SlideShare une entreprise Scribd logo

Démystifier la gestion des vulnérabilités

NRC
NRC

Toutes les entreprises connectées à internet sont vulnérables aux cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.

Technologie
1  sur  24
Télécharger pour lire hors ligne
DÉMYSTIFIER LAGESTIONDES VULNÉRABILITÉS
2 PARTIE I : LIMITER LES CYBER RISQUES AVEC UNE APPROCHE PROACTIVE ........ 3 Dans le radar des cadres dirigeants................................................................................4 Les fondements d'un programme solide de cyber sécurité ..........................................8 Étude de cas : Wannacry ................................................................................................9 PARTIE II : UN PROCESSUS CONTINU...............................................................12 Analyse.......................................................................................................................... 13 Cartographie de la topologie réseau............................................................................. 15 Hiérarchisation des priorités ........................................................................................17 Résolution de problèmes..............................................................................................18 PARTIE III : UNE GESTION DES VULNÉRABILITÉS PLUS INTELLIGENTE................19 À quoi prêter attention lorsque vous choisissez votre solution ?.................................20 Live security : une approche en constante évolution ...................................................22 Nous sommes F-Secure ................................................................................................23 Sources ........................................................................................................................ 24 TABLEDES MATIÈRES
3 PARTIEI: LIMITERLES CYBERRISQUES AVECUNE APPROCHE PROACTIVE
4 Toutes les entreprises connectées à internet sont vulnérables aux cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-cidoitcouvrirplusieursaspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vouslesprésenteronsdanscerapport. Toutes les entreprises connectées à internet sont vulnérables et la cyber sécurité fait désormais l’objet d’une attention accrue de la part des cadres dirigeants. Les organisations cherchent à assurer la protection de leurs données et font leur possible pour minimiser les risques de cyber attaques. Résultat : elles DANSLERADAR DESCADRESDIRIGEANTS sontdeplusenplusnombreusesàengager un CISO (responsable en cyber sécurité) pour mener à bien ces opérations. En tant que CISO, vous devez pouvoir gérer à la fois les aspects stratégiques, tactiques et opérationnels de la cyber sécurité.Vousdevezégalementposséder unecompétence-clé:lacommunication… Car outre vos missions quotidiennes de cyberprotection,vousdevezvousassurer que les cadres dirigeants et les membres du conseil d’administration sont bien informés du statut de cyber sécurité de leur organisation. Nous vous aidons ici à présenter aux décisionnaires de votre entreprise les risques et priorités en matière de gestion des vulnérabilités. Stratégie Tactique Exécution
5 depuis longtemps déjà : si nous avons apprisunechoseaufildenosinterventions, c’estbienquelaplupartdescyberattaques continuent de tirer profit de ces failles. Les entreprises réalisent enfin que la cyber sécurité ne se résume pas à un simple problème informatique : l’activité de l'entreprise dans son ensemble peut être affectée par un cyber incident. Une intrusion peut porter atteinte à la propriété intellectuelle, aux données confidentielles… Elle peut entraîner la fuite des données privées de vos clients. Les intrusions minent la confiance- clients, elles impactent la productivité, vos bénéfices et votre croissance… Sans oublier votre image de marque, qui s’en trouve affectée sur le long-terme. Selon une récente étude Forrester Global Security, 49% des organisations ont déjà été confrontées à une ou plusieurs intrusions l’année passée. Les données montrent également que les vulnérabilités logicielles constituaient la principale cause de ces intrusions. De toutes les organisations victimes, 56% avaient fait face à une attaque externe, biensouventrenduepossiblegrâceàune vulnérabilité/un kit d’exploit. Nousavonsaidébonnombred’entreprises à reprendre pied après des incidents de cyber sécurité. Nous avons vu l’ampleur des dommages causés par une seule vulnérabilité… mais nous avons aussi constaté à quel point il peut être facile, à l’inverse,d’éviteruneintrusion.Lagestion des vulnérabilités démontre son utilité DANSLERADAR DESCADRESDIRIGEANTS Nous assistons enfin à une prise de conscience.Derécentesintrusions,visant les grandes entreprises, ont marqué les esprits. Les dirigeants commencent à s’intéresser à la cyber sécurité. Face aux lourdes pertes en cas d’intrusion (répercutions financières, réputation affaiblie…), ils souhaitent désormais prendre les précautions qui s'imposent pour éviter ce genre d’incident.
66 DANSLERADAR DESCADRESDIRIGEANTS Phase de reconnaissance PORTE ATTEINTE À VOTRE REPUTATION EXPOSE À DES SANCTIONS AFFECTE LES BÉNÉFICES REQUIERT UNE RÉPONSE PEUT NÉCESSITER UN REMPLACEMENT AFFECTE LA PRODUCTIVITÉ Intrusion Déplacement latéral Obtention des privilèges administrateur INTRUSION
7 Laresponsabilitéenmatièredeprotection des données-clients incombe clairement aux cadres dirigeants. Ils doivent adopter une posture proactive qui protégera les ressourcesdel’entreprise,saréputationet sonactivité.Illeurfautsuivredesformations destinéesàdémystifierlacybersécuritéet à mieux la comprendre. Ils doivent avoir connaissance des cyber défenses de leur entrepriseetsavoircommentréagirencas de cyber attaque ou d’intrusion. Mieux informés, ils exigeront plus de clarté quant aux cyber risques encourus par leur organisation ; ils voudront savoir précisément comment réagir en cas de problème, notamment au regard des nouvellesréglementations.Parallèlement, ils souhaiteront mettre en place une surveillance continue et obtenir des rapports de cyber sécurité réguliers. Il appartient au responsable en cyber sécurité (CISO) de les aider à prendre les décisions qui s'imposent : il doit être capable de leur expliquer précisément comment un cyber pirate peut cibler l'organisation. Il doit aussi déterminer avec précision la surface d’attaque de l'entreprise, pour évaluer les risques et déterminerlesstratégiesàmettreenplace. Enfin, il doit élaborer des rapports clairs, concis, et mettre en place des plans de gestion de crise adaptés. Lesenjeuxsontimportants.Lesentreprises ontbesoind’uneinfrastructuresolide,leur permettant de monitorer et de gérer les risques en cyber sécurité. DANSLERADAR DESCADRESDIRIGEANTS « Pour les entreprises, la cyber sécurité est une lutteconstante.Etl'undes grands défis est souvent de faire comprendre aux cadres-dirigeants que la gestion du cyber risque ne se limite pas à une simple problématique informatique. » Erka Koivunen, CISO, F-Secure
