Description
Pour comprendre ce qu'est la stratégie de gestion de vulnérabilité.
EPSS : https://www.first.org/epss/
Patrwol : https://patrowl.io
CVE : https://cve.mitre.org
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour Mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui ne comprennent rien. Lors du numéro précédent, Playtime, nous avons discuté dans le détail de ce qu'est une vulnérabilité et surtout d'essayer de comprendre, sur le fond, comment ces vulnérabilités peuvent être exploitées. Et vous avez très probablement compris depuis cet épisode que toute interaction peut et va être utilisée pour exploiter ces vulnérabilités. Dès lors, vous avez un choix à faire. Soit limiter au maximum les interactions avec votre système d'information, ce qui le rendra, de fait, beaucoup moins utile, soit vous vous lancez dans la recherche des vulnérabilités de votre système d'information. Je ne t'offre que la vérité, rien de plus. Si vous avez choisi la seconde option, la question que vous vous posez très certainement, c'est comment trouver la vulnérabilité ? Eh bien, c'est un peu comme dans le film de Jacques Tati, Jour de fête, où le facteur François, interprété par Jacques Tati lui-même, découvre en regardant à travers le trou d'un chapiteau un reportage cinématographique sur les agents de la Poste aux Etats-Unis. Ce reportage montre des agents de la Poste américaine distribuant le courrier par... tous les moyens possibles, avions, bateaux et même hélicoptères. Ce qui donnera d'ailleurs lieu à l'une des mimiques du film, allez hop, hélicoptère. Au-delà de la fascination qu'éprouve ce facteur, un peu naïf, envers la fameuse technologie américaine, il faut comprendre ici que notre vision des choses ne dépend bien souvent que de la lorgnette qu'on utilise pour la voir. Et cette lorgnette peut prendre des formes multiples quand on parle de vulnérabilité. L'un des premiers outils qui est généralement mis en œuvre et ce qu'on appelle un scanner de vulnérabilité. Les scanners de vulnérabilité jouent un rôle crucial dans l'identification et l'évaluation des failles de sécurité potentielles dans les systèmes d'information, les réseaux et les applications. Le processus débute par la configuration de l'analyse où l'utilisateur spécifie les cibles à examiner, qu'il s'agisse d'adresse IP, de plage d'adresse IP, de nom de domaine ou d'URL. On comprend que pour cette étape, il est crucial d'avoir un inventaire. exhaustif des éléments qui composent votre infrastructure. Bien sûr, il n'est pas rare de tomber sur une machine qui remonte dans le scan, mais qui n'a jamais été identifiée auparavant. Dans la grande majorité des cas, c'est simplement qu'on a oublié d'ajouter cette machine à l'inventaire. Mais il peut arriver que cette machine soit complètement inconnue au bataillon. Dans ce cas, la situation est bien plus grave. Ensuite, le scanner se met au travail pour découvrir les différents composants en collectant des informations sur les services en cours d'exécution, les ports ouverts, les protocoles utilisés, Et bien plus encore. Cette étape est cruciale car elle permet de dresser un portrait complet des ressources à analyser. C'est alors que le cœur du processus commence. L'analyse des vulnérabilités. Le scanner s'appuie sur une base de données de vulnérabilité connue pour identifier les failles potentielles dans les actifs analysés. Cette base de données est une véritable mine d'or d'informations, contenant des signatures de vulnérabilité qui sont en fait des descriptions détaillées des failles de sécurité. ainsi que des méthodes pour les exploiter ou les atténuer. Lorsqu'on parle de scanner de vulnérabilité, il y a principalement deux approches qu'on peut utiliser, les scans non authentifiés et les scans authentifiés. Pour le scan non authentifié, c'est un peu comme si un attaquant externe tentait de trouver des failles dans un système. Le scanner n'a pas d'accès privilégié au système cible, il se base simplement sur les réponses du système à différentes requêtes du réseau. C'est un bon moyen d'identifier les vulnérabilités qui sont visibles depuis l'extérieur du réseau, comme les failles dans les services web exposés par exemple. Par contre, ça a ses limites, puisqu'il ne peut pas accéder à des vulnérabilités internes qui nécessiteraient un accès authentifié pour être identifié. D'un autre côté, on a donc le scan authentifié, où le scanner a un accès privilégié au système cible, on lui donne généralement des identifiants de connexion valides, ce qui lui permet d'examiner des fichiers système, les configurations et les paramètres internes pour dénicher des vulnérabilités qui ne seraient pas visibles depuis le réseau. Ça donne une vue beaucoup plus complète des failles potentielles d'un système, mais c'est aussi plus complexe à configurer et ça nécessite d'avoir les autorisations appropriées. Il y a généralement un rapport de 1 à 100, voire 1 à 1000, entre les deux lorgnettes pardon méthodes, entre le scan authentifié et node authentifié. C'est-à-dire que vous allez découvrir beaucoup plus de failles avec la seconde méthode qu'avec la première. Après l'identification des vulnérabilités, vient l'étape d'évaluation de ces derniers. Le