Les 5 erreurs de la gestion des vulnérabilités
Five mistakes of vulnerability management : cet article, rédigé par Anton Chuvakin de NetForensic et publié par ComputerWorld, énonce des vérités qui, manifestement, ne sont pas évidentes pour tout le monde. Pour Chuvakin, les erreurs les plus fréquentes sont les suivantes : Scanner mais ne rien faire ensuite. La minutie et la précision des scanners de vulnérabilité sont devenues telle que les rapports d'erreurs noient le RSSI sous un déluge de problèmes potentiels mal quantifiés. D'autres actions doivent venir compléter cette phase de test afin de déterminer ce qui doit être corrigé en priorité et ce qui peut très bien être ignoré... la gestion de risques ne peut se limiter à un simple scan. Confondre déploiement de rustines et gestion des vulnérabilités : là encore, c'est associer la partie au tout. Le colmatage n'est qu'un des aspects de la chose, sans oublier le fait que bien des problèmes ne peuvent être résolus par la simple injection d'un correctif. Il faut parfois modifier des policies, reconfigurer des systèmes, précise Chuvakin. Croire que la gestion des vulnérabilités n'est qu'un problème technique : certes non... la gestion des vulnérabilités englobe également ces fameuses « politiques de sécurité » ainsi que l'amélioration des processus sans oublier les tâches de surveillance de réseau -travail passif-, d'inventaire des acquis tant matériel que logiciel etc. Corriger une vulnérabilité sans vue d'ensemble du problème. Chuvakin prend un exemple aisément compréhensible : il est toujours plus urgent de patcher un serveur Web malade si celui-ci est situé dans une DMZ, accessible aux attaques du monde extérieur, que de partir en croisade contre cette même vulnérabilité en deçà des protections périmétriques. En revanche, la plus petite vulnérabilité risquant d'affecter le coeur de métier de l'entreprise, où que soit située cette vulnérabilité, doit faire l'objet d'un traitement prioritaire Ne pas être préparé au ZDE : la probabilité d'une exploitation de faille encore inconnue le jour de l'attaque est inévitable... il est donc nécessaire de prévoir dès à présent un plan de gestion de crise.