8 plus tôt cette même année ; d’autres étaientconnuesdepuis déjà10ans,voire même même 17 ans. Les entreprises commencent à prendre conscience de cette réalité. Dans une récente enquête Forbes Insights sur la cyber sécurité, 60% des 300 enquêtés (cadres de niveau supérieur) ont déclaré qu'en 2016, leur première initiative avait visé à une « meilleure connaissance des vulnérabilitésetàleurcorrection»,tandis que 30% des enquêtés affirmaient avoir investiavanttoutdanslaprotectioncontre les exploits 0-day. LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ La gestion des vulnérabilités est un processus fondamental en matière de cyber sécurité et de conformité aux réglementations. D’après les résultats de nos recherches, la plupart des cyber intrusions se produisent à cause d’une vulnérabilité logicielle non-corrigée, ou à cause d’une erreur humaine (lorsque, par exemple, un employé tombe dans le piège d’un e-mail de phishing). Unenouvellefailledesécuritéestidentifiée toutes les 90 minutes ; plusieurs milliers d'entreellessontrévéléeschaqueannée.En moyenne,ilfaut103jourspourcorrigerune vulnérabilité*.Àl’inverse,selonGartner,le délaimoyenentrelapublicationd’unpatch etl’apparitiond’unexploitcorrespondant est passé de 45 à seulement 15 jours ces dix dernières années. Gartner remarque également que les vulnérabilités 0-day (lefournisseurn’a alorspasconnaissance de cette faille) représentent seulement 0,4%dutotaldesvulnérabilitésexploitées chaque année depuis 10 ans. Les attaques 0-day font beaucoup parler d’elles mais, in fine, ces vulnérabilités ne représentent qu’un léger pourcentage des failles effectivement exploitées. En réalité, la première méthode d’infection desexploitsconcernedesfaillesconnues. Pourlaplupartd’entreelles,unpatchexiste déjàmaisiln’apasétéinstallé.End’autres termes, les entreprises continuent d’être victimes d’anciennes vulnérabilités. Le rapport Verizon Data Breach 2016 s’est penché sur les vulnérabilités exploitées en2015: certainesavaientétérépertoriées
99 L’attaquemassiveducrypto-ransomwareWannaCryconstitueunparfaitexempledemalwareexploitantunevulnérabilité,avecdesconséquences àgrandeéchelle.Enmai2017,leransomwareWannaCrys’estrépanduàtraverslemonde,paralysantplusieurssecteurscommelestransports oulasanté.Cetteattaquetiraitprofitd’unefailleWindowsServerMessageBlock(SMB),MS17-010,pourtantpatchéeparMicrosoftdeuxmois plus tôt. De nombreux systèmes n’avaient pas installé le patch et d’autres exécutaient le système d’exploitation Windows XP, dont Windows n’assuraitpluslesuivi.Faceàl’ampleurdel’attaque,MicrosoftatoutefoisproposéunpatchspécifiquepourXPetServer2003. Ce ver aurait eu plus de difficultés à se répandre si plus de systèmes étaient régulièrement mis à jour. La télémétrie de l’outil de gestion des vulnérabilités F-Secure Radar, indique que 15% des hôtes exécutent Windows SMB. WannaCry nous montre qu’il est essentiel pour les administrateursdes’assurerqueSMBestcorrectementpatché,etnon-exposéàl’internetpublic. Nous recommandons aux entreprises d’adopter une approche de gestion des vulnérabilités capable de détecter immédiatement les failles systèmes,etdeleshiérarchiserafindecorrigerlesplusdangereusesenpriorité. ÉTUDEDECAS: WANNACRY
10 Sur les réseaux professionnels, les vulnérabilités de sévérité moyenne dominent. Le site internet CVE Details montrequ’enmoyenne,lesvulnérabilités obtiennent un score de dangerosité de 6,8. Sur les plus de 80 000 vulnérabilités répertoriées au sein de leur base de données, 12 000 seulement (soit environ 15%) sont classées comme particulièrement dangereuses. Nos analyses menées à partir de notre base client Radar nous montre peu ou prou la même chose. Les vulnérabilités sévères sontpeunombreuses.Lagrandemajorité des vulnérabilités non-patchées que nous avons trouvées étaient de sévérité faible-moyenne. Il convient toutefois de garder à l'esprit que les vulnérabilités sont fréquentes : de très nombreuses applications clients et serveurs (Adobe LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ Flash, par exemple) en comportent. Lorsque vous détectez une vulnérabilité dite sévère, vous devez la corriger immédiatement. Mais que faire face aux autres ? Appliquer un patch, sur chacun de vos systèmes,pourchaquelogiciel,dèsqu’un patchestpublié,estpresqueimpossible. Voilàpourquoilesadministrateurssuivent descyclespériodiquespourlacorrection des vulnérabilités les moins sérieuses. Denouvellesmenacesémergentchaque jour. Gérer les vulnérabilités et garder le cap en la matière tient du défi. Il existe toujoursunenouvellefailleàcorriger,un nouveau patch à appliquer, de nouveaux outils de cyber sécurité à évaluer, des défenses à actualiser… Prendre le temps de comprendre les implications de chaque nouvelle vulnérabilité,leshiérarchiseretplanifierla gestiondespatchsreprésentebeaucoup de travail mais cela reste faisable si vous disposer à la fois de l’expertise humaine adéquateetdesolutionstechnologiques suffisamment avancées.
1111 LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ Les 20 types de vulnérabilités les plus fréquemment détectées par F-Secure Radar La prévalence et la sévérité des vulnérabilités collectées en 2016, auprès de nos clients, à partir de F-Secure Radar Typedevulnérabilité 1 Configuration SSL 2 SSH 3 Serveurs Web 4 Certificats SSL 5 Interfaces de gestion 6 SMB 7 Application 8 Linux 9 CGI 10 Implémentation SSL 11 Windows 12 Bases de données 13 Applications Web 14 FTP 15 Virtualisation 16 SNMP 17 Serveurs application 18 CISCO 19 SMTP 20 Unix Sévérité moyenne Sévérité Prévalence Importante Moyenne Basse
12 PARTIEII: UNPROCESSUS CONTINU
