SlideShare une entreprise Scribd logo
1  sur  24
Télécharger pour lire hors ligne
DÉMYSTIFIER
LAGESTIONDES
VULNÉRABILITÉS
2
PARTIE I : LIMITER LES CYBER RISQUES AVEC UNE APPROCHE PROACTIVE ........ 3
Dans le radar des cadres dirigeants................................................................................4
Les fondements d'un programme solide de cyber sécurité ..........................................8
Étude de cas : Wannacry ................................................................................................9
PARTIE II : UN PROCESSUS CONTINU...............................................................12
Analyse.......................................................................................................................... 13
Cartographie de la topologie réseau............................................................................. 15
Hiérarchisation des priorités ........................................................................................17
Résolution de problèmes..............................................................................................18
PARTIE III : UNE GESTION DES VULNÉRABILITÉS PLUS INTELLIGENTE................19
À quoi prêter attention lorsque vous choisissez votre solution ?.................................20
Live security : une approche en constante évolution ...................................................22
Nous sommes F-Secure ................................................................................................23
Sources ........................................................................................................................ 24
TABLEDES
MATIÈRES
3
PARTIEI:
LIMITERLES
CYBERRISQUES
AVECUNE
APPROCHE
PROACTIVE
4
Toutes les entreprises connectées
à internet sont vulnérables aux
cyber attaques. Sans une bonne
protection, elles s’exposent à des
pertes substantielles. Déployer un
programme fiable de gestion des
vulnérabilités s’avère donc essentiel.
Celui-cidoitcouvrirplusieursaspects,
qu'un responsable en cyber sécurité
doit toujours garder à l'esprit. Nous
vouslesprésenteronsdanscerapport.
Toutes les entreprises connectées à
internet sont vulnérables et la cyber
sécurité fait désormais l’objet d’une
attention accrue de la part des cadres
dirigeants. Les organisations cherchent
à assurer la protection de leurs données
et font leur possible pour minimiser les
risques de cyber attaques. Résultat : elles
DANSLERADAR
DESCADRESDIRIGEANTS
sontdeplusenplusnombreusesàengager
un CISO (responsable en cyber sécurité)
pour mener à bien ces opérations.
En tant que CISO, vous devez pouvoir
gérer à la fois les aspects stratégiques,
tactiques et opérationnels de la cyber
sécurité.Vousdevezégalementposséder
unecompétence-clé:lacommunication…
Car outre vos missions quotidiennes de
cyberprotection,vousdevezvousassurer
que les cadres dirigeants et les membres
du conseil d’administration sont bien
informés du statut de cyber sécurité de
leur organisation. Nous vous aidons ici
à présenter aux décisionnaires de votre
entreprise les risques et priorités en
matière de gestion des vulnérabilités.
Stratégie
Tactique
Exécution
5
depuis longtemps déjà : si nous avons
apprisunechoseaufildenosinterventions,
c’estbienquelaplupartdescyberattaques
continuent de tirer profit de ces failles.
Les entreprises réalisent enfin que la
cyber sécurité ne se résume pas à un
simple problème informatique : l’activité
de l'entreprise dans son ensemble peut
être affectée par un cyber incident.
Une intrusion peut porter atteinte à la
propriété intellectuelle, aux données
confidentielles… Elle peut entraîner la
fuite des données privées de vos clients.
Les intrusions minent la confiance-
clients, elles impactent la productivité,
vos bénéfices et votre croissance… Sans
oublier votre image de marque, qui s’en
trouve affectée sur le long-terme.
Selon une récente étude Forrester
Global Security, 49% des organisations
ont déjà été confrontées à une ou
plusieurs intrusions l’année passée. Les
données montrent également que les
vulnérabilités logicielles constituaient
la principale cause de ces intrusions. De
toutes les organisations victimes, 56%
avaient fait face à une attaque externe,
biensouventrenduepossiblegrâceàune
vulnérabilité/un kit d’exploit.
Nousavonsaidébonnombred’entreprises
à reprendre pied après des incidents de
cyber sécurité. Nous avons vu l’ampleur
des dommages causés par une seule
vulnérabilité… mais nous avons aussi
constaté à quel point il peut être facile, à
l’inverse,d’éviteruneintrusion.Lagestion
des vulnérabilités démontre son utilité
DANSLERADAR
DESCADRESDIRIGEANTS
Nous assistons enfin à une prise de
conscience.Derécentesintrusions,visant
les grandes entreprises, ont marqué les
esprits. Les dirigeants commencent à
s’intéresser à la cyber sécurité. Face
aux lourdes pertes en cas d’intrusion
(répercutions financières, réputation
affaiblie…), ils souhaitent désormais
prendre les précautions qui s'imposent
pour éviter ce genre d’incident.
66
DANSLERADAR
DESCADRESDIRIGEANTS
Phase de reconnaissance
PORTE ATTEINTE À VOTRE
REPUTATION
EXPOSE À DES
SANCTIONS
AFFECTE LES
BÉNÉFICES
REQUIERT UNE
RÉPONSE
PEUT NÉCESSITER UN
REMPLACEMENT
AFFECTE LA
PRODUCTIVITÉ
Intrusion Déplacement latéral
Obtention des
privilèges administrateur
INTRUSION
7
Laresponsabilitéenmatièredeprotection
des données-clients incombe clairement
aux cadres dirigeants. Ils doivent adopter
une posture proactive qui protégera les
ressourcesdel’entreprise,saréputationet
sonactivité.Illeurfautsuivredesformations
destinéesàdémystifierlacybersécuritéet
à mieux la comprendre. Ils doivent avoir
connaissance des cyber défenses de leur
entrepriseetsavoircommentréagirencas
de cyber attaque ou d’intrusion.
Mieux informés, ils exigeront plus de
clarté quant aux cyber risques encourus
par leur organisation ; ils voudront savoir
précisément comment réagir en cas de
problème, notamment au regard des
nouvellesréglementations.Parallèlement,
ils souhaiteront mettre en place une
surveillance continue et obtenir des
rapports de cyber sécurité réguliers.
Il appartient au responsable en cyber
sécurité (CISO) de les aider à prendre
les décisions qui s'imposent : il doit être
capable de leur expliquer précisément
comment un cyber pirate peut cibler
l'organisation. Il doit aussi déterminer
avec précision la surface d’attaque de
l'entreprise, pour évaluer les risques et
