Vulnérabilités, menaces et risques : faisons le point

Dans le domaine de la cybersécurité, il faut tenir compte d’un nombre infini de facteurs. Avant de nous y plonger, commençons par faire le point sur les trois concepts fondamentaux de la sécurité : les vulnérabilités, les menaces et les risques.

Dans cet article, nous nous penchons sur ces concepts de sécurité en profondeur avec l’éclairage d’experts de l’industrie.

Vulnérabilité, menace et risque

Ces termes sont fréquemment employés ensemble mais ils désignent trois aspects distincts de la cybersécurité. Pour résumer, on peut les voir comme un spectre :

• Premièrement, une vulnérabilité expose votre entreprise à des menaces.
• Une menace est un événement malveillant ou néfaste qui tire parti d’une vulnérabilité.
• Enfin, le risque correspond à la probabilité de pertes et de dommages faisant suite à une menace.

Intéressons-nous maintenant à chacune de ces dimensions.

(À lire également : Blog Splunk Security et Événements et conférences sur la cybersécurité et la sécurité de l’information.)

Qu’est-ce qu’une vulnérabilité ?

Commençons par les vulnérabilités. Une vulnérabilité est une faiblesse, une faille ou autre défaut présent dans un système (infrastructure, base de données ou logiciel), mais elle peut également se trouver dans un processus, dans un ensemble de contrôles ou simplement dans la façon dont un composant a été implémenté ou déployé.

Il existe différents types de vulnérabilités et nous pouvons généralement les classer comme suit :

• Vulnérabilités techniques : bugs dans le code, erreur quelconque dans du matériel ou un logiciel. Selon Positive Technologies, 72 % des vulnérabilités recensées en 2022 étaient liées à des défauts dans le code d’une application web.
• Vulnérabilités humaines : principalement des campagnes de phishing, de smishing ou autres attaques courantes ciblant les employés d’une organisation. L’objectif de 85 % de ces attaques est le vol de données.

Certaines vulnérabilités font partie de la routine : il arrive fréquemment que la publication d’une version logicielle soit immédiatement suivie d’un correctif. Les faiblesses deviennent problématiques lorsqu’elles sont inconnues ou hors de vue de votre équipe. Sans correction, cette faiblesse peut prêter le flanc à une attaque ou une menace. Laisser sa porte ouverte pendant la nuit, par exemple, représente une vulnérabilité. En soi, ce n’est pas un problème. Mais si un individu se présente et franchit cette porte, les conséquences peuvent être graves.

Impact des vulnérabilités

Pour cette raison, plus les vulnérabilités sont nombreuses, plus la probabilité de menaces et le niveau de risque augmentent.

Cela paraît logique, mais il faut savoir que l’envergure du problème est considérable : selon Fasthosts, fournisseur britannique de serveurs et de domaines, les entreprises peuvent avoir des milliers, voire des millions de vulnérabilités.

Selon le rapport Data Breach Report 2023 d’IBM, le coût moyen d’une faille de données n’avait jamais été aussi élevé : il atteignait 4,45 millions de dollars, soit une augmentation de 2,2 % par rapport à 2022, et de 15 % sur trois ans. En effet, ces attaques peuvent coûter cher et leurs implications sont nombreuses. Progress Software, par exemple, subit encore les conséquences de la vulnérabilité MOVEit Transfer de 2023, qui a touché 94 millions d’utilisateurs et fait plus de 15 milliards de dollars de dommages jusqu’à présent.

Quelques exemples récents de vulnérabilités :

• 2024 : RegreSSHion, une vulnérabilité critique découverte dans OpenSSH
• 2024 : incident de fuite d’informations sur la plateforme Trello
• 2023 : violation du support Okta
• 2023 : compromission d’une clé de signature grand public Microsoft

Vous voulez en savoir plus ? Les CVE recensent les vulnérabilités et les expositions divulguées publiquement et représentent une source d’information essentielle dans le domaine de la sécurité.

(À lire également : Pratiques de gestion des vulnérabilités.)