13 Toutcommelacybersécuritéengénéral,la gestiondesvulnérabilitésestunprocessus continu.Lesentreprisesprenantlacyber sécurité au sérieux doivent faire appel à unesolutiondegestiondesvulnérabilités proposant plusieurs analyses annuelles, des rapports complets, un suivi détaillé et tous les correctifs nécessaires. C’est essentiel. La gestion des vulnérabilités ne se limite pas à passer un scanner annuel et à corriger les failles détectées. Seuls des analysesrégulièresetuncontrôleattentif peuvent vous permettre de trouver vos vulnérabilités avant qu’un cyber pirate ne le fasse. Vouspouvezdéterminerlafréquencedes analyses à mener en fonction du profil ANALYSE de risque de votre entreprise et des exigencesréglementairesauxquelleselle doit se conformer. Un seul scan annuel desvulnérabilitésn’estpassuffisantpour les entreprises à haut-risque. En suivant un tel rythme, certaines vulnérabilités persisteront assez longtemps sur vos systèmes pour que les cyber pirates puissent en profiter et attaquer votre réseau. La norme PCI DSS (Payment Card Industry Data Security Standard) exige des organisations qui traitent des données relatives aux cartes bancaires qu’elles exécutent des analyses externes des vulnérabilités réseau au moins de manière trimestrielle, mais aussi après des changements significatifs au sein du réseau. Par ailleurs, le RGPD (Règlement Général sur la protection des données), qui entrera en vigueur le 25 mai 2018, contraindra les entreprises à investir dans des mesures proactives destinées à sécuriser leurs données personnelles. Avec une solution efficace de gestion desvulnérabilités,vouspourrezcréerdes rapports standardisés et personnalisés. Ces rapports vous aideront à dresser une liste de priorités pour la gestion des patchs. Ils vous permettront également de prouver que vous êtes proactif en matière de prédiction et de prévention descybermenacesetdedémontrerque vousêtesenconformitéaveclesdernières réglementations (PSI-DSS, RGPD).
14 Cartographiez vos ressources Pour disposer d’une vision complète de votre environnement informatique, vous devez cartographier et surveiller vos actifs réseau. Dans le cas contraire, vos décisions liées à la gestion des vulnérabilités seront basées sur des informations tronquées ou inexactes.Votreorganisationencourra alors un risque élevé d’intrusion. Identifiez vos vulnérabilités Recherchezlesvulnérabilitésassociées à des erreurs de configuration, à une mauvaise gestion des patchs, à des installations inadaptées, etc. Grâce aux résultats de ces analyses, vous serez en mesure de dresser une liste des vulnérabilités à corriger en priorité. Notre solution vous fournit également des recommandations concernant ces correctifs. Scannez vos applications réseau L’analyse du réseau vous permet de détecter les vulnérabilités présentes au sein d’applications commerciales ou personnalisées. En plus d’un scan régulier des applications existantes, nous vous recommandons de recourir à des analyses réseau durant le développement de nouvelles applications(cyclededéveloppement). ANALYSE
15 Les environnements informatiques professionnels sont complexes et évoluent en permanence. De fait, la surfaced’attaquedesentreprisesdevient de plus en plus importante. En plus de rechercher les vulnérabilités au sein des applications et des systèmes internes, les organisations doivent disposer d’une bonne visibilité de leur shadow IT. Elles doivent cartographier leur surface d’attaque (notamment les vecteurs d’attaque, avec une évaluation des menaces internet et réseau) et corriger les vulnérabilités associées aux cyber menaces. Gartner prédit que, d’ici à 2020, un tiers des cyber attaques réussies visant les entreprises cibleront leur shadow IT. Les entreprises doivent donc veiller à connaître leur shadow IT, et à créer une CARTOGRAPHIEDELA TOPOLOGIERÉSEAU culture de la cyber sécurité valorisant la protection plutôt que la gestion de crise.Lorsque,danslecadredelagestion des vulnérabilités, vous procédez à la cartographie de la topologie réseau, vous devez : • Détecter les systèmes orphelins ou shadow IT, et identifier les risques potentiels et autres interdépendances involontaires • Détecter les sites web infectés par un malware • Identifier les systèmes connectés à vous via des hôtes liés aux sites web de votre organisation • Débusquez les pratiques de phishing et les violations de marque pour protéger votre marque et votre propriété intellectuelle contre les activités frauduleuses et malveillantes. • Évaluer les pratiques de cyber sécurité de vos prestataires, lorsque leur politique en la matière diffère de la vôtre.
16 Informations relatives à la sécurité La cartographie de vos actifs réseau intéressera tout particulièrement votre département de cyber sécurité. Les responsables informatiques, les experts en cyber sécurité et les équipes de gestion de crise ont besoin de disposer de rapports à jour concernant la surface d’attaque de l’entreprise. CARTOGRAPHIEDELA TOPOLOGIERÉSEAU Aspect juridique Surleplanjuridique,unservicecapabledesurveillerlesactivités frauduleusesliéesàlamarqueouàlapropriétéintellectuellede votre entreprise représente un véritable atout. Évaluation des menaces et tests d'intrusion Pour toute personne chargée de l’évaluation des menaces, de l’évaluation de la sécurité réseau ou des tests d’intrusion au sein de votre entreprise, la cartographie de la topologie représente un intérêt certain, en particulier lorsqu’elle est utilisée en synergie avec d’autres outils. Marketing et développement Un service de cartographie de la topologie (monitoring et signalement) vous aide à identifier de nouvelles opportunités en matière de ventes, de marketing ou de développement, et de détecter d’éventuelles violations de votre marque.
17 Les vulnérabilités détectées lors des scans peuvent être nombreuses et vous submerger. L’essentiel est alors de les hiérarchiser. Certaines semblent devoir être corrigées au plus vite mais elles font enréalitél’objetd’uneattentionexagérée (médias, facteurs externes) qui ne traduit pourtant pas nécessairement un risque élevé pour votre entreprise. Il convient plutôt de hiérarchiser les vulnérabilités selon le danger véritable qu’elles représentent pour vous. Les organisations doivent, pour ce faire, utiliser leurs propres critères plutôt que deselaisserdistraireparlesvulnérabilités à la Une des médias. Aucun outil de gestion des vulnérabilités neconstitueunesolutiontoutefaitecontre HIÉRARCHISATION DESPRIORITÉS lescybermenaces.Uneexpertisehumaine estnécessairepourinterpréterlesrapports générés par le logiciel, et intervenir de manière adaptée. Les solutions vous permettront certes de classifier les vulnérabilités et de vous guider, mais elles ne vous aideront pas à déterminer par quelle vulnérabilité commencer. « Pour la plupart des administrateurs informatiques, prendre le temps de comprendre les implications de chaque nouvelle vulnérabilité détectée est beaucoup trop demander. » Andy Patel, Cyber Security Expert, F-Secure
