Vous êtes sur la page 1sur 19

LES DOSSIERS TECHNIQUES

Gestion des vulnrabilits informatiques :


vers une meilleure gestion des risques
oprationnels
[Valeur et caractre indispensable de la
gestion des vulnrabilits]

Mai 2014

CLUB DE LA SECURITE DE LINFORMATION FRANAIS


11 rue de Mogador - 75009 Paris
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88
clusif@clusif.fr www.clusif.fr

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal.

2/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

Table des matires


I. Introduction .......................................................................................................................... 5
I.1. Objet .............................................................................................................................. 5
I.2. Description du sujet ....................................................................................................... 5
II. La gestion des risques, un concept managrial connu ......................................................... 8
II.1. La prise de risques inhrente au fonctionnement dune organisation .......................... 8
II.2. De limportance de la gestion des risques des systmes dinformation ....................... 8
III. Les vulnrabilits informatiques ........................................................................................ 10
III.1. Dfinition .................................................................................................................. 10
III.2. Cycle de vie de la vulnrabilit................................................................................. 10
III.3. Exemples concrets .................................................................................................... 11
III.3.1. Vulnrabilit des logiciels bureautiques sur un poste de travail ........................ 11
III.3.2. Vulnrabilit dune application Web ................................................................. 11
IV. Valeur de la gestion des vulnrabilits............................................................................... 13
IV.1. Caractre indispensable dans une stratgie de scurit ............................................. 13
IV.2. Bnfices et principaux usages ................................................................................. 14
IV.3. Stratgies de mise en oeuvre ..................................................................................... 15
V. Conclusion.......................................................................................................................... 16

Valeur de la gestion des vulnrabilits

CLUSIF 2014

3/19

Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :
Le responsable du groupe de travail :
Franois

GRATIOLET

Qualys

Jean-Franois

AUDENARD

Orange

Alexis

CAURETTE

Bull

Sbastien

GIORIA

Advens

Astrid

LANG

APHP

Sbastien

MAUPTIT

Systalians

Vincent

MAURY

DenyAll

Herv

SCHAUER

HSC

Arnaud

TARRAGO

EDF

Alain

VIDAL

Agence Nationale pour les Chques-Vacances

Les contributeurs :

Le CLUSIF remercie galement les adhrents ayant particip la relecture.

4/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

I.
I.1.

Introduction

Objet

Le prsent document fournit aux RSSI des lments daccompagnement et de sensibilisation


la gestion des vulnrabilits auprs des DSI, Risk Managers et Dirigeants de leur
organisation. On entend par organisation aussi bien les grands groupes, les administrations
publiques que les PME.
Ce document adresse spcifiquement les vulnrabilits informatiques (logicielles1 ou de
configuration2) que nous nommerons simplement vulnrabilits par la suite et non les
vulnrabilits organisationnelles, de processus, comportementales, etc., ni les vulnrabilits
matrielles (pouvant compromettre la scurit physique).

I.2.

Description du sujet

Grandes organisations, TPE, PME : mme combat devant les cyber menaces et intentions
malveillantes des rseaux criminels, de comptiteurs peu scrupuleux, dhacktivistes, voire de
gouvernements !
Les systmes dinformation restent vulnrables et peuvent impacter les organisations pour
lesquelles nous travaillons ainsi que nos vies prives. Tous les secteurs dactivits sont
concerns ! De par leur taille et ressources, les TPE/PME sont dautant plus vulnrables.
Les vulnrabilits concernent lensemble des quipements et rseaux, par exemple les
systmes de tlphonie, les systmes dinformation dentreprise, les systmes dinformation
industriels ou les systmes dinformation alternatifs3.
Selon lorganisme OWASP (Open Web Application Security Project), en 2013, 97% des
applications Web restent exposes des vulnrabilits connues, et les principaux risques lis
aux applications Web demeurent identiques, notamment les injections SQL qui permettent
un tiers malveillant de rcuprer, voler, modifier ou dtruire des informations sensibles par
exemple dans une base de donnes.
Ltude DBIR (Data Breach Investigations Report) ralise en 2012 par Verizon a rvl suite
lautopsie de 855 incidents que 92% des attaques taient peu complexes, 79% taient
des cibles opportunistes et que 97% des infractions russies auraient pu tre vites si la
victime avait dploy entre autres des correctifs de scurit et des mots de passe robustes.
Le Gartner Group estime quen 2015, 80% des attaques russies exploiteront des
vulnrabilits connues.

