La gestion des vulnérabilités, les évaluations des vulnérabilités et la gestion des correctifs sont essentielles pour prévenir les cyberattaques. Le rapport 2023 sur l'état de la gestion des vulnérabilités, une enquête menée par Cybersecurity Insiders, montre comment les organisations gèrent les défis liés à la mise en œuvre des meilleures pratiques en matière de gestion des vulnérabilités.
Un programme complet de gestion des vulnérabilités basé sur les risques reste difficile à mettre en place pour de nombreuses organisations. Le rapport 2023 sur l'état de la gestion des vulnérabilités a été publié récemment et est basé sur une enquête mondiale complète menée en juin 2023 auprès de 421 professionnels de la cybersécurité afin d'obtenir un aperçu approfondi des dernières tendances, des principaux défis et des solutions de gestion des vulnérabilités. Les personnes interrogées vont des cadres techniques aux gestionnaires et aux praticiens de la sécurité informatique, représentant un échantillon équilibré d'organisations de tailles diverses dans de multiples secteurs d'activité.
En 2022, les internautes du monde entier ont découvert plus de 25 000 nouvelles vulnérabilités et expositions communes en matière de sécurité informatique (CVE), soit le chiffre annuel le plus élevé à ce jour. Entre janvier et avril 2023, ce chiffre s'est élevé à 7 489. Comme le montre le graphique, le nombre de CVE détectés a considérablement augmenté au cours de la dernière décennie.
La plupart des organismes de sécurité savent que la gestion des vulnérabilités en matière de cybersécurité reste un défi de taille. Les vulnérabilités non résolues exposent les systèmes aux cybermenaces, et l'ampleur même des risques potentiels peut empêcher de hiérarchiser efficacement les tâches de remédiation. Les progrès technologiques rapides et les surfaces d'attaque qui ne cessent de s'étendre dépassent souvent les capacités des organisations à faire face aux menaces émergentes de manière proactive.
En outre, cette enquête a été conçue pour faire la lumière sur les pratiques actuelles, les obstacles et les perspectives en matière de gestion des vulnérabilités. En comprenant comment les organisations relèvent ces défis, le rapport "2023 State of Vulnerability Management" offre des perspectives stratégiques et des points de référence pour l'industrie.
Les principales conclusions de l'enquête sont les suivantes :
Près d'un quart des organisations interrogées (24 %) ont déclaré avoir subi une violation en raison de vulnérabilités non traitées, ce qui révèle les implications réelles des vulnérabilités négligées.
L'organisation de sécurité des applications Rezilion a publié le 8 juin un blog détaillant les sept principales vulnérabilités du premier semestre 2023. L'étude a montré qu'il est difficile de déterminer la vulnérabilité sur laquelle il faut se concentrer en premier - tout dépend du type d'entreprise, de l'organisation technologique et du cas d'utilisation de l'application. En règle générale, M. Rezilion estime que les équipes de sécurité devraient se concentrer sur les récentes vulnérabilités Apache Superset, Papercut, MOVEit et ChatGPT. Le défi pour les équipes de sécurité est de prioriser les correctifs sur lesquels se concentrer, car sur les plus de 20 000 vulnérabilités signalées chaque année, moins de 5 % sont réellement exploitées dans la nature.
Si la plupart des organisations (85 %) utilisent des analyses de vulnérabilité du réseau, l'application d'autres mesures préventives varie. Seules 65 % d'entre elles classent les vulnérabilités par ordre de priorité en fonction du risque. Plusieurs rapports de sécurité ont montré que les nouvelles vulnérabilités sont de plus en plus utilisées par les cybercriminels - celles qui ont été signalées au cours des trois dernières années ont été utilisées dans 24 % des tentatives d'exploitation en 2022, contre seulement 18 % des tentatives en 2021.
La moitié des organisations (51 %) n'ont, au mieux, qu'un niveau modéré de visibilité sur les vulnérabilités, et 26 % détectent plus de 100 nouvelles vulnérabilités par mois. Ces chiffres soulignent l'ampleur des risques potentiels auxquels les entreprises sont confrontées, ce qui nécessite des stratégies efficaces de gestion des vulnérabilités.
Si 35 % des entreprises interrogées procèdent à une analyse continue des vulnérabilités, le déploiement des correctifs accuse toujours un retard considérable. Il est surprenant de constater que seuls 11 % des répondants parviennent à déployer les correctifs le jour même où ils sont disponibles, et qu'un grand nombre d'équipes de sécurité (47 %) mettent plus d'une semaine à appliquer les correctifs. Cette lacune crée une fenêtre de risque importante pendant laquelle les organisations restent sensibles aux vulnérabilités exploitées.
Les résultats de l'enquête mettent en contraste ce que les organisations analysent actuellement et les domaines dans lesquels elles perçoivent la nécessité d'une gestion plus complète des vulnérabilités. Les serveurs (91 %) et les ordinateurs de bureau/portables/points finaux (80 %) sont les actifs les plus analysés. Toutefois, les répondants ont exprimé le besoin d'améliorer la gestion des vulnérabilités dans des domaines tels que les appareils IoT/OT (49 %) et les actifs en nuage (44 %).
