Cybersécurité : comment corréler vulnérabilités et menaces pour mieux protéger son SI ?

par Lucile Benoit - Consultante Senior - Défense & Sécurité, Sopra Steria Next | minutes de lecture

La cybersécurité est plus que jamais au cœur des priorités des entreprises et des institutions françaises. À ce titre, la Loi de Programmation Militaire de 2018 oblige les entités qu’elle adresse à réaliser le Maintien en Condition de Sécurité (MCS) de leurs Systèmes d’Information. Des entreprises privées ont également perçu les enjeux de la cybersécurité et investissent dans le MCS pour limiter au maximum leurs risques. 

Entre 2009 et 2018, plus de 76 000 vulnérabilités ont été découvertes et 5,5% d’entre elles ont été exploitées. Il ne suffit pas d’identifier et connaître les vulnérabilités. Pour sécuriser au mieux les systèmes d’information, il est nécessaire de contextualiser les vulnérabilités dans l’environnement de l’entreprise et de hiérarchiser leur traitement afin de se protéger des menaces les plus impactantes.

 

Distinguer vulnérabilités & menaces 


Les vulnérabilités sont des failles informatiques qui se basent sur un SI spécifique (une version d’un système d’exploitation par exemple) et permettent aux potentiels attaquants d’accéder au système de l’entreprise. Certaines d’entre elles sont publiques et partagées avec des acteurs de la sécurité. 

Elles sont à corréler en partie avec les menaces APT (Advanced Persistent Threat) : des menaces persistantes avancées qui cherchent la faille pour entrer dans le système de l’entreprise. Ces dernières peuvent avoir des objectifs d’espionnage, de sabotage, ou encore de cybercriminalité. 

Selon ses caractéristiques, la menace peut être dangereuse en fonction de :

  • sa temporalité : la capacité à exploiter très rapidement une vulnérabilité dès qu’elle est publiée ou même avant leur découverte ;
  • sa profondeur : l’installation et ses mouvements dans les systèmes d’informations de l’organisation avant qu’elle ne soit découverte ;
  • ses objectifs : les dommages qu’elle peut causer si une réponse n’est pas rapidement mise en place.

Il s’agit donc de ne pas aborder la sécurité informatique sous un prisme purement technique, trop réducteur. Il est préférable d’appréhender les vulnérabilités dans un contexte global prenant en compte l’environnement de son entreprise : secteur d’activité, zone géographique... 


Appréhender les vulnérabilités dans un contexte global


Cette vision facilite la corrélation entre les vulnérabilités et les menaces, ce qui permet de déterminer un niveau de risque et d’identifier si la menace x est particulièrement importante ou non. Au final, elle constitue donc une aide à la prise de décision dans le traitement des risques de sécurité.

Dans tous les cas, la menace doit s’appréhender de manière globale et les éléments doivent pouvoir être reliés les uns aux autres pour donner une vision holistique des attaques. Puisque les menaces et les vulnérabilités évoluent vite et en permanence, il est important de bien cartographier leurs impacts afin d’assurer le meilleur suivi possible Une fois que la vulnérabilité et la menace sont corrélées, il devient alors possible de déterminer la stratégie de correction à mettre en place et de mesurer les impacts, tant sur les systèmes d’information que sur l’organisation (perte de réputation, arrêt de la production etc.).

Pour résumer, une protection efficace d’un SI passe par une contextualisation globale des risques, en corrélant les vulnérabilités aux menaces pour en tirer des outils d’aide à la décision et des leviers actionnables en matière de défense contre les actes malveillants. Une bonne définition du périmètre critique du SI permet au prestataire en charge de la cyber sécurité de mieux protéger son client.

Il est également important de prendre en compte tout l’écosystème cyber et adresser le cycle de bout en bout :

  • Prévention : conduite d’une analyse de risque pour définir les actifs critiques de l’entreprise, scans de vulnérabilités pour évaluer les failles déjà localisées sur les systèmes etc.
  • Protection : priorisation de la stratégie de correction (patchs, mises à jour etc.)
  • Remédiation : mise en place d’une stratégie de détection et de protection, réponse à incident.

 

Corréler aide à la décision & protection des systèmes

Dans ce contexte et pour répondre aux enjeux de cybersécurité et de MCS, il est alors indispensable de se doter d’outils d’aide à la décision et de protection des systèmes. Ces derniers permettent dans un premier temps d’anticiper les menaces en identifiants les différents éléments qui sont autour tels que le secteur d’activité ciblé, les zones géographiques visées, les impacts matériels et immatériels sur l’organisation.  

Ces outils doivent également s’intégrer dans le dispositif de gestion de crise pour apporter une aide à la communication en fournissant une connaissance contextualisée et personnalisée de la menace, et peut faciliter le dialogue avec les autorités en charge d’éventuelles investigations en apportant une ressource documentaire précieuse sur ses piles applicatives de l’organisation.

Ils constituent enfin un dispositif de maintien en condition de protection en fournissant des scénarios d’attaques, des recommandations et des éléments techniques actualisés et validés afin d’optimiser les sondes de détection.

Les tableaux de bord issus de ces outils peuvent être complétés par des analyses approfondies de la menace, qui peuvent également être fournies en propre, selon 3 perspectives : menace sectorielle, géographique ou événementielle.



Search