scanner évalue l'impact potentiel et la gravité de chaque vulnérabilité identifiée en prenant en compte des facteurs tels que la facilité d'exploitation, le niveau d'accès requis et l'impact sur la confidentialité, l'intégrité et la disponibilité des données. Mais attention, il arrive que les scanners vous induisent en erreur. C'est ce qu'on appelle des faux positifs. Dans ce cas, le scanner va vous indiquer des vulnérabilités alors que ce n'est pas le cas. Il y a aussi le cas, heureusement très rare, des faux négatifs. C'est-à-dire que dans ce cas, le scanner ne détecte pas la vulnérabilité alors qu'elle est bien présente. C'est le cas, somme toute assez normale, des failles de sécurité dites 0D. C'est-à-dire des failles de sécurité qui ne sont pas encore connues ou reconnues par les chercheurs de cybersécurité, mais qui sont potentiellement exploitables. Généralement, ce genre de failles se revend au marché noir. Dans la grande majorité des cas, les vulnérabilités connues sont référencées par un code unique, le CVE. Le CVE, ou Common Vulnerabilities and Exposure, c'est un système qui donne une sorte de carte d'identité à chaque vulnérabilité, et cette base d'informations est publique. Chaque vulnérabilité se voit attribuée à un numéro unique, le CVE Identifier, qui permet aux professionnels de la cybersécurité et au public de partager des informations de manière claire et cohérente. Imaginez que vous trouviez un problème de sécurité dans un logiciel que vous utilisiez. Disons une faille qui pourrait permettre à un attaquant de prendre le contrôle de votre ordinateur. Si cette faille est reconnue comme une vulnérabilité, elle sera ajoutée à la base de données des CVE et se verra attribuer à un identifiant unique. Ainsi, lorsqu'on parle de cette faille, on peut simplement se référer à son numéro de CVE et tout le monde saura de quoi il s'agit, sans avoir besoin de longues explications. Le système CVE est géré par le Maitre Corporation, qui est une organisation à but non lucratif qui travaille avec différentes agences gouvernementales et d'autres partenaires pour améliorer la sécurité informatique. Le but du CVE est de faciliter la communication et la collaboration entre les différentes organisations et individus qui travaillent à protéger les systèmes d'information, contre les attaques malveillantes bien évidemment. A noter que si l'administration américaine décide de stopper ses activités, c'est ce qui arrive en cas de blackout budgétaire, et bien plus aucun code CVE ne sera attribué. Le CVSS, ou Common Vulnerability Scoring System, c'est un peu comme une échelle qui permet d'évaluer l'impact et la gravité de la vulnérabilité. Quand une vulnérabilité est découverte, il y a beaucoup de facteurs à prendre en compte pour comprendre à quel point elle est sérieuse. Par exemple, est-ce qu'il est facile pour un attaquant d'exploiter cette vulnérabilité ? Quel niveau d'accès l'attaquant peut-il obtenir en exploitant cette faille ? Quel type de dégâts pourrait-il causer ? Le CVSS prend en compte tous ces éléments et bien d'autres encore pour donner à chaque vulnérabilité un score entre 0 et 10. Plus le score est élevé, plus la vulnérabilité est jugée grave. C'est un outil super utile pour les professionnels de la sécurité et les administrateurs de systèmes parce que ça leur permet de prioriser les vulnérabilités et de décider lesquelles doivent être corrigées en premier. Si vous avez deux vulnérabilités, mais que l'une a un score CVSS de 9 et l'autre un score de 3, vous savez que vous devez vous occuper de la première en priorité. Le CVSS est un peu comme une boussole qui aide les gens à naviguer dans le monde parfois compliqué de la cybersécurité et à prendre des décisions éclairées pour protéger leur système. Mais on verra plus tard que cette boussole n'est peut-être pas la meilleure dans toutes les circonstances. Tous ces éléments sont ensuite consignés dans un rapport qui est présenté à l'utilisateur. Ce rapport est une véritable mine d'informations contenant des détails sur chaque vulnérabilité identifiée, sa gravité et des recommandations pour la mitigation ou la correction. Mais le travail ne s'arrête pas là. Une fois que les utilisateurs ont pris connaissance du rapport et pris les mesures nécessaires pour corriger les vulnérabilités, le scanner pourra être utilisé à nouveau pour valider que les failles ont bien été résolues de manière satisfaisante. Et c'est là où il est essentiel de faire le bon choix. Dans un monde idéal, vous devriez arrêter les systèmes concernés pour appliquer les correctifs nécessaires. Mais ça, c'est dans un monde idéal. En fait, dans la réalité, vous allez devoir prendre en compte les contraintes du métier. Certains systèmes ont des fenêtres de maintien. assez courte et doivent rester disponibles reste du temps alors comment faire Comment corriger des vulnérabilités et en même temps prendre en compte des contraintes purement business ? Eh bien, c'est l'essence même de la gestion des vulnérabilités. Pour prendre la meilleure décision, il faut avoir la meilleure vision du risque. Et c'est là où les différents facteurs du rapport de scan sont les plus importants. D'une part, il faut prendre