Qu’est-ce que la gestion des vulnérabilités ?

Le processus de gestion des vulnérabilités comprend l’identification, l’évaluation, le traitement, la gestion et le signalement des vulnérabilités. La gestion des vulnérabilités fait partie intégrante du programme de cybersécurité d’une organisation et nécessite une surveillance et une amélioration continues afin de mieux se protéger contre les problèmes de sécurité émergents. Les organisations qui adoptent une gestion des vulnérabilités basée sur les risques peuvent être plus proactives, précises et intentionnelles dans la sécurisation de leur infrastructure cloud. 

Une stratégie de gestion des vulnérabilités efficace aide les entreprises à surveiller, identifier et répondre rapidement aux menaces existantes et émergentes. Une stratégie efficace permet aux organisations de réduire les interruptions opérationnelles en fournissant une visibilité sur leurs plans d’atténuation des menaces et de réponse aux incidents. Cette approche de la gestion des vulnérabilités est cruciale pour protéger les intérêts des parties prenantes, contribuer à la conformité réglementaire et instiller la confiance dans la réputation de l’organisation.

Cependant, la gestion des failles de sécurité dans le cloud nécessite une approche différente de celle des méthodes traditionnelles de gestion des vulnérabilités. Les environnements cloud modernes sont plus complexes que les architectures sur site classiques et nécessitent donc une approche différente pour remédier aux vulnérabilités. 

AWS fournit divers services et outils gérés pour vous aider à améliorer la sécurité du cloud, par exemple :

• Utilisez AWS Identity and Access Management (IAM) pour réguler le contrôle d’accès des utilisateurs et des charges de travail accédant aux services AWS.
• Préservez la souveraineté des données en choisissant l’endroit où vous déployez vos charges de travail. Par exemple, les zones locales dédiées AWS vous permettent de répondre aux exigences de résidence des données en les déployant à l’endroit de votre choix.
• Utilisez AWS Web Application Firewall (WAF) pour surveiller, bloquer et atténuer les risques de sécurité associés aux applications web déployées.

Vous pouvez utiliser les services AWS Cloud Security pour améliorer la sécurité, gérer les risques et contribuer à la conformité conformément au modèle de responsabilité partagée. La gestion des vulnérabilités fait partie du modèle de responsabilité partagée.

Lors de la sécurisation des charges de travail contre les vulnérabilités, la visibilité à l’échelle de l’entreprise permet une détection rapide des événements, des réponses et une planification de la sécurité simplifiée. L’utilisation d’une solution telle qu’AWS Security Hub fournit une vue unifiée de l’organisation et de la posture de sécurité, ce qui vous permet de coordonner, de hiérarchiser et de répondre aux menaces de sécurité à grande échelle dans le cloud. Security Hub prend en charge la gestion des vulnérabilités basée sur les risques en vous permettant de hiérarchiser les risques, de corréler les signaux de menace et de surveiller en permanence les actifs protégés sur AWS.

La gestion de la sécurité commence dès la planification de l’architecture et se poursuit même après le déploiement des charges de travail dans le cloud. Voici les étapes qui vous aideront à créer un programme de gestion des vulnérabilités.

1. Élaborer un plan de gestion des vulnérabilités

Un plan de gestion des vulnérabilités décrit les objectifs, la portée et les responsabilités en matière d’atténuation des vulnérabilités connues et inconnues. Un plan de gestion des vulnérabilités aide les équipes de sécurité, les employés et les autres parties prenantes à agir de manière prévisible pour remédier aux vulnérabilités.

Pour élaborer un plan de gestion des vulnérabilités, vous devez inclure :

• Méthodes de classification des vulnérabilités en fonction de leur gravité
• Outils de gestion des vulnérabilités à utiliser pour la surveillance des actifs, la détection des menaces et la réponse aux incidents
• Délai de résolution cible que les équipes de sécurité doivent respecter pour les catégories de risques respectives
• Exigences en matière de rapports pour fournir des informations sur la sécurité, les problèmes non résolus et le statut de conformité
• Flux de travail de gouvernance pour promouvoir la responsabilisation au sein de l’organisation

2. Mettre en œuvre une analyse des vulnérabilités

L’analyse des vulnérabilités aide les équipes de sécurité à identifier les failles de sécurité connues et émergentes dans vos actifs numériques. Un scanner de vulnérabilités analyse les applications, les réseaux et l’infrastructure à la recherche de vulnérabilités susceptibles d’être exploitées par les acteurs de la menace.

