Les vulnérabilités informatiques sont l’affaire de tous

 La multiplication généralisée des attaques informatiques ces derniers mois a généré une prise de conscience plus large du risque pour les entreprises et les individus. Mais les moyens pour contrer les cyber-menaces ne sont pas toujours au rendez-vous… 66%[1] des responsables de la sécurité des systèmes d’information estiment que leur organisation n’est pas prête à faire face aux attaques. Pourquoi ? Tout simplement parce que la plupart des vulnérabilités – qui sont les portes d’entrée des attaques informatiques – sont trop souvent négligées. Pour protéger un système d’information, il s’agit donc de traquer les failles avant que les hackers ne les découvrent et ne les exploitent. Voici les trois étapes incontournables pour ne pas perdre cette course contre la montre.

Étape 1 : anticiper et détecter

Pour ne plus subir les cyber-attaques, il s’agit de les anticiper, et donc d’identifier les failles potentielles de son système d’information. La gestion des vulnérabilités prend sa source dans cette dynamique. Tout commence par la définition du périmètre d’application : qui est concerné par cette politique de veille au sein de mon entreprise et quelles sont les règles à respecter. Cela permet de définir et mettre en place des mesures organisationnelles et/ou techniques pour identifier les vulnérabilités et entamer un processus de gestion de ces dernières.

Étape 2 : collecter et analyser

Il existe différents outils et méthodes de détection des vulnérabilités : veille automatique, alertes utilisateurs, audits de sécurité, tests d’intrusion, etc. Une veille ne peut être efficace que si elle s’appuie sur des bases de connaissances à jour. Cette étape peut être automatisée. Les audits permettent quant à eux de prendre de la hauteur et d’analyser à la fois les pratiques, les outils et les politiques de gestion des vulnérabilités. Certains audits peuvent également être automatisés : on parle alors de scans. L’étape de collecte et d’analyse permet de mettre en place des mesures correctives qui viennent combler les failles. Les Audit et Scan sont très complémentaires en donnant un état des lieux des risques et en remontant des alertes. L’objectif de toute organisation est ainsi de n’avoir affaire qu’a des vulnérabilité « zero day », c’est-à-dire inconnue de la plupart des pirates et donc non exploitées.

Étape3 : communiquer et divulguer les vulnérabilités

S’il y a bien une étape qui a tendance à passer à la trappe, c’est celle de la communication, enjeu pourtant important de la gestion des vulnérabilités. Les cyber-menaces prolifèrent en effet dans l’ombre. Pour les contrer, il convient de mettre les vulnérabilités dans la lumière. La communication autour de la cybersécurité doit être fluide en interne au moyen d’un canal dédié permettant à chacun de faire remonter les failles pour qu’elles soient colmatées au plus vite (toujours dans cet objectif « zéro day »). C’est à la fois une question d’outil et de culture d’entreprise qu’il faut instaurer. Au-delà de l’intra-organisation, il faut communiquer vers l’externe et partager à la fois ses vulnérabilités et ses bonnes pratiques avec les autres entreprises. L’opacité dans laquelle sont maintenues certaines failles ou attaques peut conduire à des situations insensées, comme ce fut le cas pour le bitcoin qui a connu un bug majeur resté deux ans sous silence. Il ne faut pas croire que communiquer sur une faille aide les attaquants. Si vous avez trouvé une faille, eux aussi. Communiquer aide plus les autres cibles potentielles.

En matière de cybersécurité, pas de fierté qui tienne. Participons désormais au jeu du collectif pour sécuriser largement les systèmes d’information. Les dernières initiatives gouvernementales vont d’ailleurs dans ce sens puisqu’un nouveau dispositif d’alertes est mis à disposition des plus petites entreprises. Il leur permet de connaitre et de contrer les menaces actuelles, grâce à une note éditée par le dispositif national d’assistance aux victimes cybermalveillance.gouv.fr et l’ANSSI.

[1] Selon le rapport 2021 de l’un des leaders de solutions informatiques à l’échelle mondiale

Par Jacques-Bruno Delaroche, septembre 2021