en compte l'exposition au risque. Si une faille existe sur un site web accessible du monde entier, le degré d'urgence ne sera pas le même pour une vulnérabilité au fin fond de votre système d'information. Il y a bien entendu le niveau de risque de la faille elle-même, qui est généralement évalué avec son CVSS. Je vous rappelle que plus le score CVSS est haut et plus le risque est élevé. Mais il existe encore d'autres facteurs à prendre en compte, par exemple la popularité de cette faille. J'entends par là que si vous avez deux failles de sécurité avec un CVSS identique, c'est-à-dire que l'impact sur votre système sera le même. Si l'une de ces failles est très populaire, c'est-à-dire qu'il existe des kits d'exploitation directement accessibles sur Internet, alors il sera fort probable que cette faille devra être corrigée en priorité. Dans cet exemple, on voit bien que le CVSS est une analyse statique de l'impact, mais qu'il n'évoluera pas avec le temps. Pour vous aider à mieux percevoir le risque de manière dynamique, il y a le EPSS. Le EPSS, ou Exploited Prediction Scoring System, c'est une manière innovante de voir à quel point une vulnérabilité est susceptible d'être exploitée par des attaquants. Contrairement à d'autres systèmes qui se concentrent sur l'impact ou la gravité d'une vulnérabilité, le EPSS essaie de prédire la probabilité que cette vulnérabilité soit activement utilisée par des attaquants. C'est un peu comme si vous aviez une boule de cristal qui vous permet de voir le futur. Sauf qu'au lieu de prédire des événements de votre vie personnelle, le EPSS utilise des algorithmes et des données historiques pour estimer les chances qu'une vulnérabilité spécifique soit exploitée. Il prend en compte une variété de facteurs, comme l'âge de la vulnérabilité, le type de logiciel affecté, et même les tendances actuelles en matière de cybercriminalité. Toutes ces informations sont ensuite traitées pour donner à chaque vulnérabilité un score entre 0 et 1. Ou un score proche de 1 signifie qu'il y a une forte probabilité que les vulnérabilités soient exploitées. C'est souvent le cas quand une vulnérabilité est militarisée. On dit qu'elle est weaponized dans le jargon. Cela veut dire qu'il existe du code qui permet de lancer des attaques massives et automatiques à travers Internet. Le EPSS est un outil précieux pour les professionnels de la sécurité car il les aide à prioriser les vulnérabilités en fonction de leurs risques réels. Si une vulnérabilité a un score EPSS élevé, ça signifie qu'elle devrait être corrigée en priorité, car il y a de fortes chances qu'elle soit utilisée par des attaquants dans un avenir très proche. Vous avez maintenant une bonne perception des vulnérabilités, mais est-ce que vous avez pour autant une vue exhaustive de toutes les vulnérabilités existantes de votre système d'information ? Et malheureusement, non. Et ce, pour plusieurs raisons. La première, c'est que les scanners de vulnérabilité ne détectent que les vulnérabilités connues, c'est-à-dire qu'ils ne peuvent pas trouver des vulnérabilités de manière spontanée. Ensuite, il faut se souvenir qu'à chaque fois que l'humain intervient, il peut créer des failles dans le système. C'est vrai pour le code qu'il écrit, mais aussi quand il change des configurations dans un environnement. Et c'est là qu'un autre acteur peut intervenir dans la gestion des vulnérabilités, les pentesters. Le Pentester est un peu comme un détective privé du monde numérique. Leur job est de se glisser dans la peau d'un attaquant et d'essayer de trouver des failles de sécurité dans le système. Tu souhaites que j'envoie quelqu'un en particulier au César ? Non, qui tu veux ? Un malin, quelqu'un qui se glisse partout. Carte à puce ? Oui. César, voici carte à puce. Notre meilleur espionne. A.V. César, passe-pérobustesse. Car Tapu, c'est une professionnelle. C'est la reine du camouflage. Exécution. Quand je regarde comme ça, on me voit. Si je regarde comme ça, on me voit plus. On me voit, on me voit plus. On me voit, on me voit plus. On me voit plus, on me voit. On me voit plus, on me voit plus. On me voit, on me voit plus. On me voit un peu, on me voit plus. Ah c'est surprenant ! Ah oui oui ! Ils utilisent une variété d'outils et de techniques pour scanner les réseaux, les applications et les systèmes d'une organisation à la recherche de vulnérabilités qui pourraient être exploitées par des attaquants malveillants. Mais contrairement aux vrais attaquants, l'objectif d'un pentester n'est pas de causer du tort, mais plutôt d'aider les organisations à renforcer leur sécurité. Une fois qu'ils ont terminé leur analyse... Les pentesters rédigent un rapport détaillé qui explique les vulnérabilités qu'ils ont trouvées, comment ils ont réussi à les exploiter et ce que l'organisation peut faire pour les corriger. C'est un peu comme s'ils donnaient à l'organisation une feuille de route pour améliorer sa sécurité et se protéger contre les attaquants futurs. Si le sujet vous intéresse, je vous conseille d'écouter l'épisode hors série numéro 4, consacré au test d'intrusion avec Brice Augra de la société BZ Hunt. Cette méthode, certes très efficace, a un désavantage, c'est que cela ne vous