Les scans de vulnérabilités font partie intégrante de l'arsenal des RSSI pour maintenir un niveau de sécurité en accord avec la stratégie de sécurité globale.
Il s'agit d'un type d'évaluation de sécurité informatique qui consiste à utiliser un ou des outils, les fameux scanners de vulnérabilités, tels que :
- Nessus,
- Qualys,
- OpenVas,
- LanGuard,
- etc,
pour tester la sécurité de vos applications pour identifier les vulnérabilités existantes.
Les tests sont réalisés le plus souvent grâce à des outils spécialisés, commerciaux ou non, qui permettront d'identifier les failles potentielles en testant successivement les différents vecteurs d'attaque, des plus utilisés par les attaquants aux plus récents.
Scans de vulnérabilités ou test d'intrusion ?
On oppose souvent les scans de vulnérabilités et les tests d'intrusion, ce qui n'a pas vraiment de sens dans une stratégie de gestion de vulnérabilités.
Ces deux démarches sont différentes, mais ne sont pas vraiment opposées. D'ailleurs, les tests d'intrusion incluent généralement l'utilisation de scanners de vulnérabilités.
Le scan, contrairement au test d'intrusion, est une évaluation de premier niveau.
C'est un test technique avant tout. Il est plus superficiel, (quasi) complètement automatisée, et donc reproductible.
C'est d'ailleurs l'un de ces avantages ! On peut le reproduire "à l'infini" pour vérifier à intervalle régulier l'apparition de nouvelles failles ou l'application de la politique de sécurité.
Le test d'intrusion, lui, apporte une valeur différente en faisant la part belle aux tests manuels pour mettre en lumière des vulnérabilités complexes ou des failles métiers, difficilement identifiables par les outils automatisés.
Il s'agit donc plutôt de mettre en place une politique d'identification et de gestion des vulnérabilités complète que de choisir le meilleur des deux.
Inclure les scans dans une stratégie de sécurité globale
Une stratégie de sécurité globale cherche à traiter les risques en sécurité de l'information d'une organisation de façon adaptée et durable.
Elle vise en particulier à :
- détecter les vulnérabilités et leurs évolutions
- identifier les menaces
- traiter les risques pour diminuer les risques résiduels
La bonne approche consisterait plutôt à construire une stratégie de sécurité globale incluant à la fois des tests d'intrusion réguliers et des scans de vulnérabilités récurrents pour suivre l'évolution de votre niveau de sécurité.
La gestion de vulnérabilités est indispensable
La gestion des vulnérabilités consiste à identifier, évaluer et traiter les différentes vulnérabilités d’un système d’information, dans le but de réduire le niveau de risques.
Identifier les nouvelles failles
Suivre les menaces dans le temps est donc indissociable de ce processus.
Nous savons tous que de nouvelles menaces apparaissent quotidiennement.
Il est important de mettre en place un processus régulier pour réévaluer les vulnérabilités qui concernent notre SI.
Réévaluer les risques résiduels
Mais il faut également prendre en compte l'évolution des vulnérabilités existantes !
En effet, l'impact d'une vulnérabilité ne se limite pas à son score CVSS lors de sa découverte.
L'impact peut changer avec le temps, la disponibilité d'un POC, l'intégration dans des kits et outils d'attaques, ou encore la publication des détails de la vulnérabilité.
On citera pour seul exemple, le piratage Lastpass, où le développeur victime s'est fait pirater grâce à une faille publiée en 2020 (CVE-2020-5741) présente dans un logiciel non mis à jour depuis.
Si on fait l'exercice de suivi et de gestion de cette vulnérabilité, on découvre que la vulnérabilité avait un score absolu de 7.2 lors de sa publication.
Depuis, un code d'exploitation est disponible dans Metasploit, une mise à jour Plex est disponible.
Avec ça, le risque évolue forcément ! D'ailleurs, l'Exploit Prediction Scoring System (EPSS), qui "prédit" la probabilité d'exploitation d'une vulnérabilité est, à date de rédaction, de 87,4% !
Que retenir Dans une stratégie de sécurité globale, il est important de prendre en compte tous les aspects des menaces et de leurs évolutions.
Si le test d'intrusion et l'analyse de risque jouent un rôle central, il est intéressant de compléter ces approches événementielles avec des scans de vulnérabilités qui amènent, grâce à leur reproductibilité, une dimension continue qui s'adapte parfaitement à l'évolution des menaces d'aujourd'hui.
Planifier des scans de vulnérabilités réguliers permet de surveiller l'évolution de son niveau de risque.