Article
Environ 6 minutes
Jun 20, 2024 Publié le 20/06/2024

How to prioritize your information system's vulnerabilities?

L’expansion de la surface d’attaque est devenue l’une des principales tendances en matière de gestion des risques et de cybersécurité. La recherche et la priorisation des vulnérabilités d’un système d’information constituent, par ricochet, des sujets de préoccupation majeurs. L’enjeu de cette gestion des vulnérabilités (vulnerability management) est d’identifier, prioriser et corriger les failles de sécurité avant leur exploitation par des acteurs malveillants.

How can you identify and correct vulnerabilities in your information system? What steps should you take to integrate vulnerability management into your IT security policy? Let's take a closer look with François Devienne, Head of Operational Security at OverSOC.

What is a computer vulnerability?

Common types of vulnerabilities

Ce qu’on appelle communément une « vulnérabilité » est une faille de sécurité dans un système d’information. Elle peut provenir d’un réseau, d'un service, d’un composant matériel ou d'un logiciel. Les vulnérabilités les plus courantes sont les failles « Zero-Day » (vulnérabilités d’un système d’exploitation ou d’un logiciel n’ayant pas encore été découvertes ni corrigées) ainsi que les défauts de configuration.

Source: Full disclosure timeline, CERT Orange Cyberdefense, Vulnerability Intelligence Watch department, 2019

Si certaines vulnérabilités comme les failles « Zero-Day » sont imputables aux éditeurs de solutions (chargés de mettre à disposition des correctifs et de publier des avis ou bulletins d’alerte), d’autres vulnérabilités peuvent provenir d’une entreprise elle-même, par exemple dans le cas d’un défaut de configuration.

Timeline de divulgation complète, CERT Orange Cyberdefense, département Vulnerability Intelligence Watch, 2019
Source: Correction Timeline, CERT Orange Cyberdefense, Vulnerability Intelligence Watch department, 2019

The consequences of unaddressed vulnerabilities

« Une vulnérabilité non corrigée est une porte d’entrée laissée dans un système d’information et un potentiel vecteur d’attaque, encore plus si les machines sont exposées sur Internet », explique François Devienne.

L’ingestion de code permet par exemple de prendre le contrôle d’une machine puis de créer un pivot pour se connecter ailleurs dans le SI, jusqu’à réussir une élévation de privilèges.

Step 1: Identify vulnerabilities

The importance of IT security intelligence

« L’identification des vulnérabilités repose sur une action de veille régulière », note François Devienne.

Cette étape nécessite de se renseigner de manière proactive via les publications des différents CERT ou les bulletins de sécurité émis par les éditeurs, par exemple, afin de prendre connaissance des mises à jour disponibles sur les systèmes d’exploitation et les logiciels utilisés. « Le fait de lister au sein d’une cartographie du système d’information les différents OS et outils utilisés facilitera la veille », ajoute-t-il.

Using vulnerability scans

Au-delà de la veille, l’utilisation de scans de vulnérabilités permet de tester les différents actifs et de révéler d’éventuelles failles sur certains systèmes d’exploitation, modules ou applications, à partir de scripts. Le recours à ces outils (open source ou propriétaires) « industrialise » la recherche de vulnérabilités et offre une bonne visibilité sur l’état du parc.

Step 2: Vulnerability assessment

Vulnerability classification criteria

Severity

Avec une surface d’attaque toujours plus grande, les entreprises n’ont pas forcément la possibilité de corriger l’ensemble des vulnérabilités détectées. Comment faire le tri ? En évaluant dans un premier temps la sévérité des vulnérabilités à partir du standard CVSS (Common Vulnerability Scoring System).

« Le CVSS 3.0 attribue à chaque vulnérabilité un chiffre de 0 à 10 . Une vulnérabilité est considérée comme critique lorsqu’elle affiche un score entre 8 et 10 », détaille François Devienne.

CVSS score

Operability

La sévérité n’est pas l’unique métrique à prendre en compte. Il est également nécessaire de savoir si la vulnérabilité en question est « exploitable » et « exploitée » (informations souvent mentionnées au sein du bulletin de sécurité). L’indice d’exploitabilité ou EPSS (Exploit Prediction Scoring System) indique la probabilité d’exploitation d’une vulnérabilité.