donne une vision qu'un instant T. Dès lors qu'une nouvelle version d'un logiciel sera mise en place, ou que quelqu'un interviendra sur l'infrastructure, vous allez potentiellement avoir de nouvelles failles apparaître. Il existe dans ce cas deux autres méthodes possibles. La première est d'avoir un programme de bug bounty. Le bug bounty, c'est un peu comme une chasse au trésor pour les hackers éthiques. Les organisations mettent en place des programmes de bug bounty pour encourager des chercheurs en sécurité à trouver et à signaler des vulnérabilités dans leur système. En retour, les chercheurs sont récompensés, souvent financièrement, pour leur travail. Les programmes de bug bounty sont un excellent moyen pour les organisations de renforcer leur sécurité. Ils permettent aux chercheurs en sécurité du monde entier de collaborer et de partager leurs connaissances pour aider à identifier et à corriger des vulnérabilités avant qu'elles ne puissent être exploitées par des attaquants malveillants. En somme, le bug bounty sont des approches gagnant-gagnant. Les organisations bénéficient de l'expertise des chercheurs en cybersécurité et les chercheurs sont récompensés pour leur travail acharné. C'est une manière collaborative et innovante de renforcer la cybersécurité d'une organisation. Il existe une alternative, plus récente celle-ci, qui se base sur une approche hybride. Un fournisseur externe va lancer des attaques automatisées, et ce de manière continue, contre votre infrastructure. C'est un peu comme si vous aviez un pentest permanent. Mais bien évidemment, tout ne peut pas être totalement automatisé, et un humain, un pentester en chair et en os, reprendra la main en cas de suspicion. Cette méthode permet d'automatiser un grand nombre de contrôles et de faire intervenir l'humain que quand cela est vraiment nécessaire. Si vous voulez un exemple concret de cette technique, vous pouvez regarder les services proposés par la société française PATROL, le lien sera en description. Si on résume un peu les différentes lorgnettes qui sont mises à notre disposition, nous avons les scans de vulnérabilité, qui sont un outil très utile pour dégrossir la pierre, particulièrement si les scans s'effectuent en mode connecté. Ensuite, il y a les pentesters que vous pouvez impliquer sur des périmètres plus petits, et qui vont vous donner une vision beaucoup plus fine des vulnérabilités. Vous pouvez aussi traiter des périmètres fortement exposés, comme un site web, avec un programme de bug bounty par exemple, ou avec une approche hybride. Vous pouvez aussi donner plus de perspectives à vos choix en prenant en compte des facteurs tels que la facilité d'exploitation et surtout la popularité de certains exploits. La vraie difficulté réside d'une part dans le fait d'avoir la vision la plus exhaustive possible des failles de sécurité, qu'elles soient parfaitement catégorisées ou non, mais aussi dans la complexité de la résolution. Parfois, corriger une vulnérabilité ne nécessite que d'appliquer un correctif, mais parfois, ça nécessite de changer beaucoup plus de choses. C'est là qu'est tout l'art de la gestion des vulnérabilités. Comprendre le degré d'urgence, pas seulement en se basant sur le CVSS, mais avec votre propre perception du risque, mais aussi comprendre l'infrastructure à protéger. Encore une fois, la sécurité ne dépend pas de l'outil mis en œuvre, mais surtout dans l'intelligence de ceux qui l'utilisent. Je ne résisterai pas à l'envie de vous raconter une petite anecdote à propos du film Jour de Fête. A l'origine, Jacques Tati a l'intention de réaliser le film en couleurs, ce qui était révolutionnaire pour l'époque car la majorité des films étaient encore tournés en noir et blanc. Il avait par exemple prévu que les habitants du village soient tous habillés avec des couleurs sombres, alors que les éléments du décor de la fête foraine le soient avec des couleurs vives, le but étant de bien évidemment accentuer le contraste. Pour réaliser ce projet ambitieux, Tati a fait appel à une nouvelle technologie de film en couleur appelée Thompson Colors. Cependant, en raison de problèmes techniques et de contraintes budgétaires, la majorité du film a finalement été tourné en noir et blanc, avec seulement quelques scènes en couleur. En 1964, quelques plans ont été colorisés à la main, afin de se rapprocher du film tel que Jacques Tati l'avait imaginé. En 1995, la petite fille de Jacques Tati, Sophie Tati-Chef, a réussi à restaurer le film en couleur à partir des rushs originaux, permettant enfin aux spectateurs de voir Jour de Fête comme Tati l'avait imaginé. La version en couleur du film offre une expérience visuelle riche et vibrante qui ajoute une nouvelle dimension à l'œuvre de Tati. D'une certaine manière, les différents montages de ce film montrent différents points de vue aux spectateurs et ainsi changent sa perception, un peu comme les différentes méthodes pour détecter des vulnérabilités. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et surtout à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un nouveau vieux mort, bien plus sérieux que ça. Merci.
Description
Pour comprendre ce qu'est la stratégie de gestion de vulnérabilité.