déterminerlesstratégiesàmettreenplace.
Enfin, il doit élaborer des rapports clairs,
concis, et mettre en place des plans de
gestion de crise adaptés.
Lesenjeuxsontimportants.Lesentreprises
ontbesoind’uneinfrastructuresolide,leur
permettant de monitorer et de gérer les
risques en cyber sécurité.
DANSLERADAR
DESCADRESDIRIGEANTS
« Pour les entreprises, la
cyber sécurité est une
lutteconstante.Etl'undes
grands défis est souvent
de faire comprendre aux
cadres-dirigeants que la
gestion du cyber risque
ne se limite pas à une
simple problématique
informatique. »
Erka Koivunen, CISO,
F-Secure
8
plus tôt cette même année ; d’autres
étaientconnuesdepuis déjà10ans,voire
même même 17 ans.
Les entreprises commencent à prendre
conscience de cette réalité. Dans une
récente enquête Forbes Insights sur la
cyber sécurité, 60% des 300 enquêtés
(cadres de niveau supérieur) ont déclaré
qu'en 2016, leur première initiative avait
visé à une « meilleure connaissance des
vulnérabilitésetàleurcorrection»,tandis
que 30% des enquêtés affirmaient avoir
investiavanttoutdanslaprotectioncontre
les exploits 0-day.
LESFONDEMENTS
D'UNPROGRAMMESOLIDE
DECYBERSÉCURITÉ
La gestion des vulnérabilités est un
processus fondamental en matière de
cyber sécurité et de conformité aux
réglementations. D’après les résultats
de nos recherches, la plupart des cyber
intrusions se produisent à cause d’une
vulnérabilité logicielle non-corrigée, ou
à cause d’une erreur humaine (lorsque,
par exemple, un employé tombe dans le
piège d’un e-mail de phishing).
Unenouvellefailledesécuritéestidentifiée
toutes les 90 minutes ; plusieurs milliers
d'entreellessontrévéléeschaqueannée.En
moyenne,ilfaut103jourspourcorrigerune
vulnérabilité*.Àl’inverse,selonGartner,le
délaimoyenentrelapublicationd’unpatch
etl’apparitiond’unexploitcorrespondant
est passé de 45 à seulement 15 jours ces
dix dernières années. Gartner remarque
également que les vulnérabilités 0-day
(lefournisseurn’a alorspasconnaissance
de cette faille) représentent seulement
0,4%dutotaldesvulnérabilitésexploitées
chaque année depuis 10 ans.
Les attaques 0-day font beaucoup parler
d’elles mais, in fine, ces vulnérabilités ne
représentent qu’un léger pourcentage
des failles effectivement exploitées. En
réalité, la première méthode d’infection
desexploitsconcernedesfaillesconnues.
Pourlaplupartd’entreelles,unpatchexiste
déjàmaisiln’apasétéinstallé.End’autres
termes, les entreprises continuent d’être
victimes d’anciennes vulnérabilités. Le
rapport Verizon Data Breach 2016 s’est
penché sur les vulnérabilités exploitées
en2015: certainesavaientétérépertoriées
99
L’attaquemassiveducrypto-ransomwareWannaCryconstitueunparfaitexempledemalwareexploitantunevulnérabilité,avecdesconséquences
àgrandeéchelle.Enmai2017,leransomwareWannaCrys’estrépanduàtraverslemonde,paralysantplusieurssecteurscommelestransports
oulasanté.Cetteattaquetiraitprofitd’unefailleWindowsServerMessageBlock(SMB),MS17-010,pourtantpatchéeparMicrosoftdeuxmois
plus tôt. De nombreux systèmes n’avaient pas installé le patch et d’autres exécutaient le système d’exploitation Windows XP, dont Windows
n’assuraitpluslesuivi.Faceàl’ampleurdel’attaque,MicrosoftatoutefoisproposéunpatchspécifiquepourXPetServer2003.
Ce ver aurait eu plus de difficultés à se répandre si plus de systèmes étaient régulièrement mis à jour. La télémétrie de l’outil de gestion
des vulnérabilités F-Secure Radar, indique que 15% des hôtes exécutent Windows SMB. WannaCry nous montre qu’il est essentiel pour les
administrateursdes’assurerqueSMBestcorrectementpatché,etnon-exposéàl’internetpublic.
Nous recommandons aux entreprises d’adopter une approche de gestion des vulnérabilités capable de détecter immédiatement les failles
systèmes,etdeleshiérarchiserafindecorrigerlesplusdangereusesenpriorité.
ÉTUDEDECAS:
WANNACRY
10
Sur les réseaux professionnels, les
vulnérabilités de sévérité moyenne
dominent. Le site internet CVE Details
montrequ’enmoyenne,lesvulnérabilités
obtiennent un score de dangerosité de
6,8. Sur les plus de 80 000 vulnérabilités
répertoriées au sein de leur base de
données, 12 000 seulement (soit
environ 15%) sont classées comme
particulièrement dangereuses. Nos
analyses menées à partir de notre base
client Radar nous montre peu ou prou la
même chose. Les vulnérabilités sévères
sontpeunombreuses.Lagrandemajorité
des vulnérabilités non-patchées que
nous avons trouvées étaient de sévérité
faible-moyenne. Il convient toutefois de
garder à l'esprit que les vulnérabilités
sont fréquentes : de très nombreuses
applications clients et serveurs (Adobe
LESFONDEMENTS
D'UNPROGRAMMESOLIDE
DECYBERSÉCURITÉ
Flash, par exemple) en comportent.
Lorsque vous détectez une vulnérabilité
dite sévère, vous devez la corriger
immédiatement. Mais que faire face aux
autres ?
Appliquer un patch, sur chacun de vos
systèmes,pourchaquelogiciel,dèsqu’un
patchestpublié,estpresqueimpossible.
Voilàpourquoilesadministrateurssuivent
descyclespériodiquespourlacorrection
des vulnérabilités les moins sérieuses.
Denouvellesmenacesémergentchaque
jour. Gérer les vulnérabilités et garder le
cap en la matière tient du défi. Il existe
toujoursunenouvellefailleàcorriger,un
nouveau patch à appliquer, de nouveaux
outils de cyber sécurité à évaluer, des
défenses à actualiser…
Prendre le temps de comprendre
les implications de chaque nouvelle
vulnérabilité,leshiérarchiseretplanifierla
gestiondespatchsreprésentebeaucoup
de travail mais cela reste faisable si vous
disposer à la fois de l’expertise humaine
adéquateetdesolutionstechnologiques
suffisamment avancées.
1111
LESFONDEMENTS
D'UNPROGRAMMESOLIDE
DECYBERSÉCURITÉ
Les 20 types de vulnérabilités les plus fréquemment
détectées par F-Secure Radar
La prévalence et la sévérité des vulnérabilités collectées en 2016, auprès de nos clients, à partir de F-Secure Radar
Typedevulnérabilité
1 Configuration SSL
2 SSH
3 Serveurs Web
4 Certificats SSL
5 Interfaces de gestion
6 SMB
7 Application
8 Linux
9 CGI
10 Implémentation SSL
11 Windows
12 Bases de données
13 Applications Web
14 FTP
15 Virtualisation
16 SNMP
17 Serveurs application
18 CISCO
19 SMTP
20 Unix
Sévérité moyenne
Sévérité
Prévalence
Importante
Moyenne
Basse
12
PARTIEII:
UNPROCESSUS
CONTINU
13
Toutcommelacybersécuritéengénéral,la
gestiondesvulnérabilitésestunprocessus
continu.Lesentreprisesprenantlacyber
sécurité au sérieux doivent faire appel à
unesolutiondegestiondesvulnérabilités
proposant plusieurs analyses annuelles,
