Catégorie : Conformité RGPD > M - GERER, SUPERVISER, AUDITER, ISO 27001 | |||
---|---|---|---|
SujetTests de vulnérabilité | |||
ContenuÉvaluation de la vulnérabilitéUne évaluation de la vulnérabilité est un examen systématique des faiblesses de sécurité d’un système d’information. Il évalue si le système est sensible à des vulnérabilités connues, attribue des niveaux de gravité à ces vulnérabilités et recommande des mesures correctives ou d’atténuation, si nécessaire. Voici des exemples de menaces qui peuvent être évitées par l’évaluation de la vulnérabilité :
Il existe plusieurs types d’évaluations de la vulnérabilité. Il s’agit notamment des éléments suivants :
Évaluation des vulnérabilités : processus d’analyse de sécuritéLe processus d’analyse de sécurité comprend quatre étapes : test, analyse, évaluation et correction. https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/03/vulnerability-assessment-300x97.png.webp 300w, https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/03/vulnerability-assessment-768x248.png.webp 768w" alt="Le processus d’évaluation de la vulnérabilité : analyse, évaluation des risques, mesures correctives" width="801" height="259"> 1. Identification des vulnérabilités (tests)L’objectif de cette étape est de dresser une liste complète des vulnérabilités d’une application. Les analystes de sécurité testent l’intégrité de sécurité des applications, des serveurs ou d’autres systèmes en les analysant à l’aide d’outils automatisés, ou en les testant et en les évaluant manuellement. Les analystes s’appuient également sur les bases de données de vulnérabilités, les annonces de vulnérabilité des fournisseurs, les systèmes de gestion des actifs et les flux derenseignements sur les menacespour identifier les faiblesses de sécurité. 2. Analyse de vulnérabilitéL’objectif de cette étape est d’identifier la source et la cause première des vulnérabilités identifiées à la première étape. Cela implique l’identification des composants du système responsables de chaque vulnérabilité et de la cause première de la vulnérabilité. Par exemple, la cause première d’une vulnérabilité pourrait être une ancienne version d’une bibliothèque open source. Cela fournit une voie claire pour la correction - mise à niveau de la bibliothèque. 3. Évaluation des risquesL’objectif de cette étape est de hiérarchiser les vulnérabilités. Cela implique que les analystes de sécurité attribuent un rang ou un score de gravité à chaque vulnérabilité, en fonction de facteurs tels que :
4. Mesures correctivesL’objectif de cette étape est de combler les lacunes en matière de sécurité. Il s’agit généralement d’un effort conjoint du personnel de sécurité, des équipes de développement et des opérations, qui déterminent la voie la plus efficace pour corriger ou atténuer chaque vulnérabilité. Les mesures correctives spécifiques peuvent inclure :
L’évaluation de la vulnérabilité ne peut pas être une activité ponctuelle. Pour être efficaces, les organisations doivent opérationnaliser ce processus et le répéter à intervalles réguliers. Il est également essentiel de favoriser la coopération entre les équipes de sécurité, d’exploitation et de développement – un processus connu sous le nom deDevSecOps. Outils d’évaluation des vulnérabilitésLes outils d’évaluation des vulnérabilités sont conçus pour rechercher automatiquement les menaces nouvelles et existantes susceptibles de cibler votre application. Les types d’outils comprennent :
Il est recommandé de planifier des analyses régulières et automatisées de tous les systèmes informatiques critiques. Les résultats de ces analyses devraient alimenter le processus continu d’évaluation de la vulnérabilité de l’organisation. RESSOURCESLes centres d'évaluation agréés par l'ANSSI : lien 11 outils GRATUITS de test d'intrusion en ligne (Pentest) pour tester la sécurité des applications : lien 43 Outils logiciel de test de vulnérabilité : lien Les prestataires en France : | |||
Rédacteur : Lairie Jean Christophe Créé le 19-11-2022 20:40 Dernière mise à jour le 07-04-2024 12:19 | 40 vues Cet élément fait partie de la FAQ |