Vous pouvez automatiser les analyses de vulnérabilité sur divers actifs numériques, notamment :

• Applications
• Configurations réseau
• Infrastructure cloud
• Serveurs et systèmes informatiques
• Appareils points de terminaison

Par exemple, dans le cloud AWS, Amazon Inspector analyse automatiquement les instances de calcul, les référentiels de code, les images de conteneurs et d’autres types de charge de travail à la recherche de vulnérabilités. Vous pouvez utiliser Amazon Inspector, AWS Systems Manager et AWS Security Hub pour identifier les vulnérabilités révélées publiquement et y répondre.

3. Mettre en place des processus de gestion des vulnérabilités basés sur les risques

Ensuite, créez un flux de travail pour identifier, hiérarchiser et corriger les vulnérabilités identifiées. En outre, tenez compte de l’environnement opérationnel, de l’impact potentiel et de la charge de travail affectée lors de la gestion des vulnérabilités. Cette étape de triage est utile car les vulnérabilités ont des degrés de gravité variables et, par conséquent, peuvent avoir un impact sur les résultats commerciaux et opérationnels à différentes échelles.

Pour effectuer des évaluations des risques, vous pouvez utiliser des systèmes de notation standard, tels que le Common Vulnerability Scoring System (CVSS), comme guide pour évaluer les facteurs de risque. En utilisant un cadre standardisé, vous pouvez allouer les ressources de manière optimale tout en respectant le calendrier de résolution cible afin d’atténuer les risques découverts. Par exemple, une vulnérabilité dans un module d’authentification utilisateur, bien qu’elle soit classée comme présentant un risque faible, doit être signalée immédiatement afin d’empêcher tout accès non autorisé.

4. Configurer la gestion des correctifs

La gestion des correctifs est cruciale pour gérer les risques de sécurité sur l’ensemble de la surface d’exposition aux menaces d’une entreprise. Un outil de gestion des correctifs télécharge automatiquement les correctifs de sécurité et les mises à jour logicielles des fournisseurs et les applique aux logiciels déployés. Lorsqu’il est automatisé, le logiciel de gestion des correctifs comble les failles de sécurité en corrigeant les vulnérabilités connues et potentielles avant qu’elles ne présentent un risque plus important.

Par exemple, sur AWS, vous pouvez automatiser la gestion des correctifs avec le gestionnaire de correctifs AWS Systems Manager. Le gestionnaire de correctifs peut appliquer des correctifs de sécurité aux instances Amazon Elastic Compute Cloud (EC2), aux appareils périphériques, aux appareils sur site et aux machines virtuelles. Vous pouvez définir des politiques d’application de correctifs pour appliquer les correctifs de sécurité en fonction de la région, des directives d’approbation et d’une heure planifiée.

Remarque : envisagez de déployer les correctifs sur un petit nombre d’appareils avant de les appliquer à l’échelle de l’entreprise. Cette approche vous permet de vous assurer que les correctifs sont stables et qu’ils n’auront pas d’impact indésirable sur les opérations.

5. Configurer la protection contre les programmes malveillants

Les programmes malveillants, ou logiciels malveillants, peuvent infecter des appareils dans un environnement non surveillé. Pour éviter toute infection par des logiciels malveillants, installez une protection contre les programmes malveillants, telle qu’ AWS GuardDuty.

Grâce à l’intelligence artificielle et au machine learning, AWS GuardDuty vous permet d’analyser, de détecter et de diffuser les informations relatives aux programmes malveillants, notamment les chevaux de Troie, les vers, les mineurs de cryptomonnaies, les rootkits ou les bots. En outre, vous pouvez diriger toutes les détections vers AWS Security Hub afin de faciliter les efforts de remédiation.

6. Intégrer l’analyse des vulnérabilités dans les pipelines CI/CD

Des vulnérabilités peuvent être introduites dans une application au cours du développement par des erreurs de codage, des contrôles de sécurité inadéquats et l’utilisation de composants tiers dangereux. Si elles ne sont pas détectées, les failles de sécurité peuvent s’infiltrer dans l'environnement de production, ce qui entraîne des mesures correctives plus coûteuses. Pour éviter de telles complications, déplacez la sécurité vers la gauche en analysant le code pour détecter les vulnérabilités plus tôt dans le cycle de développement logiciel à l’aide d’outils tels qu’ AWS CodeGuru.