des rapports complets, un suivi détaillé
et tous les correctifs nécessaires. C’est
essentiel.
La gestion des vulnérabilités ne se limite
pas à passer un scanner annuel et à
corriger les failles détectées. Seuls des
analysesrégulièresetuncontrôleattentif
peuvent vous permettre de trouver vos
vulnérabilités avant qu’un cyber pirate
ne le fasse.
Vouspouvezdéterminerlafréquencedes
analyses à mener en fonction du profil
ANALYSE
de risque de votre entreprise et des
exigencesréglementairesauxquelleselle
doit se conformer. Un seul scan annuel
desvulnérabilitésn’estpassuffisantpour
les entreprises à haut-risque. En suivant
un tel rythme, certaines vulnérabilités
persisteront assez longtemps sur vos
systèmes pour que les cyber pirates
puissent en profiter et attaquer votre
réseau.
La norme PCI DSS (Payment Card
Industry Data Security Standard) exige
des organisations qui traitent des
données relatives aux cartes bancaires
qu’elles exécutent des analyses externes
des vulnérabilités réseau au moins de
manière trimestrielle, mais aussi après
des changements significatifs au sein du
réseau. Par ailleurs, le RGPD (Règlement
Général sur la protection des données),
qui entrera en vigueur le 25 mai 2018,
contraindra les entreprises à investir
dans des mesures proactives destinées
à sécuriser leurs données personnelles.
Avec une solution efficace de gestion
desvulnérabilités,vouspourrezcréerdes
rapports standardisés et personnalisés.
Ces rapports vous aideront à dresser
une liste de priorités pour la gestion des
patchs. Ils vous permettront également
de prouver que vous êtes proactif en
matière de prédiction et de prévention
descybermenacesetdedémontrerque
vousêtesenconformitéaveclesdernières
réglementations (PSI-DSS, RGPD).
14
Cartographiez vos
ressources
Pour disposer d’une vision complète
de votre environnement informatique,
vous devez cartographier et surveiller
vos actifs réseau. Dans le cas contraire,
vos décisions liées à la gestion des
vulnérabilités seront basées sur
des informations tronquées ou
inexactes.Votreorganisationencourra
alors un risque élevé d’intrusion.
Identifiez vos
vulnérabilités
Recherchezlesvulnérabilitésassociées
à des erreurs de configuration, à une
mauvaise gestion des patchs, à des
installations inadaptées, etc. Grâce aux
résultats de ces analyses, vous serez
en mesure de dresser une liste des
vulnérabilités à corriger en priorité.
Notre solution vous fournit également
des recommandations concernant ces
correctifs.
Scannez vos
applications réseau
L’analyse du réseau vous permet de
détecter les vulnérabilités présentes
au sein d’applications commerciales
ou personnalisées. En plus d’un scan
régulier des applications existantes,
nous vous recommandons de
recourir à des analyses réseau durant
le développement de nouvelles
applications(cyclededéveloppement).
ANALYSE
15
Les environnements informatiques
professionnels sont complexes et
évoluent en permanence. De fait, la
surfaced’attaquedesentreprisesdevient
de plus en plus importante. En plus de
rechercher les vulnérabilités au sein des
applications et des systèmes internes,
les organisations doivent disposer d’une
bonne visibilité de leur shadow IT. Elles
doivent cartographier leur surface
d’attaque (notamment les vecteurs
d’attaque, avec une évaluation des
menaces internet et réseau) et corriger
les vulnérabilités associées aux cyber
menaces.
Gartner prédit que, d’ici à 2020, un tiers
des cyber attaques réussies visant les
entreprises cibleront leur shadow IT.
Les entreprises doivent donc veiller à
connaître leur shadow IT, et à créer une
CARTOGRAPHIEDELA
TOPOLOGIERÉSEAU
culture de la cyber sécurité valorisant
la protection plutôt que la gestion de
crise.Lorsque,danslecadredelagestion
des vulnérabilités, vous procédez à la
cartographie de la topologie réseau,
vous devez :
•	 Détecter les systèmes orphelins ou
shadow IT, et identifier les risques
potentiels et autres interdépendances
involontaires
•	 Détecter les sites web infectés par
un malware
•	 Identifier les systèmes connectés à
vous via des hôtes liés aux sites web de
votre organisation
•	 Débusquez les pratiques de
phishing et les violations de marque
pour protéger votre marque et votre
propriété intellectuelle contre les
activités frauduleuses et malveillantes.
•	 Évaluer les pratiques de cyber
sécurité de vos prestataires, lorsque
leur politique en la matière diffère de
la vôtre.
16
Informations relatives à la sécurité
La cartographie de vos actifs réseau intéressera tout
particulièrement votre département de cyber sécurité. Les
responsables informatiques, les experts en cyber sécurité et les
équipes de gestion de crise ont besoin de disposer de rapports
à jour concernant la surface d’attaque de l’entreprise.
CARTOGRAPHIEDELA
TOPOLOGIERÉSEAU
Aspect juridique
Surleplanjuridique,unservicecapabledesurveillerlesactivités
frauduleusesliéesàlamarqueouàlapropriétéintellectuellede
votre entreprise représente un véritable atout.
Évaluation des menaces et tests d'intrusion
Pour toute personne chargée de l’évaluation des
menaces, de l’évaluation de la sécurité réseau ou des tests
d’intrusion au sein de votre entreprise, la cartographie de
la topologie représente un intérêt certain, en particulier
lorsqu’elle est utilisée en synergie avec d’autres outils.
Marketing et développement
Un service de cartographie de la topologie (monitoring et
signalement) vous aide à identifier de nouvelles opportunités
en matière de ventes, de marketing ou de développement,
et de détecter d’éventuelles violations de votre marque.
17
Les vulnérabilités détectées lors des
scans peuvent être nombreuses et vous
submerger. L’essentiel est alors de les
hiérarchiser. Certaines semblent devoir
être corrigées au plus vite mais elles font
enréalitél’objetd’uneattentionexagérée
(médias, facteurs externes) qui ne traduit
pourtant pas nécessairement un risque
élevé pour votre entreprise.
Il convient plutôt de hiérarchiser les
vulnérabilités selon le danger véritable
qu’elles représentent pour vous. Les
organisations doivent, pour ce faire,
utiliser leurs propres critères plutôt que
deselaisserdistraireparlesvulnérabilités
à la Une des médias.
Aucun outil de gestion des vulnérabilités
neconstitueunesolutiontoutefaitecontre
HIÉRARCHISATION
DESPRIORITÉS
lescybermenaces.Uneexpertisehumaine
estnécessairepourinterpréterlesrapports
générés par le logiciel, et intervenir de
manière adaptée. Les solutions vous