EPSS : https://www.first.org/epss/
Patrwol : https://patrowl.io
CVE : https://cve.mitre.org
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour Mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui ne comprennent rien. Lors du numéro précédent, Playtime, nous avons discuté dans le détail de ce qu'est une vulnérabilité et surtout d'essayer de comprendre, sur le fond, comment ces vulnérabilités peuvent être exploitées. Et vous avez très probablement compris depuis cet épisode que toute interaction peut et va être utilisée pour exploiter ces vulnérabilités. Dès lors, vous avez un choix à faire. Soit limiter au maximum les interactions avec votre système d'information, ce qui le rendra, de fait, beaucoup moins utile, soit vous vous lancez dans la recherche des vulnérabilités de votre système d'information. Je ne t'offre que la vérité, rien de plus. Si vous avez choisi la seconde option, la question que vous vous posez très certainement, c'est comment trouver la vulnérabilité ? Eh bien, c'est un peu comme dans le film de Jacques Tati, Jour de fête, où le facteur François, interprété par Jacques Tati lui-même, découvre en regardant à travers le trou d'un chapiteau un reportage cinématographique sur les agents de la Poste aux Etats-Unis. Ce reportage montre des agents de la Poste américaine distribuant le courrier par... tous les moyens possibles, avions, bateaux et même hélicoptères. Ce qui donnera d'ailleurs lieu à l'une des mimiques du film, allez hop, hélicoptère. Au-delà de la fascination qu'éprouve ce facteur, un peu naïf, envers la fameuse technologie américaine, il faut comprendre ici que notre vision des choses ne dépend bien souvent que de la lorgnette qu'on utilise pour la voir. Et cette lorgnette peut prendre des formes multiples quand on parle de vulnérabilité. L'un des premiers outils qui est généralement mis en œuvre et ce qu'on appelle un scanner de vulnérabilité. Les scanners de vulnérabilité jouent un rôle crucial dans l'identification et l'évaluation des failles de sécurité potentielles dans les systèmes d'information, les réseaux et les applications. Le processus débute par la configuration de l'analyse où l'utilisateur spécifie les cibles à examiner, qu'il s'agisse d'adresse IP, de plage d'adresse IP, de nom de domaine ou d'URL. On comprend que pour cette étape, il est crucial d'avoir un inventaire. exhaustif des éléments qui composent votre infrastructure. Bien sûr, il n'est pas rare de tomber sur une machine qui remonte dans le scan, mais qui n'a jamais été identifiée auparavant. Dans la grande majorité des cas, c'est simplement qu'on a oublié d'ajouter cette machine à l'inventaire. Mais il peut arriver que cette machine soit complètement inconnue au bataillon. Dans ce cas, la situation est bien plus grave. Ensuite, le scanner se met au travail pour découvrir les différents composants en collectant des informations sur les services en cours d'exécution, les ports ouverts, les protocoles utilisés, Et bien plus encore. Cette étape est cruciale car elle permet de dresser un portrait complet des ressources à analyser. C'est alors que le cœur du processus commence. L'analyse des vulnérabilités. Le scanner s'appuie sur une base de données de vulnérabilité connue pour identifier les failles potentielles dans les actifs analysés. Cette base de données est une véritable mine d'or d'informations, contenant des signatures de vulnérabilité qui sont en fait des descriptions détaillées des failles de sécurité. ainsi que des méthodes pour les exploiter ou les atténuer. Lorsqu'on parle de scanner de vulnérabilité, il y a principalement deux approches qu'on peut utiliser, les scans non authentifiés et les scans authentifiés. Pour le scan non authentifié, c'est un peu comme si un attaquant externe tentait de trouver des failles dans un système. Le scanner n'a pas d'accès privilégié au système cible, il se base simplement sur les réponses du système à différentes requêtes du réseau. C'est un bon moyen d'identifier les vulnérabilités qui sont visibles depuis l'extérieur du réseau, comme les failles dans les services web exposés par exemple. Par contre, ça a ses limites, puisqu'il ne peut pas accéder à des vulnérabilités internes qui nécessiteraient un accès authentifié pour être identifié. D'un autre côté, on a donc le scan authentifié, où le scanner a un accès privilégié au système cible, on lui donne généralement des identifiants de connexion valides, ce qui lui permet d'examiner des fichiers système, les configurations et les paramètres internes pour dénicher des vulnérabilités qui ne seraient pas visibles depuis le réseau. Ça donne une vue beaucoup plus complète des failles potentielles d'un système, mais c'est aussi plus complexe à configurer et ça nécessite d'avoir les autorisations appropriées. Il y a généralement un rapport de 1 à 100, voire 1 à 1000, entre les deux lorgnettes pardon méthodes, entre le scan authentifié et node authentifié. C'est-à-dire que vous allez découvrir beaucoup plus de failles avec la seconde méthode qu'avec la première. Après l'identification des vulnérabilités, vient l'étape d'évaluation de ces derniers. Le scanner évalue l'impact potentiel et la gravité de chaque vulnérabilité identifiée en prenant en compte des facteurs tels que la facilité d'exploitation, le niveau d'accès requis et l'impact sur la confidentialité, l'intégrité et la disponibilité des données. Mais attention, il arrive que les scanners vous induisent en erreur. C'est ce qu'on appelle des faux positifs. Dans ce cas, le scanner va vous indiquer des vulnérabilités alors que ce n'est pas le cas. Il y a aussi le cas, heureusement très rare, des faux négatifs. C'est-à-dire que dans ce cas, le scanner ne détecte pas la vulnérabilité alors qu'elle est bien présente. C'est le cas, somme toute assez normale, des failles de sécurité dites 0D. C'est-à-dire des failles de sécurité qui ne sont pas encore