Use of vulnerability databases

De nouvelles vulnérabilités sont révélées chaque jour et sont disponibles en libre accès sur Internet, à travers des bases de données de vulnérabilités. Le site cve.mitre.org (CVE pour « Common Vulnerabilities and Exposures ») est devenu la base de référence concernant les failles et les vulnérabilités, mais il existe bien d’autres sources permettant de s’informer sur les vulnérabilités et les scores qui leur ont été attribués.

Step 3: Prioritizing vulnerabilities

Vulnerability prioritization methodologies: assessing criticality

La démarche de priorisation des vulnérabilités doit également prendre en compte la criticité des actifs concernés. Une vulnérabilité critique et exploitable liée à des actifs exposés sur Internet doit être corrigée le plus rapidement possible, d’autant plus si les actifs sont liés à des données sensibles ou critiques pour l’entreprise (des données financières, par exemple).

À l’inverse, un serveur qui présente une vulnérabilité mais qui n’est pas exposé sur Internet et est accessible à très peu de personnes ne sera pas considéré comme critique. La vulnérabilité ne sera pas traitée en priorité.

The importance of risk management: prioritizing according to impact and probability

One of the major trends in vulnerability prioritization is the development of a risk-based approach. "In concrete terms, this means that organizations must take into account the likelihood of vulnerabilities being exploited by malicious actors, as well as the impacts (operational, financial, etc.) of successful exploitation," explains François Devienne. The aim of this approach is to prioritize vulnerabilities according to the risks they represent for the organization.

Matrice de gestion de risques - probabilité / impact
Relating the probability obtained to the impact generated gives the level of risk and characterizes the risk according to the matrix above.

Step 4: Action plan

Drawing up a remediation plan

Une fois la priorisation des vulnérabilités établie, reste à mettre en place une organisation et des processus dédiés à la mise en place des correctifs de sécurité et à l’amélioration du patch management. Ces éléments sont formalisés au sein d’un plan de remédiation, souvent piloté par le RSSI ou le RSO.

Le plan de remédiation liste l’ensemble des actions à mener pour traiter les vulnérabilités en fonction des priorités qui leur ont été attribuées. Concrètement, il peut s’agir d’appliquer un patch de sécurité, de passer une commande sur un serveur, de mettre en place une contre-mesure pour éviter qu’une vulnérabilité soit exploitable et exploitée (modifier une architecture réseau, mettre en place un filtrage spécifique ou un contrôle d’accès supplémentaire, etc).

Allocating resources to correct vulnerabilities

While vendors themselves take charge of patch management for cloud services, vulnerabilities linked to on-premises services have to be patched by the organizations using these services.

L’intérêt de formaliser l’ensemble des actions à mener au sein d’un plan de remédiation est justement de lister les différents acteurs concernés et leur rôle, de manière à faciliter la gouvernance et le suivi des vulnérabilités.

« L’application de certains correctifs de sécurité peut avoir un impact sur le service, par exemple lorsqu’on doit redémarrer un serveur. Les équipes doivent également bien vérifier les sauvegardes avant d’installer les patchs », note François Devienne.

Tracking and managing security patches

Vulnerability management is a long-term process, which involves checking that security patches have been applied, and regularly rescanning for vulnerabilities. Mapping your information system provides a clear overview of vulnerability management and remediation plan implementation. Mapping the results of vulnerability scans (as OverSOC does) highlights the gap between the vulnerabilities actually corrected and the actions to be taken.

The most exploited vulnerabilities

Here are some of the most widely known and exploited vulnerabilities:

  1. Heartbleed (CVE-2014-0160): A vulnerability in the OpenSSL library that allowed attackers to steal sensitive information, such as private keys, from web servers.
  2. Shellshock (CVE-2014-6271): A vulnerability in Bash, a Unix shell, which allowed attackers to execute malicious commands on vulnerable systems.
  3. WannaCry (CVE-2017-0144): A ransomware that exploited a vulnerability in unpatched Windows systems, causing havoc worldwide.
  4. Meltdown (CVE-2017-5754) and Spectre (CVE-2017-5753 and CVE-2017-5715): Two major vulnerabilities discovered in modern processors that allowed attackers to access sensitive data.
  5. Equifax (CVE-2017-5638): a security flaw in Apache Struts was exploited to compromise the data of over 143 million Equifax customers.
  6. Petya/NotPetya/ExPetr (2017): A ransomware that used a variety of methods to spread, including a vulnerability in Windows called EternalBlue.
  7. KRACK (Key Reinstallation Attacks): A vulnerability in the WPA2 protocol, used to secure Wi-Fi networks, allowing an attacker to decrypt wireless traffic.
  8. Apache Log4j (CVE-2021-44228): A recently discovered vulnerability in the Log4j logging library, which has had a major impact on many applications and systems.
  9. Heartbleed (CVE-2014-0160): A vulnerability in the OpenSSL library that allowed attackers to steal sensitive information, such as private keys, from web servers.
  10. SQL Injection: A common attack technique where attackers insert malicious SQL code into the data entries of a web application to gain access to the database.