Voir la base CVE (Common Vulnerability Enumeration)


Voir la base CCE (Common Configuration Enumeration)
3
cf. les dfinitions du livrable Cyberscurit des systmes industriels : Par o commencer
? http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Panorama-desreferentiels.pdf
2

Valeur de la gestion des vulnrabilits

CLUSIF 2014

5/19

Un retour aux basiques scuritaires est plus quurgent ! LANSSI a publi en 2013 un guide
dhygine informatique4 qui reprend les mesures de scurit requises dans toute organisation.
Ainsi, la gestion des vulnrabilits est une mesure de scurit mise en oeuvre dans tous les
grands rfrentiels, standards, rgulations sectorielles ou bonnes pratiques du march, par
exemple, la famille des normes ISO 27000, les accords de Ble, le standard PCI-DSS5, les
standards ETSI ISI6, ou encore les 20 Critical Controls du SANS Institute et du Conseil de
la Cyberscurit7. Il existe dsormais plusieurs exemples publics dorganisations ayant adopt
avec succs et efficacit ce rfrentiel des 20 Critical Controls aussi bien aux Etats-Unis
(exemple du US Department of State8), en Australie, en Angleterre quau Canada.
La gestion des vulnrabilits devient rglementaire par exemple pour les Oprateurs
dImportance Vitale (OIV) et leurs prestataires. A ce titre, la Loi relative la Programmation
Militaire (LPM)9 leur impose la mise en place de systmes de dtection dvnements
pouvant affecter la scurit de leurs systmes dinformation, et de manire implicite la
dtection et le traitement des vulnrabilits.
Les organisations saccordent ainsi sur le caractre fondamental et dsormais rglementaire de
la dtection dvnements susceptibles d'affecter la scurit de leurs systmes d'information.
La correction des vulnrabilits limitera dautant les vnements susceptibles d'affecter la
scurit de leurs systmes d'information.
La mise en place dun processus de gestion des vulnrabilits apparat essentielle afin
dvaluer en continu et en temps rel le niveau de scurit de lorganisation et de dcider
des actions prioritaires conduire.
Force est de constater que malgr ces nombreuses rfrences et la pression rglementaire
croissante, un grand nombre dorganisations gre leurs vulnrabilits informatiques au rythme
de lvolution de leur systme dinformation, souvent sur un cycle de plusieurs annes !
Quelles sont les raisons de cet chec et les obstacles rencontrs par les organisations ?

Les Dirigeants soutiennent de manire insuffisante les initiatives visant leur dploiement
au sein de leur organisation, se retrouvant confronts une maturit insuffisante de leur
organisation, un manque de moyens, et disposant probablement dune connaissance
partielle de la valeur apporte par la gestion des vulnrabilits. Ils craignent galement
que la correction ait un effet ngatif sur la stabilit du service.
Bien que des solutions technologiques et oprationnelles matures existent, celles-ci restent
peu dployes. Leur taux de couverture est rarement proche de 100% du primtre du
systme dinformation propre lorganisation.

http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf
https://www.pcisecuritystandards.org
6
http://www.etsi.org/deliver/etsi_gs/ISI/001_099/002/01.01.01_60/gs_isi002v010101p.pdf
7
http://www.counciloncybersecurity.org/practice-areas/technology/
8
http://www.sans.org/press/department-state-wins-ncia.php
9
http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=4511A3DD931A64F4DD5C139AE
65FE70A.tpdjo07v_2?cidTexte=JORFTEXT000028338825&categorieLien=id
5

6/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

Lorsquil y a lieu, le dploiement de ces solutions est souvent confront un manque


dorganisation et de processus pourtant indispensables lutilisation efficiente de ces
outils. Il est difficile pour les RSSI davoir un retour sur le nombre dactifs vulnrables
qui ont fait rellement lobjet dune correction.
Enfin, les administrateurs informatiques sont peu incits dployer les correctifs de
scurit ou modifier les configurations sur les machines informatiques lorsque des
vulnrabilits sont dcouvertes.

