Vous ne visualisez pas la vidéo ? Regardez-la directement sur Dailymotion.
Quelles relations y a-t-il entre une menace, une vulnérabilité et un impact ? Pour les personnes aguerries en sécurité, ces notions n'ont plus de secret. Par contre, pour ceux qui débutent ou souhaitent mieux comprendre les fondamentaux, ce n'est pas aussi évident.
Cet épisode des 5 minutes du professeur Audenard est donc dédié aux personnes pour qui la sécurité reste un domaine à découvrir ou qui souhaitent en approfondir leur compréhension.
une menace qui agit sur une vulnérabilité
Un attaquant (la menace) utilise à son profit une faille ou faiblesse (la vulnérabilité) dans un système d'information afin d'y pénétrer, ce qui aura des conséquences néfastes (l'impact) pour l'organisation ou le système concerné.
Aucun impact ne sera généré s'il n'y a pas de menace pour exercer une vulnérabilité ou si la vulnérabilité n'est pas accessible pour la menace (l'attaquant).
menace
Une menace se présente sous de multiples formes : il peut s'agit d'un virus ou d'un vers informatique, d'une personne sur Internet, d'un mail de phishing ou encore d'un intrus tentant de rentrer dans un local sécurisé.
Assez souvent, la menace est aussi appelée "attaquant". Il faut cependant rester large dans la définition d'une menace car l'eau, la température ou l'humidité sont aussi des menaces. Tout ne se résume donc pas à des pirates informatiques ou à des virus !
La menace se caractérise notamment par son niveau de compétence, les outils qu'elle utilise ou encore sa rapidité d'attaque. Ce sont les caractéristiques de la menace associées à la probabilité d'être attaqué par celle-ci qui vont être estimés lors d'une analyse de risque. Plus la cible est intéressante, plus la menace sera motivée et potentiellement compétente.
vulnérabilité
Une vulnérabilité peut aussi être appelée "faille", un "défaut" ou "faiblesse".
Les vulnérabilités peuvent être techniques ou humaines. Un système qui n'est pas à jour des correctifs de sécurité, une climatisation défectueuse ou des personnes utilisant des mots de passe trop simples sont des exemples de vulnérabilités.
Avoir connaissance de ses vulnérabilités (et de les accepter objectivement et froidement - pas simple !) est un élément clef pour mettre en place une stratégie de sécurité. Les vulnérabilités techniques sont typiquement identifiées lors d'audits de sécurité ou via des outils (scanners de ports ou de vulnérabilités).
Identifier ses vulnérabilités humaines est clairement plus compliqué... Cela peut être fait lors de sondages/questionnaires mis en oeuvre dans les campagnes de sensibilisation ou de formation.
Souvent, très souvent même, les vulnérabilités ne sont identifiées qu'à postériori quand l'incident est déjà déclaré.
impact
Si une source de menace est en mesure d'exercer une vulnérabilité pour s'introduire sur un système d'information, alors il y a impact pour l'organisation ou la personne concernée.
Cet impact sera plus ou moins fort en fonction du nombre et de la nature du ou des systèmes concernés (système chargé de la paie ou un simple serveur de test) et des données présentes. Les actions que l'attaquant (ou la menace) réalisera sur le ou les systèmes sont évidemment importantes : destruction ou modification des données, copie ou divulgation d'information sensibles ou confidentielles, etc.
Les personnes chargées de répondre à un incident de sécurité vont chercher à
- réduire au maximum l'amplitude de l'impact (par exemple minimiser le nombre de postes infectés)
- minimiser la durée de l'impact (en déployant une signature antivirale de façon automatisée et non pas manuellement & en intervenant le plus rapidement possible)
ce sur quoi il est possible d'agir
Empêcher la menace d'agir : bloquer le passage ou l'accès (l'exposition) via une règle de firewalling ou via un équipement de type "IPS" permettra d'empêcher la menace d'exercer la vulnérabilité.
Corriger la vulnérabilité : il est possible de combler une faille présente dans un composant ou un logiciel en installant un correctif (patch) ou encore en procédant à une reconfiguration du logiciel de façon à désactiver la fonctionnalité posant problème (sans oublier le côté humain car pas de "patch" pour la bêtise ou l'ignorance).
Diminuer l'impact : mettre en place un système de surveillance et d'alerte associé à une équipe d'experts capables d'intervenir de façon rapide et efficace.
... Clairement, c'est sur la vulnérabilité qu'il faut travailler car empêcher la menace d'agir via une règle de firewall, c'est bien, mais pour une durée donnée (car sinon cela devient du "cache-misère") et la réduction de l'impact c'est bien mais le problème est déjà là... et en plus il faut savoir qu'il y a une intrusion...
focus gestion des vulnérabilités
Sur les 3 composantes que sont "menace", "vulnérabilité" et "impact", il n'est pas possible d'agir sur la menace (on ne peut que lui bloquer l'accès ou le chemin) et agir à posteriori pour réduire l'amplitude de l'impact ou sa durée n'est que réactif.
Mettre en place un programme de gestion de ses vulnérabilités est un élément clef d'une stratégie de sécurité car tout réside dans la connaissance fine de ses vulnérabilités et leur traitement.
Pour ce faire, de nombreux outils appelés "scanners de détection de vulnérabilités" sont disponibles, tant sous forme logicielle (Nessus, OpenVAS, ...) mais aussi encore en mode Cloud. Ils ne restent que des outils devant être mis en oeuvre de façon appropriée... C'est d'ailleurs souvent à cet endroit que ça coince dans la vraie vie. :-)
Le professeur Audenard vous souhaite "de bon scans et de bon patchs" et à bientôt !
Jean-François Audenard (aka Jeff)
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens