Splunk est fier d’avoir été désigné leader du domaine du SIEM par Forrester, Gartner® et IDC. Téléchargez le dernier Magic Quadrant pour comprendre pourquoi. Recevoir le rapport →
En savoir plus sur les solutions et les produits Splunk pour la sécurité :
Dans le domaine de la cybersécurité, il faut tenir compte d’un nombre infini de facteurs. Avant de nous y plonger, commençons par faire le point sur les trois concepts fondamentaux de la sécurité : les vulnérabilités, les menaces et les risques.
Dans cet article, nous nous penchons sur ces concepts de sécurité en profondeur avec l’éclairage d’experts de l’industrie.
Ces termes sont fréquemment employés ensemble mais ils désignent trois aspects distincts de la cybersécurité. Pour résumer, on peut les voir comme un spectre :
Intéressons-nous maintenant à chacune de ces dimensions.
(À lire également : Blog Splunk Security et Événements et conférences sur la cybersécurité et la sécurité de l’information.)
Commençons par les vulnérabilités. Une vulnérabilité est une faiblesse, une faille ou autre défaut présent dans un système (infrastructure, base de données ou logiciel), mais elle peut également se trouver dans un processus, dans un ensemble de contrôles ou simplement dans la façon dont un composant a été implémenté ou déployé.
Il existe différents types de vulnérabilités et nous pouvons généralement les classer comme suit :
Certaines vulnérabilités font partie de la routine : il arrive fréquemment que la publication d’une version logicielle soit immédiatement suivie d’un correctif. Les faiblesses deviennent problématiques lorsqu’elles sont inconnues ou hors de vue de votre équipe. Sans correction, cette faiblesse peut prêter le flanc à une attaque ou une menace. Laisser sa porte ouverte pendant la nuit, par exemple, représente une vulnérabilité. En soi, ce n’est pas un problème. Mais si un individu se présente et franchit cette porte, les conséquences peuvent être graves.
Pour cette raison, plus les vulnérabilités sont nombreuses, plus la probabilité de menaces et le niveau de risque augmentent.
Cela paraît logique, mais il faut savoir que l’envergure du problème est considérable : selon Fasthosts, fournisseur britannique de serveurs et de domaines, les entreprises peuvent avoir des milliers, voire des millions de vulnérabilités.
Selon le rapport Data Breach Report 2023 d’IBM, le coût moyen d’une faille de données n’avait jamais été aussi élevé : il atteignait 4,45 millions de dollars, soit une augmentation de 2,2 % par rapport à 2022, et de 15 % sur trois ans. En effet, ces attaques peuvent coûter cher et leurs implications sont nombreuses. Progress Software, par exemple, subit encore les conséquences de la vulnérabilité MOVEit Transfer de 2023, qui a touché 94 millions d’utilisateurs et fait plus de 15 milliards de dollars de dommages jusqu’à présent.
Quelques exemples récents de vulnérabilités :
Vous voulez en savoir plus ? Les CVE recensent les vulnérabilités et les expositions divulguées publiquement et représentent une source d’information essentielle dans le domaine de la sécurité.
(À lire également : Pratiques de gestion des vulnérabilités.)
Dans le domaine de la cybersécurité, on définit généralement une menace comme suit : tout ce qui peut exploiter une vulnérabilité et peut affecter la confidentialité, l’intégrité ou la disponibilité de vos systèmes, de vos données, de vos équipes et autres.
(Confidentialité, intégrité et disponibilité, parfois désignées sous le terme de triade CIA, constituent un autre concept fondamental de la cybersécurité.)
Pour donner une définition plus sophistiquée de la menace, c’est une situation dans laquelle un adversaire ou un attaquant a l’occasion, la capacité et l’intention d’exercer un impact négatif sur vos opérations, vos actifs, vos équipes et/ou vos clients. C’est notamment le cas des malwares, des ransomwares, des attaques de phishing, entre autres, en sachant que les différents types de menaces évoluent constamment dans l’environnement.
Il faut aussi garder en tête que les menaces sont très variées, comme le souligne Bob Rudis, Vice-président des sciences des données chez GreyNoise Intelligence. D’où l’importance d’avoir accès à de la threat intelligence et de l’utiliser judicieusement. Citons Bob Rudis :
« Un adversaire peut avoir l’intention et la capacité de nuire, mais sans en avoir l’occasion. »
C’est le cas, par exemple, si votre entreprise ne présente aucune vulnérabilité grâce à un solide programme de gestion des correctifs ou d’une politique rigoureuse de segmentation du réseau qui interdit tout accès aux systèmes critiques. Toutefois, dans la réalité, il est fort probable que vous ayez des vulnérabilités. Et c’est le moment d’aborder le facteur de risque.
Le risque décrit la probabilité qu’un événement néfaste (nuisible) se produise, ainsi que l’envergure potentielle des dommages. Le risque organisationnel fluctue au fil du temps, parfois même au quotidien, sous l’influence de facteurs internes et externes.