Contrairement aux menaces qui sont difficiles contrler, et aux incidents pour lesquels
seules les consquences peuvent tre limites, il est important de garder lesprit quil est
possible dagir sur les vulnrabilits car elles sont intrinsques une organisation.
Ces lments ont motiv la rdaction du prsent document qui a pour objet de rappeler la
valeur et le caractre stratgique de la gestion des vulnrabilits au sein dune organisation
afin dobtenir une adhsion et un support au plus haut niveau, et de donner les moyens au
RSSI de lancer un tel programme et de mettre en place une structure oprationnelle.

Valeur de la gestion des vulnrabilits

CLUSIF 2014

7/19

II.
II.1.

La gestion des risques, un concept managrial connu


La prise de risques inhrente au fonctionnement dune organisation

Quelle que soit lorganisation, publique ou prive et sa taille, sa finalit est de gnrer de la
valeur : de la valeur financire et un rendement pour les actionnaires dune entreprise, de la
valeur dusage perue par les clients ou usagers dans le cas dun organisme public.
La capacit dune organisation crer de la valeur, obtenir ainsi que maintenir un avantage
concurrentiel est dtermine par sa chane de valeur constitue de ses actifs.
La famille de normes ISO 27000 dfinit un actif comme tout lment reprsentant de la
valeur pour lorganisation . Un actif se caractrise par sa nature (activits, processus et
informations). Les actifs de production (logistique amont, fabrication, logistique aval,
marketing & vente, services, etc.) concourent directement la vente des produits, et reposent
sur des actifs de soutien (achats, R&D, gestion RH, finances, informatiques, etc.).
Grer une organisation pour ses mandataires sociaux et ses Dirigeants consiste identifier de
manire proactive des options stratgiques et des actions (par exemple, lancement dun
nouveau produit, pntration dun march, etc.), et faire un choix clair du risque pris selon
loption retenue, cest--dire mettre en rapport un bnfice espr face un risque redout.
Ces arbitrages cots/bnfices/risques sont applicables lensemble des fonctions de
lorganisation et des ressources utilises par ces fonctions, notamment les systmes
dinformation.
Afin didentifier ces options stratgiques, les Dirigeants sont amens connatre les menaces
et opportunits de lenvironnement concurrentiel, ainsi que les forces et faiblesses de leur
entreprise, et pour cela, conduire une analyse SWOT (Strengths Weaknesses Opportunities
Threats).

II.2.

De limportance de la gestion des risques des systmes dinformation

Longtemps associs des activits de soutien comme par exemple la comptabilit, les
systmes dinformation et linformatique sont aujourdhui prsents au cur de la plupart des
processus de lorganisation, y compris les activits de production, et dans lensemble des
secteurs dactivit. Lautomatisation des tches ainsi ralises permet des gains importants en
termes de qualit, de fiabilit et de rapidit de traitement. Le systme dinformation devient
un facteur de diffrenciation concurrentielle et dinnovation.
La contrepartie des bnfices ainsi apports par les technologies de linformation est une
dpendance accrue des activits de lorganisation aux systmes dinformation (matriels,
logiciels, personnels, sites, etc.), que ces activits soient lies aux actifs de production ou de
soutien. Ainsi, cartographier ses actifs Mtiers et informatiques sous-jacents devient essentiel
pour une organisation.
De par la nature et la diversit de leurs composants logiciels (rseaux, systmes, bases de
donnes, messagerie lectronique, serveurs Web, etc.) et surtout leur nombre, les systmes

8/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

dinformation sont vulnrables. Un logiciel ou une application dvelopp avec un code


informatique de mauvaise qualit, mal paramtr ou insuffisamment test peut ainsi introduire
des failles dans les systmes.
Ces vulnrabilits exploites par des personnes malveillantes (concurrents, hacktivistes,
salaris, partenaires, fournisseurs, gouvernements, etc.) peuvent porter prjudice au bon
fonctionnement des systmes dinformation (indisponibilit, intrusion dans les systmes, vol
dinformations, etc.) et de l'organisation (image dtriore, perte de confiance des clients,
non-respect de rglementations, baisse des revenus, rduction de la marge oprationnelle,
etc.).
Les cyber attaques et incidents de scurit ne sont plus des phnomnes isols mais une vraie
ralit relaye par les mdias comme lattestent les nombreux articles publis dans les
journaux conomiques10.
Il est urgent que les Dirigeants intgrent dans lanalyse de leur environnement les faiblesses
lies aux systmes dinformation.
La gestion des vulnrabilits informatiques en tant que telle ne cre pas directement de la
valeur. Par contre, une absence de gestion des vulnrabilits limite indirectement la cration
de valeur pour lorganisation.
Les vulnrabilits dune infrastructure informatique constituent un risque oprationnel majeur
et ncessitent dtre adresses au plus haut niveau.