18 Une fois les vulnérabilités hiérarchisées, il faut les corriger. Dans le cas contraire, à quoiserviraittoutcela?Lalongueurdela liste des vulnérabilités découvertes peut se limiter à une page ou ressembler à un roman-fleuve.Toutefois,trèssouvent,une seulemesurecorrectivepeutpermettrede neutraliser un bon nombre de failles. En toutétatdecause,lesoptionssontlimitées : soit vous corrigez une vulnérabilité, soit vous l’ignorez, soit vous appliquez des mesurescompensatoiresdecontrôlepour limiter les risques inhérents. Vousneserezpeut-êtrepasenmesurede patchertouteslesvulnérabilitésàchaque cycledevérification,maisvousdevezvous assurer que vos décisions sont adaptées auxrisquesencourus.Vousdeveztoujours pouvoirêtrecapabled’expliquerpourquoi RÉSOLUTIONDE PROBLÈMES certainesvulnérabilitésontétépatchées, alorsqued’autres,non.Encasd'intrusion, il vous faut pouvoir justifier de vos efforts devant les autorités : votre responsabilité s'en trouvera alors limitée. Entantqueresponsableencybersécurité, pensez à répertorier tous les efforts de correction et à vérifier qu’aucune vulnérabilité n’a été négligée. Une fois les correctionsapportées,leréseaudoitêtre évaluéànouveaupours’assurerquetoutes lesvulnérabilitésdécouvertesontbienété éliminées, et que de nouvelles n’ont pas été introduites.
19 PARTIEIII: UNE GESTIONDES VULNÉRABILITÉS PLUS INTELLIGENTE
20 SOLUTIONSDEGESTIONDES VULNÉRABILITÉS : COMMENTFAIRESONCHOIX? Sivoussouhaitezmettreenplaceunegestion desvulnérabilitésefficace,vousdevezbaser vosdécisionssurdesfaits.Assurez-vousque votre prestataire est capable de répondre à toutes les exigences mentionnées ci- dessous. Si ce n’est pas le cas, trouvez-en un autre,qui ensoitcapable. • ViSIBILITÉTOTALE Indexationetcartographiedetousles actifs,systèmesetapplicationsprésents surleréseauetau-delà. • PRODUCTIVITÉRATIONALISÉEET GESTIONDELASÉCURITÉ Minimisationdesrisqueset réponserapideaux cyberindicents: surveillancedesvulnérabilités,analyses programméesetautomatisées, hiérarchisationdescorrectionsetdes vérifications. • RAPPORTSD’ÉVALUATIONDES RISQUES Productionrégulièrederapports crédiblessurlaposturedecyber sécuritédevotreentreprise.Capacité àdémontrerquevotrecybersécurité estsuffisantepourvouspermettre d'assurerlacontinuitédevotreactivité, mêmeencasdeproblème. • RÉDUCTIONDESCOÛTS Envousévitantdescyberincidents d'ampleur,lagestiondesvulnérabilités peutvouspermettrederéduire significativementvosdépensesen matièredesécurité.Parailleurs,les ressourcesclouddeRadarpeuvent permettreauxorganisations d’optimiserleursdépenses. « La meilleure manière de gérer les cyber menaces est de les anticiper, en corrigeant les vulnérabilités avant qu’elles ne soient exploitées,etenréduisant la surface d’attaque de l’entreprise. » Jimmy Ruokolainen, Vice-Président, Product Management, F-Secure
21 SOLUTIONDEGESTIONDES VULNÉRABILITÉS: COMMENTFAIRESONCHOIX? Lacybersécuritén’ariend’évident.C’est unprocessuscontinu,uneluttesansfin. Sans une amélioration continue de vos cyberdéfenses,vousneserezpascapable de protéger votre entreprise contre les menaces émergentes telles que les ransomware.Peuimportelatailledevotre entreprise, vous devez être conscient des risques et être prêt à faire face aux nouvellesmenaces.Toutcommenceavec une gestion efficace des vulnérabilités mais ce n’est qu’une pièce du puzzle. Une approche holistique est essentielle pour couvrir tous les aspects de la cyber sécurité : prédiction, protection, détectionetréponse. Il est bien moins coûteux d’anticiper plutôtquededevoirréagirencasdecrise ou d’incident sérieux. Mettez en place unegestionefficacedesvulnérabilités,dès aujourd’hui. Tout cela est trop important pourattendre.
22 Votreinfrastructureestenmutationpermanente.Lescybermenaceségalement.Pourfaireface,ilvousfautunetechnologiedesécurité en constante évolution. L’approche Live Security tire profit de flux continus en renseignements tactiques sur les menaces, recueillis sur le terrain. Vous disposez ainsi d’une technologie sans cesse améliorée, capable de protéger à tout moment vos appareils. Découvrez une gestion des vulnérabilités plus intelligente Découvrez à quoi ressemble vraiment la gestion intelligente des vulnérabilités. Comprenez pourquoi il est essentiel d’allier l’Homme et la machine pour avoir toujours une longueur d’avance sur les pirates. En savoir plus LIVESECURITY: UNEAPPROCHEEN CONSTANTEÉVOLUTION
f-secure.com Pour trop d'entreprises, de fabricants et d'utilisateurs, la cyber sécurité apparaît comme secondaire. Mais quel est l'intérêt d'être connecté à tout ce qui vous entoure si vos données, votre identité et vos transactions ne sont pas protégées ? Vingt-cinq années passées à protéger des millions d'ordinateurs du monde entier nous l'ont enseigné : tôt ou tard, vous serez frappé par une cyber attaque. Ce qui fera la différence, c'est votre capacité à gérer ce cyber incident, et à renforcer votre cyber sécurité. Pour ce faire, il vous faut pouvoir compter sur les bons experts. Pour F-Secure, la cyber sécurité est plus qu'un simple produit : c'est une manière de voir le monde. Rendez-vous sur notre blog Visions et Sécurité IT pour être à l'avant- garde en matière de cyber sécurité. Et mieux encore, si vous cherchez un partenaire de cyber sécurité qui possède toujours une longueur d'avance, contactez-nous. NOUSSOMMES F-SECURE f-secure.com/fr/
SOURCES ¹ ForresterVendorLandscape:VulnerabilityManagement,2017https://www.forrester.com/report/Vendor+Landscape+Vulnerability+Management+2017/-/E-RES136784 ² https://www.tenable.com/blog/2017-trends-in-vulnerability-management-featuring-forrester-research ³ Nopsec, 2016 Outlook: Vulnerability Risk Management and Remediation Trends ⁴ Gartner, It’s Time to Align Your Vulnerability Management Priorities With the Biggest Threats, Craig Lawson, 9 Sept 2016 ⁵ The 2016 Verizon Data Breach Report ⁶ Forbes Insights – Enterprises Re-Engineer Security in the Age of Digital Transformation ⁷ http://www.cvedetails.com/ ⁸ http://www.gartner.com/smarterwithgartner/top-10-security-predictions-2016/

