la menace présentes sur le système, le niveau d’exposition et d’atteinte du dit système, la criticité de l’activité portée par les systèmes, etc.

Validation

L’étape de validation consiste à atteindre principalement deux objectifs : Évaluer la probabilité pour que l’exécution d’une attaque soit réussie en confirmant notamment que les attaquants pourraient réellement exploiter les expositions précédemment découvertes – Estimer l’impact potentiel le plus élevé en pivotant au-delà de l’empreinte initiale et en analysant tous les chemins d’attaque potentiels vers un actif critique depuis la compromission initiale. La pratique utilise une combinaison d’outils et d’activités tels que le pentesting, les activités de red team, la simulation de brèche et d’attaque, etc.

Mobilisation

Après validation de la liste des vulnérabilités prioritaires à corriger, la remédiation ne peut pas être entièrement automatisée, de nombreuses organisations matures ont atteint les limites de la « remédiation automatisée » car les traitements techniques nécessitent très souvent l’application de correctifs ou la réalisation d’un changement de configuration. Il est donc nécessaire de coupler les méthodes pleinement automatisées aux traitement basés sur un système de tickets et de workflows.

Par Sylvain CORTES chez Hackuity

 

Articles récents

Cela pourrait aussi vous interesser
Innovations

La simplicité, clé de l’adoption des solutions de cybersécurité par les TPE/PME

Face à la réalité des menaces cyber, il est...

Almavia CX révèle l’excellence digitale du Conservatoire Toulon Provence Méditerranée

Almavia CX, une ESN qui accompagne la transformation digitale des entreprises sur...

Les 5 atouts majeurs d’un CMS headless pour la stratégie numérique

Un système de gestion de contenu (CMS) se compose...

TENEXA : La nouvelle identité du Groupe Infodis pour une croissance stratégique

Reconnu dans le secteur des services numériques pour sa...

Les conséquences redoutables des failles zéro day sur la sécurité des données

En cybersécurité, il est quasiment impossible de contrer certaines...

Eurofiber, nouveau membre de la fédération française des télécoms : renforcement de l’écosystème télécom

Eurofiber, opérateur d'infrastructures numériques de nouvelle génération, rejoint les...

Les avantages de l’hyperautomatisation et de l’orchestration des processus pour les entreprises

Par Jakob Freund, CEO de Camunda Les entreprises se tournent...

Élargissement de l’offre chez Infortive : chasse de tête IT pour talents stratégiques

Infortive, spécialiste du management de transition IT & digital,...

Asguard Firewall : Solution de sécurité sur la marketplace de IONOS

Le groupe Numeryx, éditeur du firewall souverain Asguard via...

Stratégies de cybersécurité : la voie de cegedim.cloud

Par Romain VERGNIOL RSSI du Groupe Cegedim Le contexte géopolitique et les...