connues ou reconnues par les chercheurs de cybersécurité, mais qui sont potentiellement exploitables. Généralement, ce genre de failles se revend au marché noir. Dans la grande majorité des cas, les vulnérabilités connues sont référencées par un code unique, le CVE. Le CVE, ou Common Vulnerabilities and Exposure, c'est un système qui donne une sorte de carte d'identité à chaque vulnérabilité, et cette base d'informations est publique. Chaque vulnérabilité se voit attribuée à un numéro unique, le CVE Identifier, qui permet aux professionnels de la cybersécurité et au public de partager des informations de manière claire et cohérente. Imaginez que vous trouviez un problème de sécurité dans un logiciel que vous utilisiez. Disons une faille qui pourrait permettre à un attaquant de prendre le contrôle de votre ordinateur. Si cette faille est reconnue comme une vulnérabilité, elle sera ajoutée à la base de données des CVE et se verra attribuer à un identifiant unique. Ainsi, lorsqu'on parle de cette faille, on peut simplement se référer à son numéro de CVE et tout le monde saura de quoi il s'agit, sans avoir besoin de longues explications. Le système CVE est géré par le Maitre Corporation, qui est une organisation à but non lucratif qui travaille avec différentes agences gouvernementales et d'autres partenaires pour améliorer la sécurité informatique. Le but du CVE est de faciliter la communication et la collaboration entre les différentes organisations et individus qui travaillent à protéger les systèmes d'information, contre les attaques malveillantes bien évidemment. A noter que si l'administration américaine décide de stopper ses activités, c'est ce qui arrive en cas de blackout budgétaire, et bien plus aucun code CVE ne sera attribué. Le CVSS, ou Common Vulnerability Scoring System, c'est un peu comme une échelle qui permet d'évaluer l'impact et la gravité de la vulnérabilité. Quand une vulnérabilité est découverte, il y a beaucoup de facteurs à prendre en compte pour comprendre à quel point elle est sérieuse. Par exemple, est-ce qu'il est facile pour un attaquant d'exploiter cette vulnérabilité ? Quel niveau d'accès l'attaquant peut-il obtenir en exploitant cette faille ? Quel type de dégâts pourrait-il causer ? Le CVSS prend en compte tous ces éléments et bien d'autres encore pour donner à chaque vulnérabilité un score entre 0 et 10. Plus le score est élevé, plus la vulnérabilité est jugée grave. C'est un outil super utile pour les professionnels de la sécurité et les administrateurs de systèmes parce que ça leur permet de prioriser les vulnérabilités et de décider lesquelles doivent être corrigées en premier. Si vous avez deux vulnérabilités, mais que l'une a un score CVSS de 9 et l'autre un score de 3, vous savez que vous devez vous occuper de la première en priorité. Le CVSS est un peu comme une boussole qui aide les gens à naviguer dans le monde parfois compliqué de la cybersécurité et à prendre des décisions éclairées pour protéger leur système. Mais on verra plus tard que cette boussole n'est peut-être pas la meilleure dans toutes les circonstances. Tous ces éléments sont ensuite consignés dans un rapport qui est présenté à l'utilisateur. Ce rapport est une véritable mine d'informations contenant des détails sur chaque vulnérabilité identifiée, sa gravité et des recommandations pour la mitigation ou la correction. Mais le travail ne s'arrête pas là. Une fois que les utilisateurs ont pris connaissance du rapport et pris les mesures nécessaires pour corriger les vulnérabilités, le scanner pourra être utilisé à nouveau pour valider que les failles ont bien été résolues de manière satisfaisante. Et c'est là où il est essentiel de faire le bon choix. Dans un monde idéal, vous devriez arrêter les systèmes concernés pour appliquer les correctifs nécessaires. Mais ça, c'est dans un monde idéal. En fait, dans la réalité, vous allez devoir prendre en compte les contraintes du métier. Certains systèmes ont des fenêtres de maintien. assez courte et doivent rester disponibles reste du temps alors comment faire Comment corriger des vulnérabilités et en même temps prendre en compte des contraintes purement business ? Eh bien, c'est l'essence même de la gestion des vulnérabilités. Pour prendre la meilleure décision, il faut avoir la meilleure vision du risque. Et c'est là où les différents facteurs du rapport de scan sont les plus importants. D'une part, il faut prendre en compte l'exposition au risque. Si une faille existe sur un site web accessible du monde entier, le degré d'urgence ne sera pas le même pour une vulnérabilité au fin fond de votre système d'information. Il y a bien entendu le niveau de risque de la faille elle-même, qui est généralement évalué avec son CVSS. Je vous rappelle que plus le score CVSS est haut et plus le risque est élevé. Mais il existe encore d'autres facteurs à prendre en compte, par exemple la popularité de cette faille. J'entends par là que si vous avez deux failles de sécurité avec un CVSS identique, c'est-à-dire que l'impact sur votre système sera le même. Si l'une de ces failles est très populaire, c'est-à-dire qu'il existe des kits d'exploitation directement accessibles sur Internet, alors il sera fort probable que cette faille devra être corrigée en priorité. Dans cet exemple, on voit bien que le CVSS est une analyse statique de l'impact, mais qu'il n'évoluera pas avec le temps. Pour vous aider à mieux percevoir le risque de manière dynamique, il y a le EPSS. Le EPSS, ou Exploited Prediction Scoring System, c'est une manière innovante de voir à quel point une vulnérabilité est susceptible d'être exploitée par des attaquants. Contrairement à d'autres systèmes qui se concentrent sur l'impact ou la gravité d'une vulnérabilité, le EPSS essaie de prédire la probabilité que cette vulnérabilité soit activement utilisée par des attaquants. C'est un peu comme si vous aviez une