10

http://www.lecho.be/actualite/marche_placements_marches/Les_Bourses_vulnerables_aux_
cyberattaques.9431496-3458.art?ckc=1
http://www.latribune.fr/entreprises-finance/20140215trib000815524/le-secteur-aeronautiquefrancais-cible-d-une-cyberattaque.html
Valeur de la gestion des vulnrabilits

CLUSIF 2014

9/19

III.
III.1.

Les vulnrabilits informatiques

Dfinition

La famille des standards ISO 2700011, adopte par de nombreuses organisations dans le
monde, et reprise par de multiples standards fonctionnels et techniques12, dfinit une
vulnrabilit comme une faiblesse - au sein dun actif ou groupe dactifs - dont lexploitation
potentielle (par une menace) peut porter prjudice l'organisation : fuite dinformations
confidentielles, image dtriore, perte de confiance des clients, non-respect de
rglementations, baisse des revenus, rduction de la marge oprationnelle, etc.

III.2.

Cycle de vie de la vulnrabilit

Le cycle de vie dune vulnrabilit dbute par sa dcouverte. Dans le cas o une personne
malveillante la dcouvre, elle va tenter de lexploiter en dveloppant un code spcifique
appel exploit (zero-day13) en attendant que cette vulnrabilit devienne publique (remonte
par des socits spcialises en scurit informatique, des diteurs de logiciels, des cellules de
veille, etc), soit qualifie puis enfin corrige. A ce titre, lANSSI a publi un guide sur les
vulnrabilits 0-day de Prvention et bonnes pratiques 14. Dans le cas dune vulnrabilit
logicielle, lditeur devra fournir soit un correctif (patch) qui sera install sur les systmes
vulnrables soit une nouvelle version du logiciel qui corrige la vulnrabilit.
La mesure de la demi-vie dune vulnrabilit (intervalle de temps ncessaire la rduction de
loccurrence dune vulnrabilit de moiti sur
lensemble du systme dinformation) peut fournir
un indicateur sur la complexit de rsolution dune
vulnrabilit. Pour des organisations matures ayant
automatis le processus de gestion des
vulnrabilits, cette demi-vie oscille entre 30 et 60
jours pour une vulnrabilit critique selon les
secteurs dactivit.
Le diagramme ci-contre illustre le cycle de vie
dune vulnrabilit au regard du degr dimportance de la menace. Lorganisation reste
expose durant tout le cycle de vie, rendant ncessaires lidentification de la vulnrabilit au
plus tt et sa prise en compte rapide. Le traitement dune vulnrabilit ne consiste pas
systmatiquement la corriger directement, pour des considrations de temps et de cot, voire
dimpossibilit (les diteurs ou constructeurs ne corrigent pas systmatiquement toutes les

11

http://www.iso.org/iso/home/standards/management-standards/iso27001.htm
ETSI ISI-002, IETF RFC 2828, ENISA, ISACA, etc
13
Une vulnrabilit zero-day est communment dfinie comme une vulnrabilit pour
laquelle un code dexploitation existe mais pour laquelle aucun correctif nest encore
disponible.
14
http://www.ssi.gouv.fr/IMG/pdf/guide_vulnerabilites_0day.pdf
12

10/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

failles de scurit). Ds lors que la vulnrabilit est connue, un contournement doit, si


possible, tre mis en place.
Ces dcisions dpendent galement de la nature de la vulnrabilit. Dans lexemple dune
faiblesse de configuration sur une application dont lorganisation est propritaire, celle-ci sera
autonome dans sa rsolution. En revanche, si la vulnrabilit touche un logiciel commercial,
lorganisation se retournera vers lditeur tant quil est engag contractuellement livrer un
correctif (avec un dlai et des ventuelles pnalits de retard).

