Contribution Clusif : « Traitement des vulnérabilités » aux Assises de la Cybersécurité

contribution

Le Clusif participait cette année encore aux Assises de la Cybersécurité. Parmi nos interventions, Jean-Marc Boursat, administrateur du Clusif a animé, lors du Before le 12 octobre 2021, l’atelier Meet-up « traitement des vulnérabilités : espoir ou désespoir ». Retour sur ce moment d’échange.

Lors de cette session animée, les participants se sont intéressés aux différents vecteurs qui peuvent influer sur le traitement de la remédiation et ont débattu sur chaque vecteur pour trancher si la problématique s’améliore ou se détériore.

Chaque vecteur a reçu une note entre 1 et 6 : 1 reflétant une réelle amélioration, 3 une faible amélioration, 5 une détérioration moyenne et 6 une forte détérioration :

  • Les évolutions technologiques : 4Les évolutions apportent de la complexité et donc une légère détérioration.
  • La transformation des SI : 4,6L’ouverture des SI obligeant à un traitement plus rapide, l’appréciation globale est celle d’une détérioration.
  • Le contexte CyberWar externe : 3,6Le contexte aide à motiver les équipes mais il oblige aussi à être plus réactif – moins négatif que le précédent.
  • Le facteur humain :
    • Les utilisateurs : 3,6
    • les métiers : 3,3
    • les équipes IT : 4,6
  • Les opérations : 2,2Le constat partagé est l’amélioration des process et de l’outillage pour le traitement des vulnérabilités.
  • L’inventaire : 3,4
  • Les capacités de détection et de gestion : 2,3Nette amélioration perçue sur ce vecteur.

Les participants ont insisté sur l’urgence à corriger de plus en plus pressante, même si ce phénomène est tempéré par la notion de cumulative update qui permet de ne pas être impacté par une incapacité à corriger temporaire.

La complexité, en particulier dans les environnements industriels reste entière : parfois l’application des correctifs est tout simplement impossible et il faut compenser par un cloisonnement plus strict des systèmes qui restent vulnérables.

Le rapport bénéfices/risques reste primordial pour une partie des participants et le risque d’exposition est pour eux un critère important de priorisation des actions. Une approche par les risques reste une possibilité en intégrant une évaluation du risque « à ne pas faire » pour contrebalancer le risque « à faire ». L’ensemble des participants adhère par ailleurs à l’importance de considérer le traitement des vulnérabilités comme une charge de travail normale des équipes opérationnelles. C’est heureusement de plus en plus le cas.

Enfin les organisations séparent l’équipe en charge de la détection des vulnérabilités de l’équipe en charge de la remédiation. Un point d’attention doit être porté sur la communication entre ces deux équipes : les équipes détection parlent de CVE et les équipes remédiation comprennent les KB. La communication fluide entre les deux intègre donc une traduction des CVE en KB.

Espoir ou désespoir ? Après tous ces échanges une dernière évaluation globale a été proposée aux participants (avec la même échelle de 1 à 6) : avec un score de 2,75 c’est l’espoir qui l’emporte, dans cette activité qui reste toutefois ingrate par nature.