Qu’est-ce qu’une menace ?

Dans le domaine de la cybersécurité, on définit généralement une menace comme suit : tout ce qui peut exploiter une vulnérabilité et peut affecter la confidentialité, l’intégrité ou la disponibilité de vos systèmes, de vos données, de vos équipes et autres.

(Confidentialité, intégrité et disponibilité, parfois désignées sous le terme de triade CIA, constituent un autre concept fondamental de la cybersécurité.)

Pour donner une définition plus sophistiquée de la menace, c’est une situation dans laquelle un adversaire ou un attaquant a l’occasion, la capacité et l’intention d’exercer un impact négatif sur vos opérations, vos actifs, vos équipes et/ou vos clients. C’est notamment le cas des malwares, des ransomwares, des attaques de phishing, entre autres, en sachant que les différents types de menaces évoluent constamment dans l’environnement.

Il faut aussi garder en tête que les menaces sont très variées, comme le souligne Bob Rudis, Vice-président des sciences des données chez GreyNoise Intelligence. D’où l’importance d’avoir accès à de la threat intelligence et de l’utiliser judicieusement. Citons Bob Rudis :

« Un adversaire peut avoir l’intention et la capacité de nuire, mais sans en avoir l’occasion. »

C’est le cas, par exemple, si votre entreprise ne présente aucune vulnérabilité grâce à un solide programme de gestion des correctifs ou d’une politique rigoureuse de segmentation du réseau qui interdit tout accès aux systèmes critiques. Toutefois, dans la réalité, il est fort probable que vous ayez des vulnérabilités. Et c’est le moment d’aborder le facteur de risque.

Qu’est-ce qu’un risque ?

Le risque décrit la probabilité qu’un événement néfaste (nuisible) se produise, ainsi que l’envergure potentielle des dommages. Le risque organisationnel fluctue au fil du temps, parfois même au quotidien, sous l’influence de facteurs internes et externes.

Pour prendre une perspective un peu plus technique, le corpus Open FAIR définit le cyber-risque comme la fréquence et l’amplitude probables d’une perte. Cette définition semble complexe au premier abord, mais il suffit de la décomposer. « Pour commencer, déclare B. Rudis, il n’y a pas de risque abstrait. Un objet [tangible] est exposé à un risque, qu’il s’agisse d’un système, d’un appareil, d’un processus métier, d’un compte bancaire, de la réputation de votre entreprise ou d’une vie humaine. »

C’est le point de départ qui permet aux équipes de sécurité de mesurer ce risque :

1. Estimez à quelle fréquence un adversaire ou un attaquant est susceptible de tenter d’exploiter une vulnérabilité pour provoquer les dommages souhaités.
2. Déterminez dans quelle mesure vos systèmes, contrôles et processus existants peuvent résister à ces tentatives.
3. Évaluez l’impact ou les dommages que peut causer votre adversaire s’il parvient à ses fins.

On a longtemps décrit le risque comme le produit de la conséquence multipliée par la probabilité, mais les équipes de sécurité ont beaucoup amélioré leurs processus et leurs sources d’information, si bien qu’il faut également tenir compte des protections mises en place.

Risque = menace x vulnérabilité

C’est une autre façon, certes un peu simpliste, d’envisager le risque :

Vulnérabilité x menace = risque

Ce calcul résumé reprend les concepts détaillés précédemment : en multipliant une vulnérabilité donnée par la menace potentielle (fréquence, protections et perte de valeur potentielle), on obtient une estimation du risque qui en découle. Pour mettre en place des mesures d’atténuation et de gestion du risque, il faut d’abord comprendre quelles sont vos vulnérabilités et quelles menaces peuvent les viser. Et cela n’a rien de simple.

(À lire également : Gestion des risques de cybersécurité et Frameworks de gestion des risques.)

Un exemple concret

Imaginons que votre entreprise cherche à protéger toutes ses données, vraisemblablement en utilisant des méthodes de chiffrement des données, entre autres. Mais cette approche coûte extrêmement cher, et vous devez sélectionner les données à protéger en priorité.