III.3.

Exemples concrets

Prenons deux exemples rels de vulnrabilits et examinons les possibles remdiations.


III.3.1. Vulnrabilit des logiciels bureautiques sur un poste de travail
Les logiciels couramment installs sur un poste de travail Microsoft Office, navigateurs
Web (Google Chrome, IE, Firefox, etc.) et plug-ins, Acrobat Reader, Java, Flash, etc.- font
lobjet de nombreuses vulnrabilits dont limpact touche autant les postes de travail de
lorganisation que les ordinateurs personnels utiliss par les employs leur domicile.
Le nombre de vulnrabilits potentielles impactant les postes de travail dune organisation est
non seulement li leur nombre mais galement la varit des logiciels utiliss. Les diteurs
de ces logiciels fournissent rgulirement des correctifs corrigeant des lots de vulnrabilits15.
Linstallation de ces correctifs tant parfois non automatise, non automatisable ou mal
contrle, le cycle de vie de ces vulnrabilits peut durer plusieurs mois plusieurs annes.
Durant cette priode dexposition, plusieurs mesures permettent de rduire limpact de
lexploitation de ces vulnrabilits: par exemple, diminution des droits de lutilisateur,
utilisation dune solution dantivirus jour, activation dun pare-feu, matrise du parc logiciel
et suppression simple des logiciels faisant lobjet de trop nombreuses vulnrabilits.
III.3.2. Vulnrabilit dune application Web
Une vulnrabilit de dveloppement Web (par exemple, une injection SQL utilise une
vulnrabilit de scurit d'une application interagissant avec une base de donnes, en injectant
une requte SQL non prvue par le systme et pouvant compromettre sa scurit) risque
typiquement de compromettre les donnes sous-jacentes au site Web (moyens de paiement,
donnes caractre personnel, etc).
Sa correction ncessite de modifier le code source du site Web, de le tester puis de le
dployer. Ce processus peut se rvler complexe, surtout si lauteur du dveloppement nest
pas ractif (ou injoignable) ou si lorganisation ne dispose pas dun contrat de maintenance
avec des clauses exigeant de traiter ces vulnrabilits dans des dlais acceptables.
Dans lattente de la correction effective de la vulnrabilit, lorganisation peut mettre en
uvre des rgles de filtrage spcifiques sur un pare-feu applicatif Web (WAF ou Web
15

Exemples publics non exhaustifs : http://helpx.adobe.com/security/products/flashplayer/apsb14-07.html; http://technet.microsoft.com/fr-fr/security/bulletin/ms14-001

Valeur de la gestion des vulnrabilits

CLUSIF 2014

11/19

Application Firewall) analysant les requtes du site Web et bloquant les attaques visant
exploiter linjection SQL. Ce mcanisme de patching virtuel permet de protger
lapplication Web avant que la vulnrabilit de lapplication Web ne soit effectivement
corrige.
Ces exemples illustrent le fait que les vulnrabilits touchent tous types dorganisations, tous
types dutilisateurs et tous types de logiciels tant les logiciels commerciaux que propritaires.
Leur remdiation peut tre complexe selon le contexte. Elle doit tre gre par priorit,
suivant une rflexion dcoulant de la stratgie de lorganisation.

12/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

IV.
IV.1.

Valeur de la gestion des vulnrabilits

Caractre indispensable dans une stratgie de scurit

La Politique de Scurit des Systmes dInformation dune organisation doit comporter un


chapitre traitant de la gestion des vulnrabilits. La gestion des vulnrabilits est un pilier
essentiel de tout programme de scurit. La Direction doit sassurer que des mesures sont
effectivement mises en uvre et maintenir en condition oprationnelle de scurit les
composants du systme dinformation, en mettant laccent sur les actifs les plus exposs ou
les plus critiques pour les activits de lorganisation.
Les organisations doivent intgrer la gestion des vulnrabilits et des risques au cur de leur
stratgie de scurit de faon ce que les moyens allous et activits soient coordonns avec
les autres activits oprationnelles. La gestion des vulnrabilits renforce la scurit
intrinsque des systmes tout en venant complter dautres types de mesures de scurit
(gestion des accs, filtrage des flux, dtection et blocage des attaques, etc.) pour former un
ensemble cohrent.
La gestion des vulnrabilits se traduit par une activit oprationnelle au sein d'une
organisation, et sinscrit dans une logique damlioration continue, comme schmatis cidessous :

Figure 1: Activit de gestion des vulnrabilits et contrle permanent

Cette activit collecte frquence rgulire des informations de scurit (actifs, vulnrabilits
logicielles, vulnrabilits de configuration) et permet dajuster si besoin les politiques et
standards de scurit de lorganisation au regard de lexposition aux risques.
Les mesures doivent tre effectues de manire fiable et indpendante.