Recommandé

Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
NRC
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDAQUITAINE
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
Vanbreda Risk & Benefits
 

Recommandé

Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
NRC
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDAQUITAINE
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
Vanbreda Risk & Benefits
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
Romain Willmann
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
Groupe EEIE
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
Christophe-Alexandre PAILLARD
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
ITrust - Cybersecurity as a Service
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
NetSecure Day
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
ELCA Informatique SA / ELCA Informatik AG
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
OpinionWay
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
molastik
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pme
Gerard Konan
 
Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
Robert Half France
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 

Contenu connexe

Tendances

Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
Romain Willmann
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
Groupe EEIE
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
Christophe-Alexandre PAILLARD
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
ITrust - Cybersecurity as a Service
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
NetSecure Day
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
ELCA Informatique SA / ELCA Informatik AG
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
OpinionWay
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
molastik
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pme
Gerard Konan
 

Tendances (20)

Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pme
 

Similaire à Démystifier la gestion des vulnérabilités

Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
Robert Half France
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
Cybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'huiCybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'hui
Wavestone
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
OpinionWay
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Andréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Andréanne Clarke
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
EY
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
Symantec
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
Pierre SARROLA
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
PROJECT SI
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
ITrust - Cybersecurity as a Service
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
Bpifrance
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
Paperjam_redaction
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Crossing Skills
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
Scalar Decisions
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
ssuserc72852
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
FootballLovers9
 

Similaire à Démystifier la gestion des vulnérabilités (20)

Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Cybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'huiCybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'hui
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 

Plus de NRC

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerce
NRC
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de production
NRC
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la production
NRC
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensable
NRC
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenir
NRC
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
NRC
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
NRC
 
Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017
NRC
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - Sage
NRC
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisation
NRC
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
NRC
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
NRC
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
NRC
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorie
NRC
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !
NRC
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRM
NRC
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
NRC
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefense
NRC
 

Plus de NRC (20)

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerce
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de production
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la production
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensable
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenir
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
 
Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - Sage
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisation
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorie
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRM
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefense
 

