{"id":280670,"date":"2022-07-27T10:06:28","date_gmt":"2022-07-27T12:06:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/adopter-lapproche-basee-sur-les-risques-pour-corriger-les-vulnerabilites\/"},"modified":"2022-07-27T10:06:29","modified_gmt":"2022-07-27T12:06:29","slug":"adopter-lapproche-basee-sur-les-risques-pour-corriger-les-vulnerabilites","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/adopter-lapproche-basee-sur-les-risques-pour-corriger-les-vulnerabilites\/","title":{"rendered":"Adopter l&#8217;approche bas\u00e9e sur les risques pour corriger les vuln\u00e9rabilit\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les vuln\u00e9rabilit\u00e9s logicielles constituent aujourd&#8217;hui une menace majeure pour les organisations.  Le co\u00fbt de ces menaces est important, tant sur le plan financier qu&#8217;en termes de r\u00e9putation.<\/p>\n<p>La gestion et la correction des vuln\u00e9rabilit\u00e9s peuvent facilement devenir incontr\u00f4lables lorsque le nombre de vuln\u00e9rabilit\u00e9s dans votre organisation se compte en centaines de milliers de vuln\u00e9rabilit\u00e9s et qu&#8217;elles sont suivies de mani\u00e8re inefficace, comme l&#8217;utilisation de feuilles de calcul Excel ou de plusieurs rapports, en particulier lorsque de nombreuses \u00e9quipes sont impliqu\u00e9es dans l&#8217;organisation. .<\/p>\n<p>M\u00eame lorsqu&#8217;un processus de correction est en place, les organisations ont encore du mal \u00e0 corriger efficacement les vuln\u00e9rabilit\u00e9s de leurs actifs.  Cela est g\u00e9n\u00e9ralement d\u00fb au fait que les \u00e9quipes examinent la gravit\u00e9 des vuln\u00e9rabilit\u00e9s et ont tendance \u00e0 appliquer des correctifs aux vuln\u00e9rabilit\u00e9s dans l&#8217;ordre de gravit\u00e9 suivant : critique &gt; \u00e9lev\u00e9e &gt; moyenne &gt; faible &gt; info.  Les sections suivantes expliquent pourquoi cette approche est imparfaite et comment elle peut \u00eatre am\u00e9lior\u00e9e.<\/p>\n<h2><strong>Pourquoi le patch est-il difficile ?<\/strong><\/h2>\n<p>S&#8217;il est bien connu que la correction des vuln\u00e9rabilit\u00e9s est extr\u00eamement importante, il est \u00e9galement difficile de corriger efficacement les vuln\u00e9rabilit\u00e9s.  Les vuln\u00e9rabilit\u00e9s peuvent \u00eatre signal\u00e9es \u00e0 partir de sources telles que les rapports de pentest et divers outils d&#8217;analyse.  Les analyses peuvent \u00eatre effectu\u00e9es sur vos applications Web, API, code source, infrastructure, d\u00e9pendances, conteneurs, etc.<\/p>\n<p>Le nombre total de rapports qui doivent \u00eatre pass\u00e9s au crible pour hi\u00e9rarchiser les correctifs peut augmenter consid\u00e9rablement, m\u00eame en peu de temps, et lorsque plusieurs \u00e9quipes sont impliqu\u00e9es, cela peut encore augmenter la complexit\u00e9 et le temps n\u00e9cessaires pour coordonner et hi\u00e9rarchiser les correctifs.<\/p>\n<p>Pour aggraver les choses, de nouveaux exploits continuent de faire surface presque quotidiennement, et le suivi des nouveaux exploits et des correctifs disponibles peut devenir une t\u00e2che colossale qui peut rapidement devenir incontr\u00f4lable si elle n&#8217;est pas trait\u00e9e correctement.  \u00c0 moins qu&#8217;une organisation ne dispose d&#8217;un programme de s\u00e9curit\u00e9 tr\u00e8s mature, il est compliqu\u00e9 de g\u00e9rer efficacement les correctifs.<\/p>\n<h2><strong>Adopter l&#8217;approche bas\u00e9e sur les risques pour corriger les vuln\u00e9rabilit\u00e9s<\/strong><\/h2>\n<p>Simplifier l&#8217;application de correctifs vous oblige \u00e0 simplifier d&#8217;abord la hi\u00e9rarchisation.  &#8220;Approche bas\u00e9e sur les risques&#8221; signifie que vous \u00e9valuerez l&#8217;impact potentiel d&#8217;une vuln\u00e9rabilit\u00e9 par rapport \u00e0 la probabilit\u00e9 de son exploitation.  Cela vous permet de d\u00e9terminer si cela vaut la peine d&#8217;agir ou non.<\/p>\n<p>Pour simplifier la priorisation, vous devez consid\u00e9rer les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>L&#8217;exposition de l&#8217;actif,<\/li>\n<li>La sensibilit\u00e9 m\u00e9tier de l&#8217;actif,<\/li>\n<li>La gravit\u00e9 de la vuln\u00e9rabilit\u00e9 signal\u00e9e pour l&#8217;actif,<\/li>\n<li>La disponibilit\u00e9 d&#8217;un exploit pour la vuln\u00e9rabilit\u00e9 signal\u00e9e,<\/li>\n<li>La complexit\u00e9 de l&#8217;exploit, s&#8217;il est disponible,<\/li>\n<li>La taxonomie de la vuln\u00e9rabilit\u00e9 signal\u00e9e.