permettront certes de classifier les
vulnérabilités et de vous guider, mais
elles ne vous aideront pas à déterminer
par quelle vulnérabilité commencer.
« Pour la plupart
des administrateurs
informatiques,
prendre le temps
de comprendre les
implications de chaque
nouvelle vulnérabilité
détectée est beaucoup
trop demander. »
Andy Patel,
Cyber Security Expert,
F-Secure
18
Une fois les vulnérabilités hiérarchisées, il
faut les corriger. Dans le cas contraire, à
quoiserviraittoutcela?Lalongueurdela
liste des vulnérabilités découvertes peut
se limiter à une page ou ressembler à un
roman-fleuve.Toutefois,trèssouvent,une
seulemesurecorrectivepeutpermettrede
neutraliser un bon nombre de failles. En
toutétatdecause,lesoptionssontlimitées
: soit vous corrigez une vulnérabilité, soit
vous l’ignorez, soit vous appliquez des
mesurescompensatoiresdecontrôlepour
limiter les risques inhérents.
Vousneserezpeut-êtrepasenmesurede
patchertouteslesvulnérabilitésàchaque
cycledevérification,maisvousdevezvous
assurer que vos décisions sont adaptées
auxrisquesencourus.Vousdeveztoujours
pouvoirêtrecapabled’expliquerpourquoi
RÉSOLUTIONDE
PROBLÈMES
certainesvulnérabilitésontétépatchées,
alorsqued’autres,non.Encasd'intrusion,
il vous faut pouvoir justifier de vos efforts
devant les autorités : votre responsabilité
s'en trouvera alors limitée.
Entantqueresponsableencybersécurité,
pensez à répertorier tous les efforts
de correction et à vérifier qu’aucune
vulnérabilité n’a été négligée. Une fois les
correctionsapportées,leréseaudoitêtre
évaluéànouveaupours’assurerquetoutes
lesvulnérabilitésdécouvertesontbienété
éliminées, et que de nouvelles n’ont pas
été introduites.
19
PARTIEIII:
UNE
GESTIONDES
VULNÉRABILITÉS
PLUS
INTELLIGENTE
20
SOLUTIONSDEGESTIONDES
VULNÉRABILITÉS :
COMMENTFAIRESONCHOIX?
Sivoussouhaitezmettreenplaceunegestion
desvulnérabilitésefficace,vousdevezbaser
vosdécisionssurdesfaits.Assurez-vousque
votre prestataire est capable de répondre
à toutes les exigences mentionnées ci-
dessous. Si ce n’est pas le cas, trouvez-en
un autre,qui ensoitcapable.
•	 ViSIBILITÉTOTALE
Indexationetcartographiedetousles
actifs,systèmesetapplicationsprésents
surleréseauetau-delà.
•	 PRODUCTIVITÉRATIONALISÉEET
GESTIONDELASÉCURITÉ
Minimisationdesrisqueset
réponserapideaux cyberindicents:
surveillancedesvulnérabilités,analyses
programméesetautomatisées,
hiérarchisationdescorrectionsetdes
vérifications.
•	 RAPPORTSD’ÉVALUATIONDES
RISQUES
Productionrégulièrederapports
crédiblessurlaposturedecyber
sécuritédevotreentreprise.Capacité
àdémontrerquevotrecybersécurité
estsuffisantepourvouspermettre
d'assurerlacontinuitédevotreactivité,
mêmeencasdeproblème.
•	 RÉDUCTIONDESCOÛTS
Envousévitantdescyberincidents
d'ampleur,lagestiondesvulnérabilités
peutvouspermettrederéduire
significativementvosdépensesen
matièredesécurité.Parailleurs,les
ressourcesclouddeRadarpeuvent
permettreauxorganisations
d’optimiserleursdépenses.
« La meilleure manière
de gérer les cyber
menaces est de les
anticiper, en corrigeant
les vulnérabilités avant
qu’elles ne soient
exploitées,etenréduisant
la surface d’attaque de
l’entreprise. »
Jimmy Ruokolainen,
Vice-Président,
Product Management,
F-Secure
21
SOLUTIONDEGESTIONDES
VULNÉRABILITÉS:
COMMENTFAIRESONCHOIX?
Lacybersécuritén’ariend’évident.C’est
unprocessuscontinu,uneluttesansfin.
Sans une amélioration continue de vos
cyberdéfenses,vousneserezpascapable
de protéger votre entreprise contre les
menaces émergentes telles que les
ransomware.Peuimportelatailledevotre
entreprise, vous devez être conscient
des risques et être prêt à faire face aux
nouvellesmenaces.Toutcommenceavec
une gestion efficace des vulnérabilités
mais ce n’est qu’une pièce du puzzle.
Une approche holistique est essentielle
pour couvrir tous les aspects de la
cyber sécurité : prédiction, protection,
détectionetréponse.
Il est bien moins coûteux d’anticiper
plutôtquededevoirréagirencasdecrise
ou d’incident sérieux. Mettez en place
unegestionefficacedesvulnérabilités,dès
aujourd’hui. Tout cela est trop important
pourattendre.
22
Votreinfrastructureestenmutationpermanente.Lescybermenaceségalement.Pourfaireface,ilvousfautunetechnologiedesécurité
en constante évolution.
L’approche Live Security tire profit de flux continus en renseignements tactiques sur les menaces, recueillis sur le terrain. Vous disposez
ainsi d’une technologie sans cesse améliorée, capable de protéger à tout moment vos appareils.
Découvrez une gestion des vulnérabilités plus intelligente
Découvrez à quoi ressemble vraiment la gestion intelligente des vulnérabilités. Comprenez pourquoi il est essentiel d’allier l’Homme et
la machine pour avoir toujours une longueur d’avance sur les pirates. En savoir plus
LIVESECURITY:
UNEAPPROCHEEN
CONSTANTEÉVOLUTION
f-secure.com
Pour trop d'entreprises, de fabricants et d'utilisateurs, la cyber sécurité
apparaît comme secondaire. Mais quel est l'intérêt d'être connecté
à tout ce qui vous entoure si vos données, votre identité et vos
transactions ne sont pas protégées ?
Vingt-cinq années passées à protéger des millions d'ordinateurs du
monde entier nous l'ont enseigné : tôt ou tard, vous serez frappé par
une cyber attaque. Ce qui fera la différence, c'est votre capacité à gérer
ce cyber incident, et à renforcer votre cyber sécurité.
Pour ce faire, il vous faut pouvoir compter sur les bons experts. Pour
F-Secure, la cyber sécurité est plus qu'un simple produit : c'est une
manière de voir le monde.
Rendez-vous sur notre blog Visions et Sécurité IT pour être à l'avant-
garde en matière de cyber sécurité. Et mieux encore, si vous cherchez
un partenaire de cyber sécurité qui possède toujours une longueur
d'avance, contactez-nous.
NOUSSOMMES
F-SECURE
f-secure.com/fr/
SOURCES
¹ ForresterVendorLandscape:VulnerabilityManagement,2017https://www.forrester.com/report/Vendor+Landscape+Vulnerability+Management+2017/-/E-RES136784
² https://www.tenable.com/blog/2017-trends-in-vulnerability-management-featuring-forrester-research
³ Nopsec, 2016 Outlook: Vulnerability Risk Management and Remediation Trends
⁴ Gartner, It’s Time to Align Your Vulnerability Management Priorities With the Biggest Threats, Craig Lawson, 9 Sept 2016
⁵ The 2016 Verizon Data Breach Report
⁶ Forbes Insights – Enterprises Re-Engineer Security in the Age of Digital Transformation
⁷ http://www.cvedetails.com/
⁸ http://www.gartner.com/smarterwithgartner/top-10-security-predictions-2016/