Vous pouvez envisager le risque encouru comme suit : si le mécanisme visant à protéger certaines données échoue d’une façon ou d’une autre, vous introduirez une ou plusieurs vulnérabilités. Et si un acteur malveillant découvre et exploite cette vulnérabilité, la menace se concrétisera.

Dans une telle situation, le risque correspond à la valeur perdue si les données tombent entre les mains de cet adversaire.

Bonnes pratiques de gestion des risques

Une partie du problème du risque vient de cette vérité universelle : il est impossible d’éliminer toutes les menaces ou de s’en prémunir entièrement, quel que soit le niveau de sophistication de vos systèmes. C’est là qu’intervient la pratique de gestion des risques, une activité régulière et continue qui consiste à examiner les risques afin de réduire la probabilité que certaines menaces surviennent.

La première étape d’une stratégie proactive de gestion des risques consiste à accepter qu’une entreprise ne puisse pas éliminer totalement le risque. Une fois cela compris, vous pouvez définir les termes de l’évaluation des risques, qui se déroule en cinq étapes clés :

Étape 1 : Identifier le risque

Évaluez l’environnement et l’infrastructure informatiques de votre entreprise pour repérer les vulnérabilités qui peuvent mettre vos activités en danger. Vous allez également :

• identifier les problèmes qui peuvent survenir,
• définir ce qu’est la norme ou une procédure opérationnelle standard,
• veiller à respecter vos obligations de conformité réglementaire.

(À lire également : GRC : gouvernance, risque et conformité.)

Étape 2 : Évaluer le risque

Vous allez cette fois vous intéresser à l’impact que le risque identifié peut avoir sur votre entreprise, son fonctionnement et ses objectifs. Dans ce cadre, vous allez chercher à comprendre dans quelle mesure les vulnérabilités peuvent être découvertes, exploitées et reproduites pour évaluer leur impact dans son entièreté.

Étape 3 : Analyser le risque

En vous appuyant sur le résultat des étapes précédentes, vous allez définir les mesures à prendre pour atténuer le risque. Selon l’impact que vous avez déterminé, plusieurs options s’offrent à vous :

• Accepter : vous acceptez la présence du risque et vous n’y remédiez pas. C’est généralement le cas lorsque l’impact est acceptable et que le coût de l’atténuation lui est supérieur.
• Éviter : vous mettez un terme aux activités ou aux opérations qui présentent un risque significatif, en particulier s’il est supérieur aux avantages.
• Transférer : vous partagez le risque avec un tiers, en externalisant l’activité ou en contractant une cyber-assurance.
• Atténuer : vous mettez en œuvre des mesures et des contrôles de sécurité pour réduire l’impact ou la probabilité de l’événement néfaste.

Étape 4 : Définir et examiner les contrôles des risques

À cette étape, vous définissez des contrôles pour gérer et atténuer les risques, en cherchant à les éliminer ou à les réduire de façon significative. La configuration de pare-feux, des mots de passe, l’authentification multifacteurs et le chiffrement sont des exemples courants de contrôles. Concrètement, en 2023, les entreprises qui avaient mis en place des mesures de contrôle ont économisé environ 1,76 million de dollars par rapport à celles qui ne l’avaient pas fait.

Des cadres comme le CSF du NIST et le framework FAIR peuvent s’avérer particulièrement utiles.

Étape 5 : Documenter le risque

Documentez et examinez régulièrement toutes les failles qui surviennent pour en tirer des enseignements et renforcer vos pratiques d’évaluation et de contrôle des risques.

N’ignorez aucune menace

Le coût des vulnérabilités et des menaces est bien trop élevé pour que les entreprises les ignorent ; elles doivent même être une priorité. Élaborez une méthode efficace d’évaluation des risques, en gardant en tête qu’il est impossible de les éliminer totalement et qu’il s’agit d’un processus continu exigeant des révisions régulières.