Comment se porte votre programme de gestion des vulnérabilités ? Est-ce efficace ? Un succès? Soyons honnêtes, sans les bons indicateurs ou analyses, comment pouvez-vous savoir si vous vous en sortez, si vous progressez ou si vous obtenez un retour sur investissement ? Si vous ne mesurez pas, comment savez-vous que cela fonctionne ?
Et même si vous effectuez des mesures, des rapports erronés ou une focalisation sur de mauvais indicateurs peuvent créer des angles morts et rendre plus difficile la communication des risques au reste de l’entreprise.
Alors, comment savoir sur quoi se concentrer ? Cyberhygiène, couverture d’analyse, délai moyen de résolution, gravité des vulnérabilités, taux de remédiation, exposition aux vulnérabilités… la liste est interminable. Chaque outil sur le marché propose des mesures différentes, il peut donc être difficile de savoir ce qui est important.
Cet article vous aidera à identifier et à définir les indicateurs clés dont vous avez besoin pour suivre l’état de votre programme de gestion des vulnérabilités et les progrès que vous avez réalisés, afin que vous puissiez créer des rapports prêts à être audités qui :
- Prouvez votre posture de sécurité
- Respectez les SLA et les références de correction des vulnérabilités
- Aidez à réussir les audits et la conformité
- Démontrer le retour sur investissement des outils de sécurité
- Simplifiez l’analyse des risques
- Prioriser l’allocation des ressources
Pourquoi vous devez mesurer la gestion des vulnérabilités
Les métriques jouent un rôle essentiel dans l’évaluation de l’efficacité de votre vulnérabilité et gestion de la surface d’attaque. En mesurant la rapidité avec laquelle vous trouvez, priorisez et corrigez les failles, vous pouvez surveiller et optimiser en permanence votre sécurité.
Avec les bonnes analyses, vous pouvez voir quels problèmes sont les plus critiques, prioriser ce qu’il faut résoudre en premier et mesurer les progrès de vos efforts. En fin de compte, les bons indicateurs vous permettent de prendre des décisions éclairées, de sorte que vous allouez les ressources aux bons endroits.
Le nombre de vulnérabilités détectées est toujours un bon point de départ, mais il ne vous dit pas grand-chose isolément : sans priorisation, sans conseils et sans progrès, par où commencer ? Trouver, hiérarchiser et corriger vos vulnérabilités les plus critiques est bien plus important pour vos opérations commerciales et la sécurité de vos données que la simple recherche de chaque vulnérabilité.
Une hiérarchisation intelligente et un filtrage du bruit sont importants, car il est trop facile d’ignorer les véritables menaces de sécurité lorsque vous êtes submergé d’informations non essentielles. Des résultats intelligents facilitent votre travail en donnant la priorité aux problèmes qui ont un impact réel sur votre sécurité, sans vous alourdir de faiblesses inutiles.
Par exemple, vos systèmes connectés à Internet sont les cibles les plus faciles pour les pirates. En donnant la priorité aux problèmes qui laissent ce problème exposé, il est plus facile de minimiser votre surface d’attaque. Des outils comme Intrus faciliter la gestion des vulnérabilités, même pour les non-experts, en expliquant les risques réels et en fournissant des conseils de remédiation dans un langage facile à comprendre. Mais au-delà de la priorisation, que devriez-vous ou pourriez-vous mesurer d’autre ?
 |
| Un exemple de page de rapport de gestion des vulnérabilités d’Intruder |
5 principales mesures pour chaque programme de gestion des vulnérabilités
Couverture de numérisation
Que suivez-vous et scannez-vous ? La couverture de l’analyse inclut tous les actifs que vous couvrez, les analyses de tous les actifs et applications critiques de l’entreprise, ainsi que le type d’authentification proposé (par exemple, basée sur un nom d’utilisateur et un mot de passe, ou non authentifiée).
À mesure que votre surface d’attaque évolue, change et s’agrandit au fil du temps, il est important de surveiller tout changement dans ce qui est couvert et dans votre environnement informatique, comme les ports et services récemment ouverts. Un scanner moderne détectera les déploiements dont vous n’aviez peut-être pas connaissance et empêchera vos données sensibles d’être exposées par inadvertance. Il doit également surveiller les modifications apportées à vos systèmes cloud, découvrir de nouveaux actifs et synchroniser automatiquement vos adresses IP ou noms d’hôte avec les intégrations cloud.