Contenu connexe

Tendances

Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsRomain Willmann
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...OpinionWay
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021   comment eviter les cyber risques pour les pmeCyber mois 2021   comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeGerard Konan
 

Tendances (20)

Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021   comment eviter les cyber risques pour les pmeCyber mois 2021   comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pme
 

Similaire à Démystifier la gestion des vulnérabilités

Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert Half France
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Cybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'huiCybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'huiWavestone
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...Symantec
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013Pierre SARROLA
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siPROJECT SI
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogITrust - Cybersecurity as a Service
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité Bpifrance
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Scalar Decisions
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securitéssuserc72852
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 

Similaire à Démystifier la gestion des vulnérabilités (20)

Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Cybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'huiCybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'hui
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 

Plus de NRC

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceNRC
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionNRC
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la productionNRC
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableNRC
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenirNRC
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility CenterNRC
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business SuiteNRC
 
Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017NRC
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageNRC
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationNRC
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for BusinessNRC
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureNRC
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorieNRC
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !NRC
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRMNRC
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012NRC
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseNRC
 

Plus de NRC (20)

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerce
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de production
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la production
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensable
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenir
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
 
Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - Sage
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisation
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorie
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRM
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefense
 

Démystifier la gestion des vulnérabilités

  • 2. 2 PARTIE I : LIMITER LES CYBER RISQUES AVEC UNE APPROCHE PROACTIVE ........ 3 Dans le radar des cadres dirigeants................................................................................4 Les fondements d'un programme solide de cyber sécurité ..........................................8 Étude de cas : Wannacry ................................................................................................9 PARTIE II : UN PROCESSUS CONTINU...............................................................12 Analyse.......................................................................................................................... 13 Cartographie de la topologie réseau............................................................................. 15 Hiérarchisation des priorités ........................................................................................17 Résolution de problèmes..............................................................................................18 PARTIE III : UNE GESTION DES VULNÉRABILITÉS PLUS INTELLIGENTE................19 À quoi prêter attention lorsque vous choisissez votre solution ?.................................20 Live security : une approche en constante évolution ...................................................22 Nous sommes F-Secure ................................................................................................23 Sources ........................................................................................................................ 24 TABLEDES MATIÈRES
  • 4. 4 Toutes les entreprises connectées à internet sont vulnérables aux cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-cidoitcouvrirplusieursaspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vouslesprésenteronsdanscerapport. Toutes les entreprises connectées à internet sont vulnérables et la cyber sécurité fait désormais l’objet d’une attention accrue de la part des cadres dirigeants. Les organisations cherchent à assurer la protection de leurs données et font leur possible pour minimiser les risques de cyber attaques. Résultat : elles DANSLERADAR DESCADRESDIRIGEANTS sontdeplusenplusnombreusesàengager un CISO (responsable en cyber sécurité) pour mener à bien ces opérations. En tant que CISO, vous devez pouvoir gérer à la fois les aspects stratégiques, tactiques et opérationnels de la cyber sécurité.Vousdevezégalementposséder unecompétence-clé:lacommunication… Car outre vos missions quotidiennes de cyberprotection,vousdevezvousassurer que les cadres dirigeants et les membres du conseil d’administration sont bien informés du statut de cyber sécurité de leur organisation. Nous vous aidons ici à présenter aux décisionnaires de votre entreprise les risques et priorités en matière de gestion des vulnérabilités. Stratégie Tactique Exécution