boule de cristal qui vous permet de voir le futur. Sauf qu'au lieu de prédire des événements de votre vie personnelle, le EPSS utilise des algorithmes et des données historiques pour estimer les chances qu'une vulnérabilité spécifique soit exploitée. Il prend en compte une variété de facteurs, comme l'âge de la vulnérabilité, le type de logiciel affecté, et même les tendances actuelles en matière de cybercriminalité. Toutes ces informations sont ensuite traitées pour donner à chaque vulnérabilité un score entre 0 et 1. Ou un score proche de 1 signifie qu'il y a une forte probabilité que les vulnérabilités soient exploitées. C'est souvent le cas quand une vulnérabilité est militarisée. On dit qu'elle est weaponized dans le jargon. Cela veut dire qu'il existe du code qui permet de lancer des attaques massives et automatiques à travers Internet. Le EPSS est un outil précieux pour les professionnels de la sécurité car il les aide à prioriser les vulnérabilités en fonction de leurs risques réels. Si une vulnérabilité a un score EPSS élevé, ça signifie qu'elle devrait être corrigée en priorité, car il y a de fortes chances qu'elle soit utilisée par des attaquants dans un avenir très proche. Vous avez maintenant une bonne perception des vulnérabilités, mais est-ce que vous avez pour autant une vue exhaustive de toutes les vulnérabilités existantes de votre système d'information ? Et malheureusement, non. Et ce, pour plusieurs raisons. La première, c'est que les scanners de vulnérabilité ne détectent que les vulnérabilités connues, c'est-à-dire qu'ils ne peuvent pas trouver des vulnérabilités de manière spontanée. Ensuite, il faut se souvenir qu'à chaque fois que l'humain intervient, il peut créer des failles dans le système. C'est vrai pour le code qu'il écrit, mais aussi quand il change des configurations dans un environnement. Et c'est là qu'un autre acteur peut intervenir dans la gestion des vulnérabilités, les pentesters. Le Pentester est un peu comme un détective privé du monde numérique. Leur job est de se glisser dans la peau d'un attaquant et d'essayer de trouver des failles de sécurité dans le système. Tu souhaites que j'envoie quelqu'un en particulier au César ? Non, qui tu veux ? Un malin, quelqu'un qui se glisse partout. Carte à puce ? Oui. César, voici carte à puce. Notre meilleur espionne. A.V. César, passe-pérobustesse. Car Tapu, c'est une professionnelle. C'est la reine du camouflage. Exécution. Quand je regarde comme ça, on me voit. Si je regarde comme ça, on me voit plus. On me voit, on me voit plus. On me voit, on me voit plus. On me voit plus, on me voit. On me voit plus, on me voit plus. On me voit, on me voit plus. On me voit un peu, on me voit plus. Ah c'est surprenant ! Ah oui oui ! Ils utilisent une variété d'outils et de techniques pour scanner les réseaux, les applications et les systèmes d'une organisation à la recherche de vulnérabilités qui pourraient être exploitées par des attaquants malveillants. Mais contrairement aux vrais attaquants, l'objectif d'un pentester n'est pas de causer du tort, mais plutôt d'aider les organisations à renforcer leur sécurité. Une fois qu'ils ont terminé leur analyse... Les pentesters rédigent un rapport détaillé qui explique les vulnérabilités qu'ils ont trouvées, comment ils ont réussi à les exploiter et ce que l'organisation peut faire pour les corriger. C'est un peu comme s'ils donnaient à l'organisation une feuille de route pour améliorer sa sécurité et se protéger contre les attaquants futurs. Si le sujet vous intéresse, je vous conseille d'écouter l'épisode hors série numéro 4, consacré au test d'intrusion avec Brice Augra de la société BZ Hunt. Cette méthode, certes très efficace, a un désavantage, c'est que cela ne vous donne une vision qu'un instant T. Dès lors qu'une nouvelle version d'un logiciel sera mise en place, ou que quelqu'un interviendra sur l'infrastructure, vous allez potentiellement avoir de nouvelles failles apparaître. Il existe dans ce cas deux autres méthodes possibles. La première est d'avoir un programme de bug bounty. Le bug bounty, c'est un peu comme une chasse au trésor pour les hackers éthiques. Les organisations mettent en place des programmes de bug bounty pour encourager des chercheurs en sécurité à trouver et à signaler des vulnérabilités dans leur système. En retour, les chercheurs sont récompensés, souvent financièrement, pour leur travail. Les programmes de bug bounty sont un excellent moyen pour les organisations de renforcer leur sécurité. Ils permettent aux chercheurs en sécurité du monde entier de collaborer et de partager leurs connaissances pour aider à identifier et à corriger des vulnérabilités avant qu'elles ne puissent être exploitées par des attaquants malveillants. En somme, le bug bounty sont des approches gagnant-gagnant. Les organisations bénéficient de l'expertise des chercheurs en cybersécurité et les chercheurs sont récompensés pour leur travail acharné. C'est une manière collaborative et innovante de renforcer la cybersécurité d'une organisation. Il existe une alternative, plus récente celle-ci, qui se base sur une approche hybride. Un fournisseur externe va lancer des attaques automatisées, et ce de manière continue, contre votre infrastructure. C'est un peu comme si vous aviez un pentest permanent. Mais bien évidemment, tout ne peut pas être totalement automatisé, et un humain, un pentester en chair et en os, reprendra la main en cas de suspicion. Cette méthode permet d'automatiser un grand nombre de contrôles et de faire intervenir l'humain que quand cela est vraiment nécessaire. Si vous voulez un exemple concret de cette technique, vous pouvez regarder les services proposés par la société française PATROL, le lien sera en description. Si on résume un peu les différentes lorgnettes qui sont mises à notre disposition, nous avons les scans de vulnérabilité, qui sont un outil très utile pour