Évaluation de la vulnérabilité

Une évaluation de la vulnérabilité est un examen systématique des faiblesses de sécurité d’un système d’information. Il évalue si le système est sensible à des vulnérabilités connues, attribue des niveaux de gravité à ces vulnérabilités et recommande des mesures correctives ou d’atténuation, si nécessaire.

Voici des exemples de menaces qui peuvent être évitées par l’évaluation de la vulnérabilité :

1. Injection SQL, XSSet autres attaques par injection de code.
2. Escalade des privilèges en raison de mécanismes d’authentification défectueux.
3. Valeurs par défaut non sécurisées – logiciels livrés avec des paramètres non sécurisés, tels que des mots de passe administrateur devinables.

Il existe plusieurs types d’évaluations de la vulnérabilité. Il s’agit notamment des éléments suivants :

1. Évaluation de l’hôte – Évaluation des serveurs critiques, qui peuvent être vulnérables aux attaques s’ils ne sont pas testés de manière adéquate ou s’ils ne sont pas générés à partir d’une image machine testée.
2. Évaluation des réseaux et des services sans fil – Évaluation des politiques et des pratiques visant à prévenir l’accès non autorisé aux réseaux privés ou publics et aux ressources accessibles au réseau.
3. Évaluation des bases de données – Évaluation des vulnérabilités et des erreurs de configuration des bases de données ou des systèmes Big Data, identification des bases de données non fiables ou des environnements de développement/test non sécurisés et classification des données sensibles dans l’infrastructure d’une organisation.
4. Analyses d’applications – L’identification des vulnérabilités de sécurité dans les applications Web et leur code source par des analyses automatisées sur le front-end ou l’analyse statique/dynamique du code source.

Évaluation des vulnérabilités : processus d’analyse de sécurité

Le processus d’analyse de sécurité comprend quatre étapes : test, analyse, évaluation et correction.

https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/03/vulnerability-assessment-300x97.png.webp 300w, https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/03/vulnerability-assessment-768x248.png.webp 768w" alt="Le processus d’évaluation de la vulnérabilité : analyse, évaluation des risques, mesures correctives" width="801" height="259">

1. Identification des vulnérabilités (tests)

L’objectif de cette étape est de dresser une liste complète des vulnérabilités d’une application. Les analystes de sécurité testent l’intégrité de sécurité des applications, des serveurs ou d’autres systèmes en les analysant à l’aide d’outils automatisés, ou en les testant et en les évaluant manuellement. Les analystes s’appuient également sur les bases de données de vulnérabilités, les annonces de vulnérabilité des fournisseurs, les systèmes de gestion des actifs et les flux derenseignements sur les menacespour identifier les faiblesses de sécurité.

2. Analyse de vulnérabilité

L’objectif de cette étape est d’identifier la source et la cause première des vulnérabilités identifiées à la première étape.

Cela implique l’identification des composants du système responsables de chaque vulnérabilité et de la cause première de la vulnérabilité. Par exemple, la cause première d’une vulnérabilité pourrait être une ancienne version d’une bibliothèque open source. Cela fournit une voie claire pour la correction - mise à niveau de la bibliothèque.

3. Évaluation des risques

L’objectif de cette étape est de hiérarchiser les vulnérabilités. Cela implique que les analystes de sécurité attribuent un rang ou un score de gravité à chaque vulnérabilité, en fonction de facteurs tels que :

1. Quels systèmes sont affectés.
2. Quelles données sont à risque.
3. Quelles fonctions commerciales sont à risque.
4. Facilité d’attaque ou de compromission.
5. Gravité d’une attaque.
6. Dommages potentiels résultant de la vulnérabilité.

4. Mesures correctives

L’objectif de cette étape est de combler les lacunes en matière de sécurité. Il s’agit généralement d’un effort conjoint du personnel de sécurité, des équipes de développement et des opérations, qui déterminent la voie la plus efficace pour corriger ou atténuer chaque vulnérabilité.

Les mesures correctives spécifiques peuvent inclure :

1. Introduction de nouvelles procédures, mesures ou outils de sécurité.
2. La mise à jour des changements opérationnels ou de configuration.
3. Développement et implémentation d’un correctif de vulnérabilité.

L’évaluation de la vulnérabilité ne peut pas être une activité ponctuelle. Pour être efficaces, les organisations doivent opérationnaliser ce processus et le répéter à intervalles réguliers. Il est également essentiel de favoriser la coopération entre les équipes de sécurité, d’exploitation et de développement – un processus connu sous le nom deDevSecOps.

Outils d’évaluation des vulnérabilités

Les outils d’évaluation des vulnérabilités sont conçus pour rechercher automatiquement les menaces nouvelles et existantes susceptibles de cibler votre application. Les types d’outils comprennent :

1. Analyseurs d’applications Web qui testent et simulent des modèles d’attaque connus.
2. Analyseurs de protocole qui recherchent les protocoles, les ports et les services réseau vulnérables.
3. Scanners réseau qui aident à visualiser les réseaux et à découvrir les signaux d’avertissement tels que les adresses IP parasites, les paquets usurpés et la génération de paquets suspects à partir d’une seule adresse IP.

Il est recommandé de planifier des analyses régulières et automatisées de tous les systèmes informatiques critiques. Les résultats de ces analyses devraient alimenter le processus continu d’évaluation de la vulnérabilité de l’organisation.

RESSOURCES

Les centres d'évaluation agréés par l'ANSSI : lien

11 outils GRATUITS de test d'intrusion en ligne (Pentest) pour tester la sécurité des applications : lien

43 Outils logiciel de test de vulnérabilité : lien

Les prestataires en France  : 

Netiful (Landes) - Cyber Risk Platform 

Yogosha, Pentest as a service