  • 5. 5 depuis longtemps déjà : si nous avons apprisunechoseaufildenosinterventions, c’estbienquelaplupartdescyberattaques continuent de tirer profit de ces failles. Les entreprises réalisent enfin que la cyber sécurité ne se résume pas à un simple problème informatique : l’activité de l'entreprise dans son ensemble peut être affectée par un cyber incident. Une intrusion peut porter atteinte à la propriété intellectuelle, aux données confidentielles… Elle peut entraîner la fuite des données privées de vos clients. Les intrusions minent la confiance- clients, elles impactent la productivité, vos bénéfices et votre croissance… Sans oublier votre image de marque, qui s’en trouve affectée sur le long-terme. Selon une récente étude Forrester Global Security, 49% des organisations ont déjà été confrontées à une ou plusieurs intrusions l’année passée. Les données montrent également que les vulnérabilités logicielles constituaient la principale cause de ces intrusions. De toutes les organisations victimes, 56% avaient fait face à une attaque externe, biensouventrenduepossiblegrâceàune vulnérabilité/un kit d’exploit. Nousavonsaidébonnombred’entreprises à reprendre pied après des incidents de cyber sécurité. Nous avons vu l’ampleur des dommages causés par une seule vulnérabilité… mais nous avons aussi constaté à quel point il peut être facile, à l’inverse,d’éviteruneintrusion.Lagestion des vulnérabilités démontre son utilité DANSLERADAR DESCADRESDIRIGEANTS Nous assistons enfin à une prise de conscience.Derécentesintrusions,visant les grandes entreprises, ont marqué les esprits. Les dirigeants commencent à s’intéresser à la cyber sécurité. Face aux lourdes pertes en cas d’intrusion (répercutions financières, réputation affaiblie…), ils souhaitent désormais prendre les précautions qui s'imposent pour éviter ce genre d’incident.
  • 6. 66 DANSLERADAR DESCADRESDIRIGEANTS Phase de reconnaissance PORTE ATTEINTE À VOTRE REPUTATION EXPOSE À DES SANCTIONS AFFECTE LES BÉNÉFICES REQUIERT UNE RÉPONSE PEUT NÉCESSITER UN REMPLACEMENT AFFECTE LA PRODUCTIVITÉ Intrusion Déplacement latéral Obtention des privilèges administrateur INTRUSION
  • 7. 7 Laresponsabilitéenmatièredeprotection des données-clients incombe clairement aux cadres dirigeants. Ils doivent adopter une posture proactive qui protégera les ressourcesdel’entreprise,saréputationet sonactivité.Illeurfautsuivredesformations destinéesàdémystifierlacybersécuritéet à mieux la comprendre. Ils doivent avoir connaissance des cyber défenses de leur entrepriseetsavoircommentréagirencas de cyber attaque ou d’intrusion. Mieux informés, ils exigeront plus de clarté quant aux cyber risques encourus par leur organisation ; ils voudront savoir précisément comment réagir en cas de problème, notamment au regard des nouvellesréglementations.Parallèlement, ils souhaiteront mettre en place une surveillance continue et obtenir des rapports de cyber sécurité réguliers. Il appartient au responsable en cyber sécurité (CISO) de les aider à prendre les décisions qui s'imposent : il doit être capable de leur expliquer précisément comment un cyber pirate peut cibler l'organisation. Il doit aussi déterminer avec précision la surface d’attaque de l'entreprise, pour évaluer les risques et déterminerlesstratégiesàmettreenplace. Enfin, il doit élaborer des rapports clairs, concis, et mettre en place des plans de gestion de crise adaptés. Lesenjeuxsontimportants.Lesentreprises ontbesoind’uneinfrastructuresolide,leur permettant de monitorer et de gérer les risques en cyber sécurité. DANSLERADAR DESCADRESDIRIGEANTS « Pour les entreprises, la cyber sécurité est une lutteconstante.Etl'undes grands défis est souvent de faire comprendre aux cadres-dirigeants que la gestion du cyber risque ne se limite pas à une simple problématique informatique. » Erka Koivunen, CISO, F-Secure
  • 8. 8 plus tôt cette même année ; d’autres étaientconnuesdepuis déjà10ans,voire même même 17 ans. Les entreprises commencent à prendre conscience de cette réalité. Dans une récente enquête Forbes Insights sur la cyber sécurité, 60% des 300 enquêtés (cadres de niveau supérieur) ont déclaré qu'en 2016, leur première initiative avait visé à une « meilleure connaissance des vulnérabilitésetàleurcorrection»,tandis que 30% des enquêtés affirmaient avoir investiavanttoutdanslaprotectioncontre les exploits 0-day. LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ La gestion des vulnérabilités est un processus fondamental en matière de cyber sécurité et de conformité aux réglementations. D’après les résultats de nos recherches, la plupart des cyber intrusions se produisent à cause d’une vulnérabilité logicielle non-corrigée, ou à cause d’une erreur humaine (lorsque, par exemple, un employé tombe dans le piège d’un e-mail de phishing). Unenouvellefailledesécuritéestidentifiée toutes les 90 minutes ; plusieurs milliers d'entreellessontrévéléeschaqueannée.En moyenne,ilfaut103jourspourcorrigerune vulnérabilité*.Àl’inverse,selonGartner,le délaimoyenentrelapublicationd’unpatch etl’apparitiond’unexploitcorrespondant est passé de 45 à seulement 15 jours ces dix dernières années. Gartner remarque également que les vulnérabilités 0-day (lefournisseurn’a alorspasconnaissance de cette faille) représentent seulement 0,4%dutotaldesvulnérabilitésexploitées chaque année depuis 10 ans. Les attaques 0-day font beaucoup parler d’elles mais, in fine, ces vulnérabilités ne représentent qu’un léger pourcentage des failles effectivement exploitées. En réalité, la première méthode d’infection desexploitsconcernedesfaillesconnues. Pourlaplupartd’entreelles,unpatchexiste déjàmaisiln’apasétéinstallé.End’autres termes, les entreprises continuent d’être victimes d’anciennes vulnérabilités. Le rapport Verizon Data Breach 2016 s’est penché sur les vulnérabilités exploitées en2015: certainesavaientétérépertoriées
  • 9. 99 L’attaquemassiveducrypto-ransomwareWannaCryconstitueunparfaitexempledemalwareexploitantunevulnérabilité,avecdesconséquences àgrandeéchelle.Enmai2017,leransomwareWannaCrys’estrépanduàtraverslemonde,paralysantplusieurssecteurscommelestransports oulasanté.Cetteattaquetiraitprofitd’unefailleWindowsServerMessageBlock(SMB),MS17-010,pourtantpatchéeparMicrosoftdeuxmois plus tôt. De nombreux systèmes n’avaient pas installé le patch et d’autres exécutaient le système d’exploitation Windows XP, dont Windows n’assuraitpluslesuivi.Faceàl’ampleurdel’attaque,MicrosoftatoutefoisproposéunpatchspécifiquepourXPetServer2003. Ce ver aurait eu plus de difficultés à se répandre si plus de systèmes étaient régulièrement mis à jour. La télémétrie de l’outil de gestion des vulnérabilités F-Secure Radar, indique que 15% des hôtes exécutent Windows SMB. WannaCry nous montre qu’il est essentiel pour les administrateursdes’assurerqueSMBestcorrectementpatché,etnon-exposéàl’internetpublic. Nous recommandons aux entreprises d’adopter une approche de gestion des vulnérabilités capable de détecter immédiatement les failles systèmes,etdeleshiérarchiserafindecorrigerlesplusdangereusesenpriorité. ÉTUDEDECAS: WANNACRY
  • 10. 10 Sur les réseaux professionnels, les vulnérabilités de sévérité moyenne dominent. Le site internet CVE Details montrequ’enmoyenne,lesvulnérabilités obtiennent un score de dangerosité de 6,8. Sur les plus de 80 000 vulnérabilités répertoriées au sein de leur base de données, 12 000 seulement (soit environ 15%) sont classées comme particulièrement dangereuses. Nos analyses menées à partir de notre base client Radar nous montre peu ou prou la même chose. Les vulnérabilités sévères sontpeunombreuses.Lagrandemajorité des vulnérabilités non-patchées que nous avons trouvées étaient de sévérité faible-moyenne. Il convient toutefois de garder à l'esprit que les vulnérabilités sont fréquentes : de très nombreuses applications clients et serveurs (Adobe LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ Flash, par exemple) en comportent. Lorsque vous détectez une vulnérabilité dite sévère, vous devez la corriger immédiatement. Mais que faire face aux autres ? Appliquer un patch, sur chacun de vos systèmes,pourchaquelogiciel,dèsqu’un patchestpublié,estpresqueimpossible. Voilàpourquoilesadministrateurssuivent descyclespériodiquespourlacorrection des vulnérabilités les moins sérieuses. Denouvellesmenacesémergentchaque jour. Gérer les vulnérabilités et garder le cap en la matière tient du défi. Il existe toujoursunenouvellefailleàcorriger,un nouveau patch à appliquer, de nouveaux outils de cyber sécurité à évaluer, des défenses à actualiser… Prendre le temps de comprendre les implications de chaque nouvelle vulnérabilité,leshiérarchiseretplanifierla gestiondespatchsreprésentebeaucoup de travail mais cela reste faisable si vous disposer à la fois de l’expertise humaine adéquateetdesolutionstechnologiques suffisamment avancées.