AWS CodeGuru est un outil statique de test de sécurité des applications (SAST) qui permet aux équipes logicielles d'identifier et de corriger les vulnérabilités de manière plus efficace. Vous pouvez facilement intégrer CodeGuru à vos flux de travail CI/CD pour détecter automatiquement les failles de sécurité à l’aide d’un raisonnement automatisé basé sur le machine learning.

7. Configuration d’un service de surveillance de la sécurité

Les équipes de sécurité ont besoin d’une vision globale de l’infrastructure, du réseau et des charges de travail de l’organisation pour répondre efficacement aux menaces et aux incidents. Au lieu d'effectuer manuellement des analyses et de multiplier les résultats de sécurité, il est recommandé d'utiliser un service de surveillance de la sécurité unifié, tel qu'AWS Security Hub, afin de rationaliser les flux de travail de sécurité dans le cloud.

En déployant AWS Security Hub, vous contribuez à améliorer la résilience du cloud grâce à des contrôles automatisés basés sur des cadres de sécurité standardisés. AWS Security Hub s’intègre à d’autres services AWS pour accélérer l’identification, le confinement et la réponse aux menaces. Grâce à AWS Security Hub, vous obtenez une vue d’ensemble des actions immédiates de gestion des vulnérabilités et pouvez raccourcir le délai entre la détection des vulnérabilités et la correction.

8. Mettre en œuvre des tests de pénétration des applications web

Les tests d’intrusion vous permettent d’identifier de manière proactive les failles de sécurité et d’évaluer leur impact sur votre organisation. Dans le cadre d’un test d’intrusion d’applications web, des experts en cybersécurité tentent intentionnellement et de manière ciblée d’évaluer les mesures de sécurité existantes des applications web déployées. Ensuite, ils documentent les résultats, hiérarchisent les vulnérabilités les plus critiques et mettent en œuvre des mesures d’atténuation.

Remarque : si vous créez, testez et déployez des applications sur AWS, vous pouvez effectuer des tests d’intrusion sur les services autorisés afin de valider et d’améliorer la sécurité globale des applications web.

9. Automatiser avec l’infrastructure en tant que code

La sécurisation des environnements cloud complexes est plus facile à gérer grâce aux services d’infrastructure en tant que code (IaC). Le provisionnement manuel des ressources du cloud augmente le risque d’erreurs de configuration du cloud, ce qui peut affecter la sécurité de l’infrastructure.

Au lieu de provisionner manuellement l’infrastructure cloud, utilisez des outils IaC, tels qu’ AWS CloudFormation, pour automatiser l’allocation des ressources de calcul, la configuration des services et d’autres tâches de gestion du cloud. Avec CloudFormation, vous pouvez mettre à l’échelle vos charges de travail AWS de manière cohérente et contrôlée tout en réduisant les risques de mauvaise configuration. 

Une solution de gestion des vulnérabilités efficace nécessite une surveillance et des améliorations continues pour atténuer les risques émergents. Sur la base des renseignements sur les menaces, les équipes de sécurité affinent leurs approches de sécurité afin de les aligner sur le paysage des menaces.

Les outils d’identification des menaces, tels qu’ Amazon GuardDuty, permettent d’identifier, d’analyser et de répondre rapidement aux menaces sur l’ensemble de vos comptes, charges de travail et données AWS. Amazon GuardDuty fournit une visibilité de bout en bout sur vos charges de travail, ce qui vous permet d’étendre les efforts de sécurité sans intervention manuelle.

En outre, les principales parties prenantes doivent être informées de l’évaluation de la sécurité, des incidents et de l’état des mesures correctives par le biais de rapports continus. Les rapports publiés en temps utile permettent aux organisations de prendre des décisions éclairées et de prévenir l’escalade des menaces. 

La gestion des vulnérabilités est essentielle pour soutenir les efforts d’une entreprise visant à innover en toute sécurité dans le cloud. Un système complet de gestion des vulnérabilités permet de prévenir les interruptions opérationnelles, les pertes financières et les atteintes à la réputation résultant des cybermenaces. Sur AWS, la gestion des vulnérabilités commence par la compréhension du modèle de responsabilité partagée, qui constitue la base des mesures de sécurité à plusieurs niveaux.

Découvrez d'autres moyens d’améliorer la gestion des vulnérabilités grâce à la sécurité, à l’identité et à la conformité du cloud sur AWS ici.