Démystifier la gestion des vulnérabilités

  • 2. 2 PARTIE I : LIMITER LES CYBER RISQUES AVEC UNE APPROCHE PROACTIVE ........ 3 Dans le radar des cadres dirigeants................................................................................4 Les fondements d'un programme solide de cyber sécurité ..........................................8 Étude de cas : Wannacry ................................................................................................9 PARTIE II : UN PROCESSUS CONTINU...............................................................12 Analyse.......................................................................................................................... 13 Cartographie de la topologie réseau............................................................................. 15 Hiérarchisation des priorités ........................................................................................17 Résolution de problèmes..............................................................................................18 PARTIE III : UNE GESTION DES VULNÉRABILITÉS PLUS INTELLIGENTE................19 À quoi prêter attention lorsque vous choisissez votre solution ?.................................20 Live security : une approche en constante évolution ...................................................22 Nous sommes F-Secure ................................................................................................23 Sources ........................................................................................................................ 24 TABLEDES MATIÈRES
  • 4. 4 Toutes les entreprises connectées à internet sont vulnérables aux cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-cidoitcouvrirplusieursaspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vouslesprésenteronsdanscerapport. Toutes les entreprises connectées à internet sont vulnérables et la cyber sécurité fait désormais l’objet d’une attention accrue de la part des cadres dirigeants. Les organisations cherchent à assurer la protection de leurs données et font leur possible pour minimiser les risques de cyber attaques. Résultat : elles DANSLERADAR DESCADRESDIRIGEANTS sontdeplusenplusnombreusesàengager un CISO (responsable en cyber sécurité) pour mener à bien ces opérations. En tant que CISO, vous devez pouvoir gérer à la fois les aspects stratégiques, tactiques et opérationnels de la cyber sécurité.Vousdevezégalementposséder unecompétence-clé:lacommunication… Car outre vos missions quotidiennes de cyberprotection,vousdevezvousassurer que les cadres dirigeants et les membres du conseil d’administration sont bien informés du statut de cyber sécurité de leur organisation. Nous vous aidons ici à présenter aux décisionnaires de votre entreprise les risques et priorités en matière de gestion des vulnérabilités. Stratégie Tactique Exécution
  • 5. 5 depuis longtemps déjà : si nous avons apprisunechoseaufildenosinterventions, c’estbienquelaplupartdescyberattaques continuent de tirer profit de ces failles. Les entreprises réalisent enfin que la cyber sécurité ne se résume pas à un simple problème informatique : l’activité de l'entreprise dans son ensemble peut être affectée par un cyber incident. Une intrusion peut porter atteinte à la propriété intellectuelle, aux données confidentielles… Elle peut entraîner la fuite des données privées de vos clients. Les intrusions minent la confiance- clients, elles impactent la productivité, vos bénéfices et votre croissance… Sans oublier votre image de marque, qui s’en trouve affectée sur le long-terme. Selon une récente étude Forrester Global Security, 49% des organisations ont déjà été confrontées à une ou plusieurs intrusions l’année passée. Les données montrent également que les vulnérabilités logicielles constituaient la principale cause de ces intrusions. De toutes les organisations victimes, 56% avaient fait face à une attaque externe, biensouventrenduepossiblegrâceàune vulnérabilité/un kit d’exploit. Nousavonsaidébonnombred’entreprises à reprendre pied après des incidents de cyber sécurité. Nous avons vu l’ampleur des dommages causés par une seule vulnérabilité… mais nous avons aussi constaté à quel point il peut être facile, à l’inverse,d’éviteruneintrusion.Lagestion des vulnérabilités démontre son utilité DANSLERADAR DESCADRESDIRIGEANTS Nous assistons enfin à une prise de conscience.Derécentesintrusions,visant les grandes entreprises, ont marqué les esprits. Les dirigeants commencent à s’intéresser à la cyber sécurité. Face aux lourdes pertes en cas d’intrusion (répercutions financières, réputation affaiblie…), ils souhaitent désormais prendre les précautions qui s'imposent pour éviter ce genre d’incident.
  • 6. 66 DANSLERADAR DESCADRESDIRIGEANTS Phase de reconnaissance PORTE ATTEINTE À VOTRE REPUTATION EXPOSE À DES SANCTIONS AFFECTE LES BÉNÉFICES REQUIERT UNE RÉPONSE PEUT NÉCESSITER UN REMPLACEMENT AFFECTE LA PRODUCTIVITÉ Intrusion Déplacement latéral Obtention des privilèges administrateur INTRUSION
  • 7. 7 Laresponsabilitéenmatièredeprotection des données-clients incombe clairement aux cadres dirigeants. Ils doivent adopter une posture proactive qui protégera les ressourcesdel’entreprise,saréputationet sonactivité.Illeurfautsuivredesformations destinéesàdémystifierlacybersécuritéet à mieux la comprendre. Ils doivent avoir connaissance des cyber défenses de leur entrepriseetsavoircommentréagirencas de cyber attaque ou d’intrusion. Mieux informés, ils exigeront plus de clarté quant aux cyber risques encourus par leur organisation ; ils voudront savoir précisément comment réagir en cas de problème, notamment au regard des nouvellesréglementations.Parallèlement, ils souhaiteront mettre en place une surveillance continue et obtenir des rapports de cyber sécurité réguliers. Il appartient au responsable en cyber sécurité (CISO) de les aider à prendre les décisions qui s'imposent : il doit être capable de leur expliquer précisément comment un cyber pirate peut cibler l'organisation. Il doit aussi déterminer avec précision la surface d’attaque de l'entreprise, pour évaluer les risques et déterminerlesstratégiesàmettreenplace. Enfin, il doit élaborer des rapports clairs, concis, et mettre en place des plans de gestion de crise adaptés. Lesenjeuxsontimportants.Lesentreprises ontbesoind’uneinfrastructuresolide,leur permettant de monitorer et de gérer les risques en cyber sécurité. DANSLERADAR DESCADRESDIRIGEANTS « Pour les entreprises, la cyber sécurité est une lutteconstante.Etl'undes grands défis est souvent de faire comprendre aux cadres-dirigeants que la gestion du cyber risque ne se limite pas à une simple problématique informatique. » Erka Koivunen, CISO, F-Secure
  • 8. 8 plus tôt cette même année ; d’autres étaientconnuesdepuis déjà10ans,voire même même 17 ans. Les entreprises commencent à prendre conscience de cette réalité. Dans une récente enquête Forbes Insights sur la cyber sécurité, 60% des 300 enquêtés (cadres de niveau supérieur) ont déclaré qu'en 2016, leur première initiative avait visé à une « meilleure connaissance des vulnérabilitésetàleurcorrection»,tandis que 30% des enquêtés affirmaient avoir investiavanttoutdanslaprotectioncontre les exploits 0-day. LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ La gestion des vulnérabilités est un processus fondamental en matière de cyber sécurité et de conformité aux réglementations. D’après les résultats de nos recherches, la plupart des cyber intrusions se produisent à cause d’une vulnérabilité logicielle non-corrigée, ou à cause d’une erreur humaine (lorsque, par exemple, un employé tombe dans le piège d’un e-mail de phishing). Unenouvellefailledesécuritéestidentifiée toutes les 90 minutes ; plusieurs milliers d'entreellessontrévéléeschaqueannée.En moyenne,ilfaut103jourspourcorrigerune vulnérabilité*.Àl’inverse,selonGartner,le délaimoyenentrelapublicationd’unpatch etl’apparitiond’unexploitcorrespondant est passé de 45 à seulement 15 jours ces dix dernières années. Gartner remarque également que les vulnérabilités 0-day (lefournisseurn’a alorspasconnaissance de cette faille) représentent seulement 0,4%dutotaldesvulnérabilitésexploitées chaque année depuis 10 ans. Les attaques 0-day font beaucoup parler d’elles mais, in fine, ces vulnérabilités ne représentent qu’un léger pourcentage des failles effectivement exploitées. En réalité, la première méthode d’infection desexploitsconcernedesfaillesconnues. Pourlaplupartd’entreelles,unpatchexiste déjàmaisiln’apasétéinstallé.End’autres termes, les entreprises continuent d’être victimes d’anciennes vulnérabilités. Le rapport Verizon Data Breach 2016 s’est penché sur les vulnérabilités exploitées en2015: certainesavaientétérépertoriées