  • 11. 1111 LESFONDEMENTS D'UNPROGRAMMESOLIDE DECYBERSÉCURITÉ Les 20 types de vulnérabilités les plus fréquemment détectées par F-Secure Radar La prévalence et la sévérité des vulnérabilités collectées en 2016, auprès de nos clients, à partir de F-Secure Radar Typedevulnérabilité 1 Configuration SSL 2 SSH 3 Serveurs Web 4 Certificats SSL 5 Interfaces de gestion 6 SMB 7 Application 8 Linux 9 CGI 10 Implémentation SSL 11 Windows 12 Bases de données 13 Applications Web 14 FTP 15 Virtualisation 16 SNMP 17 Serveurs application 18 CISCO 19 SMTP 20 Unix Sévérité moyenne Sévérité Prévalence Importante Moyenne Basse
  • 13. 13 Toutcommelacybersécuritéengénéral,la gestiondesvulnérabilitésestunprocessus continu.Lesentreprisesprenantlacyber sécurité au sérieux doivent faire appel à unesolutiondegestiondesvulnérabilités proposant plusieurs analyses annuelles, des rapports complets, un suivi détaillé et tous les correctifs nécessaires. C’est essentiel. La gestion des vulnérabilités ne se limite pas à passer un scanner annuel et à corriger les failles détectées. Seuls des analysesrégulièresetuncontrôleattentif peuvent vous permettre de trouver vos vulnérabilités avant qu’un cyber pirate ne le fasse. Vouspouvezdéterminerlafréquencedes analyses à mener en fonction du profil ANALYSE de risque de votre entreprise et des exigencesréglementairesauxquelleselle doit se conformer. Un seul scan annuel desvulnérabilitésn’estpassuffisantpour les entreprises à haut-risque. En suivant un tel rythme, certaines vulnérabilités persisteront assez longtemps sur vos systèmes pour que les cyber pirates puissent en profiter et attaquer votre réseau. La norme PCI DSS (Payment Card Industry Data Security Standard) exige des organisations qui traitent des données relatives aux cartes bancaires qu’elles exécutent des analyses externes des vulnérabilités réseau au moins de manière trimestrielle, mais aussi après des changements significatifs au sein du réseau. Par ailleurs, le RGPD (Règlement Général sur la protection des données), qui entrera en vigueur le 25 mai 2018, contraindra les entreprises à investir dans des mesures proactives destinées à sécuriser leurs données personnelles. Avec une solution efficace de gestion desvulnérabilités,vouspourrezcréerdes rapports standardisés et personnalisés. Ces rapports vous aideront à dresser une liste de priorités pour la gestion des patchs. Ils vous permettront également de prouver que vous êtes proactif en matière de prédiction et de prévention descybermenacesetdedémontrerque vousêtesenconformitéaveclesdernières réglementations (PSI-DSS, RGPD).
  • 14. 14 Cartographiez vos ressources Pour disposer d’une vision complète de votre environnement informatique, vous devez cartographier et surveiller vos actifs réseau. Dans le cas contraire, vos décisions liées à la gestion des vulnérabilités seront basées sur des informations tronquées ou inexactes.Votreorganisationencourra alors un risque élevé d’intrusion. Identifiez vos vulnérabilités Recherchezlesvulnérabilitésassociées à des erreurs de configuration, à une mauvaise gestion des patchs, à des installations inadaptées, etc. Grâce aux résultats de ces analyses, vous serez en mesure de dresser une liste des vulnérabilités à corriger en priorité. Notre solution vous fournit également des recommandations concernant ces correctifs. Scannez vos applications réseau L’analyse du réseau vous permet de détecter les vulnérabilités présentes au sein d’applications commerciales ou personnalisées. En plus d’un scan régulier des applications existantes, nous vous recommandons de recourir à des analyses réseau durant le développement de nouvelles applications(cyclededéveloppement). ANALYSE
  • 15. 15 Les environnements informatiques professionnels sont complexes et évoluent en permanence. De fait, la surfaced’attaquedesentreprisesdevient de plus en plus importante. En plus de rechercher les vulnérabilités au sein des applications et des systèmes internes, les organisations doivent disposer d’une bonne visibilité de leur shadow IT. Elles doivent cartographier leur surface d’attaque (notamment les vecteurs d’attaque, avec une évaluation des menaces internet et réseau) et corriger les vulnérabilités associées aux cyber menaces. Gartner prédit que, d’ici à 2020, un tiers des cyber attaques réussies visant les entreprises cibleront leur shadow IT. Les entreprises doivent donc veiller à connaître leur shadow IT, et à créer une CARTOGRAPHIEDELA TOPOLOGIERÉSEAU culture de la cyber sécurité valorisant la protection plutôt que la gestion de crise.Lorsque,danslecadredelagestion des vulnérabilités, vous procédez à la cartographie de la topologie réseau, vous devez : • Détecter les systèmes orphelins ou shadow IT, et identifier les risques potentiels et autres interdépendances involontaires • Détecter les sites web infectés par un malware • Identifier les systèmes connectés à vous via des hôtes liés aux sites web de votre organisation • Débusquez les pratiques de phishing et les violations de marque pour protéger votre marque et votre propriété intellectuelle contre les activités frauduleuses et malveillantes. • Évaluer les pratiques de cyber sécurité de vos prestataires, lorsque leur politique en la matière diffère de la vôtre.
  • 16. 16 Informations relatives à la sécurité La cartographie de vos actifs réseau intéressera tout particulièrement votre département de cyber sécurité. Les responsables informatiques, les experts en cyber sécurité et les équipes de gestion de crise ont besoin de disposer de rapports à jour concernant la surface d’attaque de l’entreprise. CARTOGRAPHIEDELA TOPOLOGIERÉSEAU Aspect juridique Surleplanjuridique,unservicecapabledesurveillerlesactivités frauduleusesliéesàlamarqueouàlapropriétéintellectuellede votre entreprise représente un véritable atout. Évaluation des menaces et tests d'intrusion Pour toute personne chargée de l’évaluation des menaces, de l’évaluation de la sécurité réseau ou des tests d’intrusion au sein de votre entreprise, la cartographie de la topologie représente un intérêt certain, en particulier lorsqu’elle est utilisée en synergie avec d’autres outils. Marketing et développement Un service de cartographie de la topologie (monitoring et signalement) vous aide à identifier de nouvelles opportunités en matière de ventes, de marketing ou de développement, et de détecter d’éventuelles violations de votre marque.