Valeur de la gestion des vulnrabilits

CLUSIF 2014

13/19

IV.2.

Bnfices et principaux usages

A titre dillustration, prenons la rcente faille mdiatise Heartbleed16 qui a touch entre les
sites Internet de banques, d'e-commerce et de rseaux sociaux. La gestion des vulnrabilits
permet de rpondre aux questions suivantes :

quel est le nombre dapplications Web exposes sur Internet ?


o et comment sont hbergs les applications (Intranet, Extranet, cloud, SaaS, etc.) ?
quelles sont les applications vulnrables Heartbleed ?
quel est ltat davancement du plan de remdiation ?
les anciens certificats SSL des sites Web ont-ils t rvoqus ?
peut-on garantir que les applications Web vulnrables ne le sont plus ?

La valeur apporte est didentifier rapidement et de corriger les vulnrabilits qui reprsentent
un risque oprationnel rel et majeur pour lorganisation, avant qu'elles ne soient exploites.
Les Dirigeants et Responsables Scurit des Systmes dInformation dune organisation
disposent ainsi dune vision globale et consolide de lexposition aux risques de
linfrastructure informatique (quelle soit expose sur Internet, interne, ou externalise par
exemple auprs dun hbergeur ou dun fournisseur de cloud), leur permettant de prendre les
dcisions (dploiement de correctifs, modification des configurations, etc.) pour rduire le
risque un niveau acceptable.
La gestion des vulnrabilits peut tre la fois considre comme un processus de scurit au
sens des normes de la famille ISO 27000 mais galement comme un moyen
de contrle permanent, en particulier pour les entreprises ctes et des organismes dans le
monde bancaire et assurantiel.
Le vocable Contrle permanent ou Continuous monitoring relatif la gestion des
risques d'une entreprise provient du rfrentiel de contrle interne COSO17, reconnu
internationalement, utilis notamment par les lois Sarbanes-Oxley (SOX) aux Etats-Unis et
Loi sur la Scurit Financire (LSF) en France. Ce terme s'applique galement
au contrle interne de l'activit informatique d'une organisation18.
Un DSI doit pouvoir dmontrer aux actionnaires de l'entreprise que l'infrastructure
informatique fournie est scurise et que les risques associs sont matriss. En gnral, le
RSSI dispose d'une dlgation de la part du contrle interne, et met en place un tel dispositif
de contrle interne pour l'informatique et sa scurit. Les mesures suivantes peuvent par
exemple contribuer au dispositif de contrle interne d'une organisation:

1er niveau: les utilisateurs doivent utiliser des mots de passe XX caractres sur leur poste
informatique (mise en place d'une mesure de scurit pour rduire le risque d'accs aux
applications mtiers par exemple).

16

http://www.lefigaro.fr/secteur/high-tech/2014/04/11/01007-20140411ARTFIG00496heartbleed-la-faille-qui-frappe-le-coeur-de-la-securite-sur-internet.php
17
http://www.coso.org/
18
http://csis.org/files/publication/130212_Lewis_RaisingBarCybersecurity.pdf
14/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

2ime niveau: l'organisation s'assure par une solution automatise de gestion des
vulnrabilits et de conformit que tous les mots de passe des postes informatiques font
bien XX caractres (mise en place d'un contrle permanent dune mesure de scurit).

IV.3.