<\/li>\n<\/ul>\n<p><i>* L&#8217;actif peut \u00eatre n&#8217;importe quoi au sein de votre organisation, comme une application Web, une application mobile, un r\u00e9f\u00e9rentiel de code, un routeur, un serveur, une base de donn\u00e9es, etc.<\/i><\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"390\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658923588_301_Adopter-lapproche-basee-sur-les-risques-pour-corriger-les-vulnerabilites.jpg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Simplification de la priorisation<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Cette approche permet de r\u00e9duire consid\u00e9rablement le temps pass\u00e9 \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/www.strobes.co\/blog\/vulnerability-management-10x-faster\" target=\"_blank\">hi\u00e9rarchiser les vuln\u00e9rabilit\u00e9s<\/a>.  Discutons de chaque point en d\u00e9tail :<\/p>\n<p><strong>Exposition:<\/strong> Si votre actif est accessible au public sur Internet ou priv\u00e9, c&#8217;est-\u00e0-dire derri\u00e8re un pare-feu au sein du r\u00e9seau avec un acc\u00e8s contr\u00f4l\u00e9.  Les biens publics comportent g\u00e9n\u00e9ralement un risque plus \u00e9lev\u00e9, mais cela ne signifie pas toujours qu&#8217;ils doivent \u00eatre prioritaires.  La raison en est que tous les biens publics ne sont pas sensibles.  Certains actifs publics peuvent simplement \u00eatre des pages statiques qui ne contiennent pas de donn\u00e9es utilisateur, tandis que d&#8217;autres actifs publics peuvent traiter des paiements et des informations PII.  Ainsi, m\u00eame si un actif est public, vous devez tenir compte de sa sensibilit\u00e9.<\/p>\n<p><b>Sensibilit\u00e9 des actifs\u00a0:<\/b> Cat\u00e9gorisez la sensibilit\u00e9 commerciale de tous vos actifs en fonction de leur importance pour votre entreprise.  Un actif qui contient des informations sensibles sur les utilisateurs ou qui traite les paiements peut \u00eatre class\u00e9 comme un actif sensible pour l&#8217;entreprise.  Un actif qui ne fournit qu&#8217;un certain contenu statique peut \u00eatre class\u00e9 comme un actif \u00e0 faible sensibilit\u00e9 commerciale.<\/p>\n<p><strong>Gravit\u00e9 de la vuln\u00e9rabilit\u00e9 signal\u00e9e\u00a0:<\/strong> Celui-ci est explicite;  vous devez hi\u00e9rarchiser les vuln\u00e9rabilit\u00e9s par ordre de gravit\u00e9 critique &gt; \u00e9lev\u00e9e &gt; moyenne &gt; faible &gt; info.<\/p>\n<p><strong>Exploitez la disponibilit\u00e9\u00a0: <\/strong>Les vuln\u00e9rabilit\u00e9s pour lesquelles des exploits publics sont d\u00e9j\u00e0 disponibles doivent \u00eatre prioritaires sur les vuln\u00e9rabilit\u00e9s pour lesquelles aucun exploit n&#8217;est disponible.<\/p>\n<p><strong>Exploitez la complexit\u00e9\u00a0: <\/strong>Si un exploit est tr\u00e8s facile \u00e0 exploiter et n\u00e9cessite peu ou pas d&#8217;interaction de l&#8217;utilisateur, les vuln\u00e9rabilit\u00e9s de ce type d&#8217;exploit doivent \u00eatre prioritaires sur les vuln\u00e9rabilit\u00e9s avec des exploits tr\u00e8s complexes qui n\u00e9cessitent g\u00e9n\u00e9ralement des privil\u00e8ges \u00e9lev\u00e9s et une interaction de l&#8217;utilisateur.<\/p>\n<p><strong>Taxonomie\u00a0:<\/strong> La classification de la vuln\u00e9rabilit\u00e9 signal\u00e9e doit \u00e9galement \u00eatre prise en consid\u00e9ration et doit \u00eatre mise en correspondance avec les normes de l&#8217;industrie telles que OWASP ou CWE.  Un exemple serait qu&#8217;une ex\u00e9cution de code \u00e0 distance impactant un serveur devrait avoir une priorit\u00e9 plus \u00e9lev\u00e9e qu&#8217;une vuln\u00e9rabilit\u00e9 c\u00f4t\u00e9 client, disons un Reflected Cross Site Scripting.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"405\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658923588_735_Adopter-lapproche-basee-sur-les-risques-pour-corriger-les-vulnerabilites.jpg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Temps pass\u00e9 \u00e0 prioriser les vuln\u00e9rabilit\u00e9s<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Un exemple de vuln\u00e9rabilit\u00e9 hautement prioritaire serait si l&#8217;actif qui est affect\u00e9 est expos\u00e9 publiquement, a une sensibilit\u00e9 commerciale critique, la gravit\u00e9 de la vuln\u00e9rabilit\u00e9 est critique, un exploit est disponible et ne n\u00e9cessite pas d&#8217;interaction de l&#8217;utilisateur ou d&#8217;authentification\/privil\u00e8ges.