  • 17. 17 Les vulnérabilités détectées lors des scans peuvent être nombreuses et vous submerger. L’essentiel est alors de les hiérarchiser. Certaines semblent devoir être corrigées au plus vite mais elles font enréalitél’objetd’uneattentionexagérée (médias, facteurs externes) qui ne traduit pourtant pas nécessairement un risque élevé pour votre entreprise. Il convient plutôt de hiérarchiser les vulnérabilités selon le danger véritable qu’elles représentent pour vous. Les organisations doivent, pour ce faire, utiliser leurs propres critères plutôt que deselaisserdistraireparlesvulnérabilités à la Une des médias. Aucun outil de gestion des vulnérabilités neconstitueunesolutiontoutefaitecontre HIÉRARCHISATION DESPRIORITÉS lescybermenaces.Uneexpertisehumaine estnécessairepourinterpréterlesrapports générés par le logiciel, et intervenir de manière adaptée. Les solutions vous permettront certes de classifier les vulnérabilités et de vous guider, mais elles ne vous aideront pas à déterminer par quelle vulnérabilité commencer. « Pour la plupart des administrateurs informatiques, prendre le temps de comprendre les implications de chaque nouvelle vulnérabilité détectée est beaucoup trop demander. » Andy Patel, Cyber Security Expert, F-Secure
  • 18. 18 Une fois les vulnérabilités hiérarchisées, il faut les corriger. Dans le cas contraire, à quoiserviraittoutcela?Lalongueurdela liste des vulnérabilités découvertes peut se limiter à une page ou ressembler à un roman-fleuve.Toutefois,trèssouvent,une seulemesurecorrectivepeutpermettrede neutraliser un bon nombre de failles. En toutétatdecause,lesoptionssontlimitées : soit vous corrigez une vulnérabilité, soit vous l’ignorez, soit vous appliquez des mesurescompensatoiresdecontrôlepour limiter les risques inhérents. Vousneserezpeut-êtrepasenmesurede patchertouteslesvulnérabilitésàchaque cycledevérification,maisvousdevezvous assurer que vos décisions sont adaptées auxrisquesencourus.Vousdeveztoujours pouvoirêtrecapabled’expliquerpourquoi RÉSOLUTIONDE PROBLÈMES certainesvulnérabilitésontétépatchées, alorsqued’autres,non.Encasd'intrusion, il vous faut pouvoir justifier de vos efforts devant les autorités : votre responsabilité s'en trouvera alors limitée. Entantqueresponsableencybersécurité, pensez à répertorier tous les efforts de correction et à vérifier qu’aucune vulnérabilité n’a été négligée. Une fois les correctionsapportées,leréseaudoitêtre évaluéànouveaupours’assurerquetoutes lesvulnérabilitésdécouvertesontbienété éliminées, et que de nouvelles n’ont pas été introduites.
  • 20. 20 SOLUTIONSDEGESTIONDES VULNÉRABILITÉS : COMMENTFAIRESONCHOIX? Sivoussouhaitezmettreenplaceunegestion desvulnérabilitésefficace,vousdevezbaser vosdécisionssurdesfaits.Assurez-vousque votre prestataire est capable de répondre à toutes les exigences mentionnées ci- dessous. Si ce n’est pas le cas, trouvez-en un autre,qui ensoitcapable. • ViSIBILITÉTOTALE Indexationetcartographiedetousles actifs,systèmesetapplicationsprésents surleréseauetau-delà. • PRODUCTIVITÉRATIONALISÉEET GESTIONDELASÉCURITÉ Minimisationdesrisqueset réponserapideaux cyberindicents: surveillancedesvulnérabilités,analyses programméesetautomatisées, hiérarchisationdescorrectionsetdes vérifications. • RAPPORTSD’ÉVALUATIONDES RISQUES Productionrégulièrederapports crédiblessurlaposturedecyber sécuritédevotreentreprise.Capacité àdémontrerquevotrecybersécurité estsuffisantepourvouspermettre d'assurerlacontinuitédevotreactivité, mêmeencasdeproblème. • RÉDUCTIONDESCOÛTS Envousévitantdescyberincidents d'ampleur,lagestiondesvulnérabilités peutvouspermettrederéduire significativementvosdépensesen matièredesécurité.Parailleurs,les ressourcesclouddeRadarpeuvent permettreauxorganisations d’optimiserleursdépenses. « La meilleure manière de gérer les cyber menaces est de les anticiper, en corrigeant les vulnérabilités avant qu’elles ne soient exploitées,etenréduisant la surface d’attaque de l’entreprise. » Jimmy Ruokolainen, Vice-Président, Product Management, F-Secure
  • 21. 21 SOLUTIONDEGESTIONDES VULNÉRABILITÉS: COMMENTFAIRESONCHOIX? Lacybersécuritén’ariend’évident.C’est unprocessuscontinu,uneluttesansfin. Sans une amélioration continue de vos cyberdéfenses,vousneserezpascapable de protéger votre entreprise contre les menaces émergentes telles que les ransomware.Peuimportelatailledevotre entreprise, vous devez être conscient des risques et être prêt à faire face aux nouvellesmenaces.Toutcommenceavec une gestion efficace des vulnérabilités mais ce n’est qu’une pièce du puzzle. Une approche holistique est essentielle pour couvrir tous les aspects de la cyber sécurité : prédiction, protection, détectionetréponse. Il est bien moins coûteux d’anticiper plutôtquededevoirréagirencasdecrise ou d’incident sérieux. Mettez en place unegestionefficacedesvulnérabilités,dès aujourd’hui. Tout cela est trop important pourattendre.
  • 22. 22 Votreinfrastructureestenmutationpermanente.Lescybermenaceségalement.Pourfaireface,ilvousfautunetechnologiedesécurité en constante évolution. L’approche Live Security tire profit de flux continus en renseignements tactiques sur les menaces, recueillis sur le terrain. Vous disposez ainsi d’une technologie sans cesse améliorée, capable de protéger à tout moment vos appareils. Découvrez une gestion des vulnérabilités plus intelligente Découvrez à quoi ressemble vraiment la gestion intelligente des vulnérabilités. Comprenez pourquoi il est essentiel d’allier l’Homme et la machine pour avoir toujours une longueur d’avance sur les pirates. En savoir plus LIVESECURITY: UNEAPPROCHEEN CONSTANTEÉVOLUTION
  • 23. f-secure.com Pour trop d'entreprises, de fabricants et d'utilisateurs, la cyber sécurité apparaît comme secondaire. Mais quel est l'intérêt d'être connecté à tout ce qui vous entoure si vos données, votre identité et vos transactions ne sont pas protégées ? Vingt-cinq années passées à protéger des millions d'ordinateurs du monde entier nous l'ont enseigné : tôt ou tard, vous serez frappé par une cyber attaque. Ce qui fera la différence, c'est votre capacité à gérer ce cyber incident, et à renforcer votre cyber sécurité. Pour ce faire, il vous faut pouvoir compter sur les bons experts. Pour F-Secure, la cyber sécurité est plus qu'un simple produit : c'est une manière de voir le monde. Rendez-vous sur notre blog Visions et Sécurité IT pour être à l'avant- garde en matière de cyber sécurité. Et mieux encore, si vous cherchez un partenaire de cyber sécurité qui possède toujours une longueur d'avance, contactez-nous. NOUSSOMMES F-SECURE f-secure.com/fr/
  • 24. SOURCES ¹ ForresterVendorLandscape:VulnerabilityManagement,2017https://www.forrester.com/report/Vendor+Landscape+Vulnerability+Management+2017/-/E-RES136784 ² https://www.tenable.com/blog/2017-trends-in-vulnerability-management-featuring-forrester-research ³ Nopsec, 2016 Outlook: Vulnerability Risk Management and Remediation Trends ⁴ Gartner, It’s Time to Align Your Vulnerability Management Priorities With the Biggest Threats, Craig Lawson, 9 Sept 2016 ⁵ The 2016 Verizon Data Breach Report ⁶ Forbes Insights – Enterprises Re-Engineer Security in the Age of Digital Transformation ⁷ http://www.cvedetails.com/ ⁸ http://www.gartner.com/smarterwithgartner/top-10-security-predictions-2016/