Stratgies de mise en oeuvre

Au sein des organisations, la mise en uvre dune activit de gestion des vulnrabilits peut
rencontrer de nombreux freins organisationnels ou oprationnels. La stratgie de mise en
uvre doit donc tre souple, progressive et adapte aux moyens disponibles et au niveau de
maturit de lorganisation. Une stratgie de dfense en profondeur19 est privilgier.
Lensemble des systmes, applications et quipements en production doit tre rgulirement
analys et intgr au processus et faire lobjet dun traitement des vulnrabilits dtectes. La
remdiation ou correction des vulnrabilits ne se concentrera que sur les actifs les plus
critiques pour les activits de lorganisation et ceux qui sont les plus exposs aux risques.
La gestion des vulnrabilits doit tre intgre dans le cycle de vie des systmes et des
applications en se rapprochant des quipes en charge du dveloppement et de la maintenance,
afin de dtecter au plus tt une vulnrabilit via des tests raliss par les quipes en charge du
dveloppement ou de celles en charge de valider les systmes avant leur passage en
production. Cette approche ds la conception permet de diffuser une culture de la gestion
des vulnrabilits au-del des quipes en charge de lexploitation et de ladministration des
systmes.
Il est noter quune vulnrabilit ne disparat jamais compltement cause de
rinstallation, de dploiement de nouveaux systmes avec des anciennes configurations, de
restauration de sauvegardes, etc. do la ncessit de continuer les surveiller mme aprs le
dploiement d'un correctif.
Pour les vulnrabilits ne pouvant tre corriges pour diverses raisons (ressources humaines
ou financires insuffisantes, correctifs non disponibles, freins organisationnels, contraintes
techniques spcifiques, etc.), lorganisation devra sattacher mettre en place des mesures de
scurit palliatives. Ces mesures peuvent tre par exemple des mesures de prvention (rgle
plus stricte sur un pare-feu situ en amont, etc.) ou des mesures de raction (renforcement du
niveau de supervision des traces, etc.).
Dans tous les cas, les risques rsiduels (subsistant aprs traitement) devront tre identifis,
formaliss et accepts de faon explicite et formelle par le Management.

19

http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils-methodologiques/la-defense-enprofondeur-appliquee-aux-systemes-d-information.html
Valeur de la gestion des vulnrabilits

CLUSIF 2014

15/19

V.

Conclusion

Lexploitation dune seule vulnrabilit informatique basique peut porter prjudice aux
activits oprationnelles d'une organisation, galement dtriorer son image, entraner une
perte de confiance de ses clients, faire chuter sa valeur et terme entraner sa disparition.
La gestion des vulnrabilits en tant que telle ne cre pas directement de la valeur. Par contre,
une absence de gestion des vulnrabilits limite indirectement la cration de valeur pour
lorganisation.
Les vulnrabilits dune infrastructure informatique constituent un risque majeur
oprationnel. Le plus haut niveau de lorganisation doit non seulement apporter toute la
considration ncessaire leur traitement par un suivi rgulier, mais surtout apporter son
soutien aux quipes en charge du traitement.
Ainsi, disposer dune activit ou dun processus de gestion des vulnrabilits informatiques
au sein dune organisation est essentiel.
Au pralable, un programme de gestion des vulnrabilits doit tre lanc et visible de la
Direction Gnrale ainsi que des Directions Mtiers afin que celles-ci en comprennent la
valeur et lintrt pour leurs activits et allouent les ressources en consquence. On
sattachera mettre laccent sur les impacts oprationnels et les cots associs, en conservant
en second plan les aspects techniques moins directement comprhensibles pour des non
techniciens.
Les facteurs clefs de succs de mise en uvre dun tel programme seront :

Adopter une approche raisonne et structure


Impliquer la Direction Gnrale et lensemble des parties prenantes concernes
Nommer un responsable du programme de gestion des vulnrabilits
Identifier et allouer un budget spcifique la fois dinvestissement et de fonctionnement
Organiser, automatiser et industrialiser la gestion des vulnrabilits
Communiquer de manire transparente et adapte aux parties prenantes impliques
Crer des lments de motivation pour les administrateurs informatiques
Dfinir des indicateurs clefs

16/19

CLUSIF 2014

Valeur de la gestion des vulnrabilits

Valeur de la gestion des vulnrabilits

CLUSIF 2014

17/19

LESPRIT DE LCHANGE

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS


11 rue de Mogador
75009 Paris
France
+33 1 53 25 08 80
clusif@clusif.fr
Tlchargez toutes les productions du CLUSIF sur

www.clusif.fr