  • 9. 99 L’attaquemassiveducrypto-ransomwareWannaCryconstitueunparfaitexempledemalwareexploitantunevulnérabilité,avecdesconséquences àgrandeéchelle.Enmai2017,leransomwareWannaCrys’estrépanduàtraverslemonde,paralysantplusieurssecteurscommelestransports oulasanté.Cetteattaquetiraitprofitd’unefailleWindowsServerMessageBlock(SMB),MS17-010,pourtantpatchéeparMicrosoftdeuxmois plus tôt. De nombreux systèmes n’avaient pas installé le patch et d’autres exécutaient le système d’exploitation Windows XP, dont Windows n’assuraitpluslesuivi.Faceàl’ampleurdel’attaque,MicrosoftatoutefoisproposéunpatchspécifiquepourXPetServer2003. Ce ver aurait eu plus de difficultés à se répandre si plus de systèmes étaient régulièrement mis à jour. La télémétrie de l’outil de gestion des vulnérabilités F-Secure Radar, indique que 15% des hôtes exécutent Windows SMB. WannaCry nous montre qu’il est essentiel pour les administrateursdes’assurerqueSMBestcorrectementpatché,etnon-exposéàl’internetpublic. Nous recommandons aux entreprises d’adopter une approche de gestion des vulnérabilités capable de détecter immédiatement les failles systèmes,etdeleshiérarchiserafindecorrigerlesplusdangereusesenpriorité. ÉTUDEDECAS: WANNACRY
  • 10. 10 Sur les réseaux professionnels, les vulnérabilités de sévérité moyenne dominent. Le site internet CVE Details montrequ’enmoyenne,lesvulnérabilités obtiennent un score de dangerosité de 6,8. Sur les plus de 80 000 vulnérabilités répertoriées au sein de leur base de données, 12 000 seulement (soit environ 15%) sont classées comme particulièrement dangereuses. Nos analyses menées à partir de notre base client Radar nous montre peu ou prou la même chose. Les vulnérabilités sévères sontpeunombreuses.Lagrandemajorité des vulnérabilités non-patchées que nous avons trouvées étaient de sévérité faible-moyenne. Il convient toutefois de garder à l'esprit que les vulnérabilités sont fréquentes : de très nombreuses applications clients et serveurs (Adobe LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ Flash, par exemple) en comportent. Lorsque vous détectez une vulnérabilité dite sévère, vous devez la corriger immédiatement. Mais que faire face aux autres ? Appliquer un patch, sur chacun de vos systèmes,pourchaquelogiciel,dèsqu’un patchestpublié,estpresqueimpossible. Voilàpourquoilesadministrateurssuivent descyclespériodiquespourlacorrection des vulnérabilités les moins sérieuses. Denouvellesmenacesémergentchaque jour. Gérer les vulnérabilités et garder le cap en la matière tient du défi. Il existe toujoursunenouvellefailleàcorriger,un nouveau patch à appliquer, de nouveaux outils de cyber sécurité à évaluer, des défenses à actualiser… Prendre le temps de comprendre les implications de chaque nouvelle vulnérabilité,leshiérarchiseretplanifierla gestiondespatchsreprésentebeaucoup de travail mais cela reste faisable si vous disposer à la fois de l’expertise humaine adéquateetdesolutionstechnologiques suffisamment avancées.
  • 11. 1111 LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ Les 20 types de vulnérabilités les plus fréquemment détectées par F-Secure Radar La prévalence et la sévérité des vulnérabilités collectées en 2016, auprès de nos clients, à partir de F-Secure Radar Typedevulnérabilité 1 Configuration SSL 2 SSH 3 Serveurs Web 4 Certificats SSL 5 Interfaces de gestion 6 SMB 7 Application 8 Linux 9 CGI 10 Implémentation SSL 11 Windows 12 Bases de données 13 Applications Web 14 FTP 15 Virtualisation 16 SNMP 17 Serveurs application 18 CISCO 19 SMTP 20 Unix Sévérité moyenne Sévérité Prévalence Importante Moyenne Basse
  • 13. 13 Toutcommelacybersécuritéengénéral,la gestiondesvulnérabilitésestunprocessus continu.Lesentreprisesprenantlacyber sécurité au sérieux doivent faire appel à unesolutiondegestiondesvulnérabilités proposant plusieurs analyses annuelles, des rapports complets, un suivi détaillé et tous les correctifs nécessaires. C’est essentiel. La gestion des vulnérabilités ne se limite pas à passer un scanner annuel et à corriger les failles détectées. Seuls des analysesrégulièresetuncontrôleattentif peuvent vous permettre de trouver vos vulnérabilités avant qu’un cyber pirate ne le fasse. Vouspouvezdéterminerlafréquencedes analyses à mener en fonction du profil ANALYSE de risque de votre entreprise et des exigencesréglementairesauxquelleselle doit se conformer. Un seul scan annuel desvulnérabilitésn’estpassuffisantpour les entreprises à haut-risque. En suivant un tel rythme, certaines vulnérabilités persisteront assez longtemps sur vos systèmes pour que les cyber pirates puissent en profiter et attaquer votre réseau. La norme PCI DSS (Payment Card Industry Data Security Standard) exige des organisations qui traitent des données relatives aux cartes bancaires qu’elles exécutent des analyses externes des vulnérabilités réseau au moins de manière trimestrielle, mais aussi après des changements significatifs au sein du réseau. Par ailleurs, le RGPD (Règlement Général sur la protection des données), qui entrera en vigueur le 25 mai 2018, contraindra les entreprises à investir dans des mesures proactives destinées à sécuriser leurs données personnelles. Avec une solution efficace de gestion desvulnérabilités,vouspourrezcréerdes rapports standardisés et personnalisés. Ces rapports vous aideront à dresser une liste de priorités pour la gestion des patchs. Ils vous permettront également de prouver que vous êtes proactif en matière de prédiction et de prévention descybermenacesetdedémontrerque vousêtesenconformitéaveclesdernières réglementations (PSI-DSS, RGPD).
  • 14. 14 Cartographiez vos ressources Pour disposer d’une vision complète de votre environnement informatique, vous devez cartographier et surveiller vos actifs réseau. Dans le cas contraire, vos décisions liées à la gestion des vulnérabilités seront basées sur des informations tronquées ou inexactes.Votreorganisationencourra alors un risque élevé d’intrusion. Identifiez vos vulnérabilités Recherchezlesvulnérabilitésassociées à des erreurs de configuration, à une mauvaise gestion des patchs, à des installations inadaptées, etc. Grâce aux résultats de ces analyses, vous serez en mesure de dresser une liste des vulnérabilités à corriger en priorité. Notre solution vous fournit également des recommandations concernant ces correctifs. Scannez vos applications réseau L’analyse du réseau vous permet de détecter les vulnérabilités présentes au sein d’applications commerciales ou personnalisées. En plus d’un scan régulier des applications existantes, nous vous recommandons de recourir à des analyses réseau durant le développement de nouvelles applications(cyclededéveloppement). ANALYSE
  • 15. 15 Les environnements informatiques professionnels sont complexes et évoluent en permanence. De fait, la surfaced’attaquedesentreprisesdevient de plus en plus importante. En plus de rechercher les vulnérabilités au sein des applications et des systèmes internes, les organisations doivent disposer d’une bonne visibilité de leur shadow IT. Elles doivent cartographier leur surface d’attaque (notamment les vecteurs d’attaque, avec une évaluation des menaces internet et réseau) et corriger les vulnérabilités associées aux cyber menaces. Gartner prédit que, d’ici à 2020, un tiers des cyber attaques réussies visant les entreprises cibleront leur shadow IT. Les entreprises doivent donc veiller à connaître leur shadow IT, et à créer une CARTOGRAPHIEDELA TOPOLOGIERÉSEAU culture de la cyber sécurité valorisant la protection plutôt que la gestion de crise.Lorsque,danslecadredelagestion des vulnérabilités, vous procédez à la cartographie de la topologie réseau, vous devez : • Détecter les systèmes orphelins ou shadow IT, et identifier les risques potentiels et autres interdépendances involontaires • Détecter les sites web infectés par un malware • Identifier les systèmes connectés à vous via des hôtes liés aux sites web de votre organisation • Débusquez les pratiques de phishing et les violations de marque pour protéger votre marque et votre propriété intellectuelle contre les activités frauduleuses et malveillantes. • Évaluer les pratiques de cyber sécurité de vos prestataires, lorsque leur politique en la matière diffère de la vôtre.