Environ 70 % des répondants ont classé leur programme de gestion des vulnérabilités au niveau 3 ou supérieur. Cela indique leur capacité à analyser et à hiérarchiser les vulnérabilités en fonction des risques spécifiques de l'environnement informatique (niveau 3 : 28%), à effectuer des analyses et des tests de pénétration (niveau 4 : 23%) et à mettre en place des programmes complets de gestion des vulnérabilités (niveau 5 : 19%). Notamment, seules 19 % des organisations ont atteint un niveau de maturité élevé dans leur programme de gestion des vulnérabilités, ce qui indique un potentiel important d'amélioration à l'échelle de l'industrie.
Et Dieu merci, seulement 1 % des organisations de notre enquête ont indiqué l'absence de tout programme.
La plupart des organisations ont identifié les contraintes budgétaires (56%) et les pénuries de compétences (46%) comme les obstacles les plus importants à l'amélioration de la gestion de la vulnérabilité, soulignant le besoin croissant de solutions innovantes et d'automatisation pour faciliter une plus grande efficacité du personnel existant.
Lors de l'évaluation des solutions de gestion des vulnérabilités, les participants à l'enquête ont accordé la plus grande importance à la précision de la détection des vulnérabilités (79 %), suivie de près par les capacités de reporting et d'analyse (63 %) et le coût de possession (61 %).
Les analyses de vulnérabilité du réseau (85 %) et les tests de pénétration (76 %) sont les composants les plus utilisés, ce qui reflète le rôle essentiel de ces techniques dans l'identification des vulnérabilités. Malgré la forte utilisation de ces méthodes, il est préoccupant de constater que des mesures plus avancées et plus ciblées, telles que la simulation d'un adversaire (21 %) et la simulation d'une brèche et d'une attaque (34 %), sont moins utilisées.
Bien que la majorité des personnes interrogées effectuent des analyses de vulnérabilité en continu (35 %), quotidiennement (10 %) ou hebdomadairement (26 %), un nombre surprenant d'organisations n'effectuent des analyses que mensuellement (15 %) ou trimestriellement (11 %), ce qui laisse de longues périodes d'exposition potentielle aux cyber-menaces.
En outre, il est extrêmement important d'étendre l'analyse des vulnérabilités à toutes les facettes de l'environnement informatique, car les cybercriminels ont la capacité et l'intention d'exploiter les vulnérabilités dans n'importe quel segment de l'infrastructure du réseau.
Il est encourageant de constater qu'une proportion substantielle d'organisations effectue des analyses sur les serveurs (91 %), les ordinateurs de bureau/portables/points finaux (80 %) et les dispositifs d'infrastructure de réseau (76 %). Cependant, un nombre notable de répondants néglige les zones sensibles telles que les dispositifs IoT/OT (24%), les middleware (32%) et les actifs de données (38%). Cela suscite des inquiétudes, car ces composants peuvent servir de points d'entrée cruciaux pour les acteurs malveillants.
Seules 11 % des organisations déploient avec succès les correctifs le jour même où ils sont disponibles. Dans les trois jours, 19 % des organisations parviennent à appliquer les correctifs, tandis que 23 % y parviennent en moins d'une semaine. Notamment, 47 % des organisationsmettent plus d'une semaine à achever le processus d'application des correctifs. Il est particulièrement préoccupant de constater que 10 % des entreprises ont besoin de plus d'un mois pour corriger des vulnérabilités connues. Les retards dans la gestion des correctifs augmentent considérablement le risque de violation de la sécurité d'une organisation.
Les fournisseurs de services de gestion des vulnérabilités (VMaaS) identifient, hiérarchisent et répondent à l'exposition aux vulnérabilités pour le compte de l'organisation. Ils permettent de combler les lacunes dues à la pénurie de talents et de ressources, en permettant aux organisations de profiter du personnel de sécurité du fournisseur pour gérer le processus de gestion des vulnérabilités de l'organisation.
La gestion des vulnérabilités est une tâche difficile car pratiquement tout peut devenir une vulnérabilité pour un système. Il peut s'agir de versions de logiciels obsolètes, de systèmes d'exploitation non corrigés, voire d'utilisateurs et d'employés victimes de tentatives d'hameçonnage par courrier électronique ou d'attaques ciblées.
Une gestion continue des vulnérabilités est essentielle pour garantir que tous les systèmes restent à jour et que chaque nouvelle vulnérabilité est rapidement découverte. Toutefois, ce processus exige beaucoup d'énergie et de temps de la part du personnel informatique, ce qui peut rapidement devenir insurmontable pour les organisations, en particulier les petites entreprises.
Un défi supplémentaire auquel les entreprises sont confrontées est la coordination et la planification de la mise en œuvre des correctifs afin de minimiser les temps d'arrêt et les interruptions de service. Les équipes d'ingénieurs doivent s'entraîner à corriger les vulnérabilités dans des environnements de non-production afin de garantir une application sans heurts des correctifs dans les environnements de production. Bien qu'il prenne du temps, ce processus méticuleux permet de prévenir tout problème potentiel.
Ceci étant dit, voici 6 priorités sur lesquelles les organisations peuvent se concentrer pour éliminer la grande majorité des vulnérabilités :
Ok, nous avons établi comment les organisations gèrent tous les défis de la gestion des vulnérabilités, où elles se situent en termes de maturité de la gestion des vulnérabilités, et où les organisations devraient concentrer leur temps et leur énergie pour modifier leur gestion des vulnérabilités afin de gérer les risques de manière rentable. Dans la deuxième partie de cette série de billets de blog, nous examinerons plusieurs études de cas pour comprendre les succès et les échecs réels de la gestion des vulnérabilités.