Pour prendre une perspective un peu plus technique, le corpus Open FAIR définit le cyber-risque comme la fréquence et l’amplitude probables d’une perte. Cette définition semble complexe au premier abord, mais il suffit de la décomposer. « Pour commencer, déclare B. Rudis, il n’y a pas de risque abstrait. Un objet [tangible] est exposé à un risque, qu’il s’agisse d’un système, d’un appareil, d’un processus métier, d’un compte bancaire, de la réputation de votre entreprise ou d’une vie humaine. »
C’est le point de départ qui permet aux équipes de sécurité de mesurer ce risque :
On a longtemps décrit le risque comme le produit de la conséquence multipliée par la probabilité, mais les équipes de sécurité ont beaucoup amélioré leurs processus et leurs sources d’information, si bien qu’il faut également tenir compte des protections mises en place.
C’est une autre façon, certes un peu simpliste, d’envisager le risque :
Vulnérabilité x menace = risque
Ce calcul résumé reprend les concepts détaillés précédemment : en multipliant une vulnérabilité donnée par la menace potentielle (fréquence, protections et perte de valeur potentielle), on obtient une estimation du risque qui en découle. Pour mettre en place des mesures d’atténuation et de gestion du risque, il faut d’abord comprendre quelles sont vos vulnérabilités et quelles menaces peuvent les viser. Et cela n’a rien de simple.
(À lire également : Gestion des risques de cybersécurité et Frameworks de gestion des risques.)
Imaginons que votre entreprise cherche à protéger toutes ses données, vraisemblablement en utilisant des méthodes de chiffrement des données, entre autres. Mais cette approche coûte extrêmement cher, et vous devez sélectionner les données à protéger en priorité.
Vous pouvez envisager le risque encouru comme suit : si le mécanisme visant à protéger certaines données échoue d’une façon ou d’une autre, vous introduirez une ou plusieurs vulnérabilités. Et si un acteur malveillant découvre et exploite cette vulnérabilité, la menace se concrétisera.
Dans une telle situation, le risque correspond à la valeur perdue si les données tombent entre les mains de cet adversaire.
Une partie du problème du risque vient de cette vérité universelle : il est impossible d’éliminer toutes les menaces ou de s’en prémunir entièrement, quel que soit le niveau de sophistication de vos systèmes. C’est là qu’intervient la pratique de gestion des risques, une activité régulière et continue qui consiste à examiner les risques afin de réduire la probabilité que certaines menaces surviennent.
La première étape d’une stratégie proactive de gestion des risques consiste à accepter qu’une entreprise ne puisse pas éliminer totalement le risque. Une fois cela compris, vous pouvez définir les termes de l’évaluation des risques, qui se déroule en cinq étapes clés :
Évaluez l’environnement et l’infrastructure informatiques de votre entreprise pour repérer les vulnérabilités qui peuvent mettre vos activités en danger. Vous allez également :
(À lire également : GRC : gouvernance, risque et conformité.)
Vous allez cette fois vous intéresser à l’impact que le risque identifié peut avoir sur votre entreprise, son fonctionnement et ses objectifs. Dans ce cadre, vous allez chercher à comprendre dans quelle mesure les vulnérabilités peuvent être découvertes, exploitées et reproduites pour évaluer leur impact dans son entièreté.
En vous appuyant sur le résultat des étapes précédentes, vous allez définir les mesures à prendre pour atténuer le risque. Selon l’impact que vous avez déterminé, plusieurs options s’offrent à vous :
À cette étape, vous définissez des contrôles pour gérer et atténuer les risques, en cherchant à les éliminer ou à les réduire de façon significative. La configuration de pare-feux, des mots de passe, l’authentification multifacteurs et le chiffrement sont des exemples courants de contrôles. Concrètement, en 2023, les entreprises qui avaient mis en place des mesures de contrôle ont économisé environ 1,76 million de dollars par rapport à celles qui ne l’avaient pas fait.
Des cadres comme le CSF du NIST et le framework FAIR peuvent s’avérer particulièrement utiles.
Documentez et examinez régulièrement toutes les failles qui surviennent pour en tirer des enseignements et renforcer vos pratiques d’évaluation et de contrôle des risques.
Le coût des vulnérabilités et des menaces est bien trop élevé pour que les entreprises les ignorent ; elles doivent même être une priorité. Élaborez une méthode efficace d’évaluation des risques, en gardant en tête qu’il est impossible de les éliminer totalement et qu’il s’agit d’un processus continu exigeant des révisions régulières.
Une erreur à signaler ? Une suggestion à faire ? Contactez-nous à l’adresse ssg-blogs@splunk.com.
Cette publication ne représente pas nécessairement la position, les stratégies ou l’opinion de Splunk.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.