  • 16. 16 Informations relatives à la sécurité La cartographie de vos actifs réseau intéressera tout particulièrement votre département de cyber sécurité. Les responsables informatiques, les experts en cyber sécurité et les équipes de gestion de crise ont besoin de disposer de rapports à jour concernant la surface d’attaque de l’entreprise. CARTOGRAPHIEDELA TOPOLOGIERÉSEAU Aspect juridique Surleplanjuridique,unservicecapabledesurveillerlesactivités frauduleusesliéesàlamarqueouàlapropriétéintellectuellede votre entreprise représente un véritable atout. Évaluation des menaces et tests d'intrusion Pour toute personne chargée de l’évaluation des menaces, de l’évaluation de la sécurité réseau ou des tests d’intrusion au sein de votre entreprise, la cartographie de la topologie représente un intérêt certain, en particulier lorsqu’elle est utilisée en synergie avec d’autres outils. Marketing et développement Un service de cartographie de la topologie (monitoring et signalement) vous aide à identifier de nouvelles opportunités en matière de ventes, de marketing ou de développement, et de détecter d’éventuelles violations de votre marque.
  • 17. 17 Les vulnérabilités détectées lors des scans peuvent être nombreuses et vous submerger. L’essentiel est alors de les hiérarchiser. Certaines semblent devoir être corrigées au plus vite mais elles font enréalitél’objetd’uneattentionexagérée (médias, facteurs externes) qui ne traduit pourtant pas nécessairement un risque élevé pour votre entreprise. Il convient plutôt de hiérarchiser les vulnérabilités selon le danger véritable qu’elles représentent pour vous. Les organisations doivent, pour ce faire, utiliser leurs propres critères plutôt que deselaisserdistraireparlesvulnérabilités à la Une des médias. Aucun outil de gestion des vulnérabilités neconstitueunesolutiontoutefaitecontre HIÉRARCHISATION DESPRIORITÉS lescybermenaces.Uneexpertisehumaine estnécessairepourinterpréterlesrapports générés par le logiciel, et intervenir de manière adaptée. Les solutions vous permettront certes de classifier les vulnérabilités et de vous guider, mais elles ne vous aideront pas à déterminer par quelle vulnérabilité commencer. « Pour la plupart des administrateurs informatiques, prendre le temps de comprendre les implications de chaque nouvelle vulnérabilité détectée est beaucoup trop demander. » Andy Patel, Cyber Security Expert, F-Secure
  • 18. 18 Une fois les vulnérabilités hiérarchisées, il faut les corriger. Dans le cas contraire, à quoiserviraittoutcela?Lalongueurdela liste des vulnérabilités découvertes peut se limiter à une page ou ressembler à un roman-fleuve.Toutefois,trèssouvent,une seulemesurecorrectivepeutpermettrede neutraliser un bon nombre de failles. En toutétatdecause,lesoptionssontlimitées : soit vous corrigez une vulnérabilité, soit vous l’ignorez, soit vous appliquez des mesurescompensatoiresdecontrôlepour limiter les risques inhérents. Vousneserezpeut-êtrepasenmesurede patchertouteslesvulnérabilitésàchaque cycledevérification,maisvousdevezvous assurer que vos décisions sont adaptées auxrisquesencourus.Vousdeveztoujours pouvoirêtrecapabled’expliquerpourquoi RÉSOLUTIONDE PROBLÈMES certainesvulnérabilitésontétépatchées, alorsqued’autres,non.Encasd'intrusion, il vous faut pouvoir justifier de vos efforts devant les autorités : votre responsabilité s'en trouvera alors limitée. Entantqueresponsableencybersécurité, pensez à répertorier tous les efforts de correction et à vérifier qu’aucune vulnérabilité n’a été négligée. Une fois les correctionsapportées,leréseaudoitêtre évaluéànouveaupours’assurerquetoutes lesvulnérabilitésdécouvertesontbienété éliminées, et que de nouvelles n’ont pas été introduites.
  • 20. 20 SOLUTIONSDEGESTIONDES VULNÉRABILITÉS : COMMENTFAIRESONCHOIX? Sivoussouhaitezmettreenplaceunegestion desvulnérabilitésefficace,vousdevezbaser vosdécisionssurdesfaits.Assurez-vousque votre prestataire est capable de répondre à toutes les exigences mentionnées ci- dessous. Si ce n’est pas le cas, trouvez-en un autre,qui ensoitcapable. • ViSIBILITÉTOTALE Indexationetcartographiedetousles actifs,systèmesetapplicationsprésents surleréseauetau-delà. • PRODUCTIVITÉRATIONALISÉEET GESTIONDELASÉCURITÉ Minimisationdesrisqueset réponserapideaux cyberindicents: surveillancedesvulnérabilités,analyses programméesetautomatisées, hiérarchisationdescorrectionsetdes vérifications. • RAPPORTSD’ÉVALUATIONDES RISQUES Productionrégulièrederapports crédiblessurlaposturedecyber sécuritédevotreentreprise.Capacité àdémontrerquevotrecybersécurité estsuffisantepourvouspermettre d'assurerlacontinuitédevotreactivité, mêmeencasdeproblème. • RÉDUCTIONDESCOÛTS Envousévitantdescyberincidents d'ampleur,lagestiondesvulnérabilités peutvouspermettrederéduire significativementvosdépensesen matièredesécurité.Parailleurs,les ressourcesclouddeRadarpeuvent permettreauxorganisations d’optimiserleursdépenses. « La meilleure manière de gérer les cyber menaces est de les anticiper, en corrigeant les vulnérabilités avant qu’elles ne soient exploitées,etenréduisant la surface d’attaque de l’entreprise. » Jimmy Ruokolainen, Vice-Président, Product Management, F-Secure
  • 21. 21 SOLUTIONDEGESTIONDES VULNÉRABILITÉS: COMMENTFAIRESONCHOIX? Lacybersécuritén’ariend’évident.C’est unprocessuscontinu,uneluttesansfin. Sans une amélioration continue de vos cyberdéfenses,vousneserezpascapable de protéger votre entreprise contre les menaces émergentes telles que les ransomware.Peuimportelatailledevotre entreprise, vous devez être conscient des risques et être prêt à faire face aux nouvellesmenaces.Toutcommenceavec une gestion efficace des vulnérabilités mais ce n’est qu’une pièce du puzzle. Une approche holistique est essentielle pour couvrir tous les aspects de la cyber sécurité : prédiction, protection, détectionetréponse. Il est bien moins coûteux d’anticiper plutôtquededevoirréagirencasdecrise ou d’incident sérieux. Mettez en place unegestionefficacedesvulnérabilités,dès aujourd’hui. Tout cela est trop important pourattendre.
  • 22. 22 Votreinfrastructureestenmutationpermanente.Lescybermenaceségalement.Pourfaireface,ilvousfautunetechnologiedesécurité en constante évolution. L’approche Live Security tire profit de flux continus en renseignements tactiques sur les menaces, recueillis sur le terrain. Vous disposez ainsi d’une technologie sans cesse améliorée, capable de protéger à tout moment vos appareils. Découvrez une gestion des vulnérabilités plus intelligente Découvrez à quoi ressemble vraiment la gestion intelligente des vulnérabilités. Comprenez pourquoi il est essentiel d’allier l’Homme et la machine pour avoir toujours une longueur d’avance sur les pirates. En savoir plus LIVESECURITY: UNEAPPROCHEEN CONSTANTEÉVOLUTION
  • 23. f-secure.com Pour trop d'entreprises, de fabricants et d'utilisateurs, la cyber sécurité apparaît comme secondaire. Mais quel est l'intérêt d'être connecté à tout ce qui vous entoure si vos données, votre identité et vos transactions ne sont pas protégées ? Vingt-cinq années passées à protéger des millions d'ordinateurs du monde entier nous l'ont enseigné : tôt ou tard, vous serez frappé par une cyber attaque. Ce qui fera la différence, c'est votre capacité à gérer ce cyber incident, et à renforcer votre cyber sécurité. Pour ce faire, il vous faut pouvoir compter sur les bons experts. Pour F-Secure, la cyber sécurité est plus qu'un simple produit : c'est une manière de voir le monde. Rendez-vous sur notre blog Visions et Sécurité IT pour être à l'avant- garde en matière de cyber sécurité. Et mieux encore, si vous cherchez un partenaire de cyber sécurité qui possède toujours une longueur d'avance, contactez-nous. NOUSSOMMES F-SECURE f-secure.com/fr/
  • 24. SOURCES ¹ ForresterVendorLandscape:VulnerabilityManagement,2017https://www.forrester.com/report/Vendor+Landscape+Vulnerability+Management+2017/-/E-RES136784 ² https://www.tenable.com/blog/2017-trends-in-vulnerability-management-featuring-forrester-research ³ Nopsec, 2016 Outlook: Vulnerability Risk Management and Remediation Trends ⁴ Gartner, It’s Time to Align Your Vulnerability Management Priorities With the Biggest Threats, Craig Lawson, 9 Sept 2016 ⁵ The 2016 Verizon Data Breach Report ⁶ Forbes Insights – Enterprises Re-Engineer Security in the Age of Digital Transformation ⁷ http://www.cvedetails.com/ ⁸ http://www.gartner.com/smarterwithgartner/top-10-security-predictions-2016/