Gestion des vulnérabilités : agir avant qu’il ne soit trop tard (Sergio Loureiro, SecludIT)

Dans une société toujours plus connectée et face aux 2,5 trillions d’octets de données générées chaque jour dans le monde (2017, Up Numérique), les entreprises ont deux grands défis sécuritaires : protéger leurs données et systèmes d’informations ainsi que les données de leurs utilisateurs et clients. Afin de sensibiliser les entreprises, l’ensemble des réglementations recommandent de suivre en continu son niveau de sécurité et de corriger les failles le plus rapidement possible. Pourtant 90% des RSSI français indiquent que les failles de sécurité détectées ne sont pas traitées (étude ServiceNow 2017). Alors sont-elles condamnées à perdre la bataille face aux vulnérabilités ?

Gestion des vulnérabilités : recommandée par toutes les réglementations

Au fil des années, les différentes réglementations et standards français et européens en matière de sécurité comme le guide d’hygiène de l’ANSSI, la directive Network and Information Security (NIS), la norme PCI DSS pour les paiements en ligne, la Loi de Programmation Militaire (LPM) ont toutes eu comme objectif d’encourager les entreprises à renforcer leur cybersécurité.

Ainsi, elles poussent à “mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information” (Article 22 du LPM) ou à “assurer le suivi, l’audit, le contrôle et veiller à la sécurité des systèmes et des installations” (Chapitre V – Article 16 NIS).

Pour sa part, le PCI DSS impose l’établissement d’un programme de gestion des vulnérabilités (Conditions 5 et 6 – Norme de sécurité des données v3.0). Quand on sait que 50 nouvelles vulnérabilités sont découvertes chaque jour, la surface d’exposition aux cyber-attaques des entreprises n’a jamais été aussi importante. Il est également temps d’agir puisqu’actuellement, une entreprise corrige une vulnérabilité en moyenne 200 jours après sa détection alors que le processus de patch est passé de 45 à 15 jours.

Le RGPD enfonce le clou

Plus contraignant, le nouveau règlement européen invite à plus d’organisation et de rigueur. Les articles 25, 32, 49 et 50 notamment expriment les nouvelles dispositions en matière de sécurité des données personnelles. L’article 49, particulièrement, met l’accent sur “la capacité d’un réseau ou d’un système d’information de résister, (…) à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel (…), ainsi que la sécurité des services connexes…”. En outre, la sécurité doit être assurée préventivement, de façon continue et les entreprises doivent garder la traçabilité des données et alerter les utilisateurs en cas de violation de celles-ci. A la différence des réglementations nationales et européennes précédemment citées, le RGPD impose ses directives sur la politique de sécurité à mener sous peine de sanctions pénales pour les entreprises non coopératives.

Seule solution efficace : le scanner de vulnérabilités

Aujourd’hui la question n’est plus “suis-je en sécurité ?” mais bien “quel est mon niveau de sécurité et quelles actions mettre en place pour l’améliorer ?”. Pour répondre à celle-ci et être en règle avec la législation et le RGPD notamment, l’outil le plus adapté est le scanner de vulnérabilités. Automatisé, il surveille en continu les failles exploitables par les hackers et détecte toutes les nouvelles vulnérabilités référencées. Il procure un gain de temps pour les équipes techniques qui n’auront plus à faire des analyses manuelles chronophages. Elles pourront donc corriger plus rapidement les failles, notamment les plus critiques qui sont les plus dangereuses.

Simple, rapide et efficace, le scanner de vulnérabilités a tout pour rassurer les entreprises et accompagner le travail des RSSI. A l’heure du RGPD et du durcissement des contraintes pénales, il serait regrettable que les entreprises pâtissent d’actions juridiques qui affecteraient grandement leur activité.

Les entreprises ne sont donc pas condamnées à perdre la bataille contre les vulnérabilités mais doivent bien choisir et coordonner leurs armes (le scanner de vulnérabilité étant le premier bouclier). Pour cela, le FIC est l’occasion parfaite pour découvrir les nouveautés en matière de cybersécurité et trouver la ou les solutions qui conviennent le mieux à son activité. En termes de sécurité, la balle est dans le camp des entreprises.