<\/p>\n<p>Une fois toutes les vuln\u00e9rabilit\u00e9s class\u00e9es par ordre de priorit\u00e9, la r\u00e9solution des vuln\u00e9rabilit\u00e9s les plus critiques r\u00e9duira consid\u00e9rablement les risques pour votre organisation.<\/p>\n<p>Alors, quels probl\u00e8mes un rapport de gestion des vuln\u00e9rabilit\u00e9s doit-il mesurer pour assurer la s\u00e9curit\u00e9 de votre application de mani\u00e8re satisfaisante\u00a0?  &#8211; <a rel=\"nofollow noopener\" href=\"https:\/\/www.strobes.co\/resources\/whitepapers\" target=\"_blank\">Consultez le livre blanc.<\/a><\/p>\n<h2 style=\"text-align: left\"><strong>Comment obtenir les informations sur les patchs ?<\/strong><\/h2>\n<p>Vous pouvez obtenir des informations sur les correctifs \u00e0 partir de divers avis tels que NVD.  Dans ces rapports, vous pouvez trouver plusieurs r\u00e9f\u00e9rences sur la fa\u00e7on de corriger les vuln\u00e9rabilit\u00e9s.  En outre, les sites Web des produits que vous utilisez fournissent g\u00e9n\u00e9ralement ces informations.  Bien qu&#8217;il soit possible de parcourir manuellement toutes les sources et d&#8217;obtenir les informations sur les correctifs, s&#8217;il existe de nombreuses vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 dans votre organisation, obtenir toutes les informations de plusieurs sources peut \u00eatre fastidieux.<\/p>\n<h4 style=\"text-align: left\"><strong>La solution:<\/strong><\/h4>\n<p>Les stroboscopes peuvent aider consid\u00e9rablement les organisations de toutes tailles \u00e0 r\u00e9duire consid\u00e9rablement le temps n\u00e9cessaire pour hi\u00e9rarchiser les vuln\u00e9rabilit\u00e9s et fournir des informations sur les correctifs au sein de la plate-forme.  La hi\u00e9rarchisation est \u00e9galement facile car Strobes hi\u00e9rarchise automatiquement les vuln\u00e9rabilit\u00e9s pour vous en fonction des m\u00e9triques d\u00e9crites dans la section Approche bas\u00e9e sur les risques pour corriger les vuln\u00e9rabilit\u00e9s.<\/p>\n<p>Strobes Security ouvre la voie pour perturber l&#8217;espace de gestion des vuln\u00e9rabilit\u00e9s avec ses produits phares <a rel=\"nofollow noopener\" href=\"https:\/\/www.strobes.co\/products\/strobes-vm365\" target=\"_blank\">VM365<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.strobes.co\/solutions\/pentest-as-a-service\" target=\"_blank\">PTaaS<\/a>.  Si vous n&#8217;\u00eates pas encore utilisateur de Strobes Security, qu&#8217;attendez-vous ? <a rel=\"nofollow noopener\" href=\"https:\/\/strobes.co\" target=\"_blank\">Inscrivez-vous gratuitement ici<\/a>ou <a rel=\"nofollow noopener\" href=\"https:\/\/www.strobes.co\/contact-us\" target=\"_blank\">Planifier une d\u00e9mo<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/taking-risk-based-approach-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les vuln\u00e9rabilit\u00e9s logicielles constituent aujourd&#8217;hui une menace majeure pour les organisations. Le co\u00fbt de ces menaces est important, tant sur le plan financier qu&#8217;en termes de r\u00e9putation. La gestion et la correction des vuln\u00e9rabilit\u00e9s peuvent facilement devenir incontr\u00f4lables lorsque le nombre de vuln\u00e9rabilit\u00e9s dans votre organisation se compte en centaines de milliers de vuln\u00e9rabilit\u00e9s et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":280671,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[63069,23311,4168,25646,4158,4165,4161,4157,4159,4171,4170,5917,65,4167,4160,4163,4162,185,3979,4172,4169,60,4166,4164,12365],"class_list":["post-280670","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-adopter","tag-basee","tag-comment-pirater","tag-corriger","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapproche","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-risques","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/280670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=280670"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/280670\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/280671"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=280670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=280670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=280670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}