Temps moyen pour réparer
Le temps qu’il faut à votre équipe pour corriger vos vulnérabilités critiques révèle à quel point votre équipe est réactive lorsqu’elle réagit aux résultats de toute vulnérabilité signalée. Ce chiffre devrait être systématiquement faible, car l’équipe de sécurité est chargée de résoudre les problèmes et de transmettre le message et les plans d’action pour y remédier à la direction. Il doit également être basé sur votre SLA prédéfini. La gravité de la vulnérabilité doit correspondre à une période de temps relative ou absolue pour la planification et la correction.
Score de risque
La gravité de chaque problème est automatiquement calculée par votre scanner, généralement critique, élevée ou moyenne. Si vous décidez de ne pas corriger une vulnérabilité spécifique ou un groupe de vulnérabilités dans un délai spécifié, cela constitue une acceptation du risque. Avec Intruder, vous pouvez répéter un problème si vous êtes prêt à accepter le risque et s’il existe des facteurs atténuants.
Par exemple, lorsque vous préparez un audit SOC2 ou ISO et que vous constatez un risque critique, vous pourriez être prêt à l’accepter car les ressources nécessaires pour y remédier ne sont pas justifiées par le niveau réel de risque ou l’impact potentiel sur les affaires. Bien sûr, lorsqu’il s’agit de reporting, votre CTO voudra peut-être savoir combien de problèmes sont mis en attente et pourquoi !
Problèmes
C’est tout l’intérêt d’une vulnérabilité rendue publique, d’avoir analysé toutes les cibles et de détecter tout problème. Essentiellement, à quelle vitesse les vulnérabilités sont-elles détectées sur votre surface d’attaque, afin que vous puissiez les corriger et réduire la fenêtre d’opportunité pour un attaquant.
Qu’est-ce que cela signifie en pratique ? Si votre surface d’attaque augmente, vous constaterez peut-être qu’il vous faudra plus de temps pour tout analyser de manière complète, et votre temps moyen de détection peut également augmenter. À l’inverse, si votre temps moyen de détection reste stable ou diminue, vous utilisez vos ressources efficacement. Si vous commencez à voir le contraire, vous devriez vous demander pourquoi il faut plus de temps pour détecter les choses ? Et si la réponse est que la surface d’attaque a explosé, vous devrez peut-être investir davantage dans votre équipe d’outils et de sécurité.
Mesurer les progrès
La priorisation – ou les résultats intelligents – est importante pour vous aider à décider quoi corriger en premier, en raison de son impact potentiel sur votre entreprise. Intruder filtre le bruit et aide à réduire les faux positifs, ce qui est une mesure clé à suivre, car une fois que vous avez réduit la quantité de bruit, vous pouvez revenir en arrière et vous concentrer sur la mesure la plus importante : le temps moyen de correction.
Pourquoi est-ce important? Parce que lorsque vous découvrez un problème, vous voulez pouvoir le résoudre le plus rapidement possible. Des outils comme Intruder utilisent plusieurs moteurs d’analyse pour interpréter le résultat et hiérarchiser les résultats en fonction du contexte, afin que vous puissiez gagner du temps et vous concentrer sur ce qui compte vraiment.
 |
| Lorsqu’une nouvelle vulnérabilité susceptible d’affecter gravement vos systèmes est identifiée, Intruder lance automatiquement une analyse. |
Surveillance de la surface d’attaque
Cela vous aide à voir le pourcentage d’actifs protégés sur votre surface d’attaque, découverts ou non. Au fur et à mesure que votre équipe lance de nouvelles applications, le scanner de vulnérabilités doit vérifier quand un nouveau service est exposé, afin que vous puissiez empêcher que les données ne soient exposées par inadvertance. Les scanners modernes surveillent vos systèmes cloud pour détecter les modifications, recherchent de nouveaux actifs et synchronisent vos adresses IP ou noms d’hôte avec vos intégrations.
Pourquoi est-ce important? Votre surface d’attaque évoluera inévitablement au fil du temps, des ports ouverts à la création de nouvelles instances cloud, vous devez surveiller ces changements pour minimiser votre exposition. C’est là qu’intervient notre découverte de surface d’attaque. Le nombre de nouveaux services découverts au cours de la période spécifiée vous aide à comprendre si votre surface d’attaque augmente (intentionnellement ou non).
Pourquoi ces mesures sont importantes
Les outils modernes de gestion de la surface d’attaque comme Intruder mesurent ce qui compte le plus. Ils aident à fournir des rapports aux parties prenantes et à assurer la conformité avec les vulnérabilités priorisées et les intégrations avec vos outils de suivi des problèmes. Vous pouvez voir ce qui est vulnérable et obtenir les priorités exactes, les remèdes, les informations et l’automatisation dont vous avez besoin pour gérer vos cyber-risques. Si vous souhaitez voir Intruder en action, vous pouvez demander une démo ou l’essayer gratuitement. gratuit pendant 14 jours.