Il est important de noter que la liste des vulnérabilités évolue constamment à mesure que de nouvelles menaces et failles de sécurité sont découvertes. Pour s'en prémunir, il est essentiel de maintenir à jour votre système d'exploitation et vos logiciels, et mettre en œuvre des mesures de sécurité pour protéger votre système d'information face à des vulnérabilités connues et inconnues.

Ressources et outils supplémentaires pour la gestion des vulnérabilités

• Guide « Gestionnaire de vulnérabilités » de l’ANSSI  

• Alertes de sécurité du CERT-FR

• Pentests

• Bulletins de sécurité des éditeurs

• Common Vulnerability Scoring System (CVSS)

• Exploit Prediction Scoring System (EPSS)

• Common Vulnerabilities and Exposures (CVE)

The role of Cyber Threat Intelligence

La Cyber Threat Intelligence (CTI) est une démarche complémentaire aux scans de vulnérabilités, puisqu’elle permet d’enrichir les données récoltées à partir d’autres sources. Il existe désormais des solutions permettant aux entreprises de découvrir d’éventuelles fuites de leurs données sur le darknet (comptes clients, comptes de messagerie, etc.), afin de mettre en place les correctifs de sécurité qui s’imposent.

La gestion et la priorisation des vulnérabilités s’imposent de plus en plus comme des éléments clés d’une politique de sécurité informatique efficace. L’identification des vulnérabilités constitue la première étape de cette démarche. Elle permet aux organisations de gagner en visibilité sur les faiblesses de leur SI, mais elle n’est pas suffisante pour les aider à prioriser les correctifs de sécurité.

La seconde étape est l’évaluation de la gravité des vulnérabilités. Vient ensuite la priorisation des vulnérabilités. Les correctifs de sécurité les plus pertinents peuvent ensuite être déployés. Pour être pleinement efficace, la priorisation des vulnérabilités doit désormais faire l’objet d’une approche fondée sur l’analyse de risques.

Written by Aline Cordier Simonneau

Rédactrice IT et Cyber @OverSOC

Our latest articles

Olympic Games 2024: the cybersecurity challenge

Olympic Games 2024: the cybersecurity challenge

La cybersécurité est l’une des grandes questions stratégiques relatives à l’organisation et à la tenue des JO 2024. L’organisation d’un événement d’une telle ampleur implique un grand nombre d’acteurs (dont les niveaux de maturité cyber sont hétérogènes), ainsi qu’un nombre important de systèmes d’information différents et potentiellement interconnectés. Cet article explore les menaces potentielles et les mesures prises pour sécuriser cet événement mondial, mettant en lumière l'importance d'une coopération renforcée entre tous les acteurs impliqués.

4/7/2024
More >
Article
NIS 2 Directive: what changes to expect and how to prepare?

NIS 2 Directive: what changes to expect and how to prepare?

La directive NIS 2, qui entrera en vigueur en octobre 2024, apporte des changements significatifs en matière de cybersécurité. Elle élargit son périmètre d’application, renforce les obligations des entreprises et introduit de nouvelles sanctions. Cet article vous guide sur les principaux changements à anticiper et les mesures à prendre pour vous conformer dès maintenant à cette nouvelle réglementation.

6/6/2024
More >
Article
Security events, alerts, incidents: what are the differences?

Security events, alerts, incidents: what are the differences?

Événements de sécurité, alertes, incidents : ces termes sont couramment utilisés en cybersécurité, mais ne sont pas interchangeables. Cet article explique leurs différences et leur rôle respectif dans la gestion des menaces. Découvrez comment les intégrer efficacement dans votre stratégie de sécurité opérationnelle pour une meilleure protection de votre système d'information.

30/5/2024
More >
Article