dégrossir la pierre, particulièrement si les scans s'effectuent en mode connecté. Ensuite, il y a les pentesters que vous pouvez impliquer sur des périmètres plus petits, et qui vont vous donner une vision beaucoup plus fine des vulnérabilités. Vous pouvez aussi traiter des périmètres fortement exposés, comme un site web, avec un programme de bug bounty par exemple, ou avec une approche hybride. Vous pouvez aussi donner plus de perspectives à vos choix en prenant en compte des facteurs tels que la facilité d'exploitation et surtout la popularité de certains exploits. La vraie difficulté réside d'une part dans le fait d'avoir la vision la plus exhaustive possible des failles de sécurité, qu'elles soient parfaitement catégorisées ou non, mais aussi dans la complexité de la résolution. Parfois, corriger une vulnérabilité ne nécessite que d'appliquer un correctif, mais parfois, ça nécessite de changer beaucoup plus de choses. C'est là qu'est tout l'art de la gestion des vulnérabilités. Comprendre le degré d'urgence, pas seulement en se basant sur le CVSS, mais avec votre propre perception du risque, mais aussi comprendre l'infrastructure à protéger. Encore une fois, la sécurité ne dépend pas de l'outil mis en œuvre, mais surtout dans l'intelligence de ceux qui l'utilisent. Je ne résisterai pas à l'envie de vous raconter une petite anecdote à propos du film Jour de Fête. A l'origine, Jacques Tati a l'intention de réaliser le film en couleurs, ce qui était révolutionnaire pour l'époque car la majorité des films étaient encore tournés en noir et blanc. Il avait par exemple prévu que les habitants du village soient tous habillés avec des couleurs sombres, alors que les éléments du décor de la fête foraine le soient avec des couleurs vives, le but étant de bien évidemment accentuer le contraste. Pour réaliser ce projet ambitieux, Tati a fait appel à une nouvelle technologie de film en couleur appelée Thompson Colors. Cependant, en raison de problèmes techniques et de contraintes budgétaires, la majorité du film a finalement été tourné en noir et blanc, avec seulement quelques scènes en couleur. En 1964, quelques plans ont été colorisés à la main, afin de se rapprocher du film tel que Jacques Tati l'avait imaginé. En 1995, la petite fille de Jacques Tati, Sophie Tati-Chef, a réussi à restaurer le film en couleur à partir des rushs originaux, permettant enfin aux spectateurs de voir Jour de Fête comme Tati l'avait imaginé. La version en couleur du film offre une expérience visuelle riche et vibrante qui ajoute une nouvelle dimension à l'œuvre de Tati. D'une certaine manière, les différents montages de ce film montrent différents points de vue aux spectateurs et ainsi changent sa perception, un peu comme les différentes méthodes pour détecter des vulnérabilités. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et surtout à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un nouveau vieux mort, bien plus sérieux que ça. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)
Description
Pour comprendre ce qu'est la stratégie de gestion de vulnérabilité.
EPSS : https://www.first.org/epss/
Patrwol : https://patrowl.io
CVE : https://cve.mitre.org
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour Mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui ne comprennent rien. Lors du numéro précédent, Playtime, nous avons discuté dans le détail de ce qu'est une vulnérabilité et surtout d'essayer de comprendre, sur le fond, comment ces vulnérabilités peuvent être exploitées. Et vous avez très probablement compris depuis cet épisode que toute interaction peut et va être utilisée pour exploiter ces vulnérabilités. Dès lors, vous avez un choix à faire. Soit limiter au maximum les interactions avec votre système d'information, ce qui le rendra, de fait, beaucoup moins utile, soit vous vous lancez dans la recherche des vulnérabilités de votre système d'information. Je ne t'offre que la vérité, rien de plus. Si vous avez choisi la seconde option, la question que vous vous posez très certainement, c'est comment trouver la vulnérabilité ? Eh bien, c'est un peu comme dans le film de Jacques Tati, Jour de fête, où le facteur François, interprété par Jacques Tati lui-même, découvre en regardant à travers le trou d'un chapiteau un reportage cinématographique sur les agents de la Poste aux Etats-Unis. Ce reportage montre des agents de la Poste américaine distribuant le courrier par... tous les moyens possibles, avions, bateaux et même hélicoptères. Ce qui donnera d'ailleurs lieu à l'une des mimiques du film, allez hop, hélicoptère. Au-delà de la fascination qu'éprouve ce facteur, un peu naïf, envers la fameuse technologie américaine, il faut comprendre ici que notre vision des choses ne dépend bien souvent que de la lorgnette qu'on utilise pour la voir. Et cette lorgnette peut prendre des formes multiples quand on parle de vulnérabilité. L'un des premiers outils qui est généralement mis en œuvre et ce qu'on appelle un scanner de vulnérabilité. Les scanners de vulnérabilité jouent un rôle crucial dans l'identification et l'évaluation des failles de sécurité potentielles dans les systèmes d'information, les réseaux et les applications. Le processus débute par la configuration de l'analyse où l'utilisateur spécifie les cibles à examiner, qu'il s'agisse d'adresse IP, de plage d'adresse IP, de nom de domaine ou d'URL. On comprend que pour cette étape, il est crucial d'avoir un inventaire. exhaustif des éléments qui composent votre infrastructure. Bien sûr, il n'est pas rare de tomber sur une machine qui remonte dans le scan, mais qui n'a jamais été identifiée auparavant. Dans la grande majorité des cas, c'est simplement qu'on a oublié d'ajouter cette machine à l'inventaire. Mais il peut arriver que cette machine soit complètement inconnue au bataillon. Dans ce cas, la situation est bien plus grave. Ensuite, le scanner se met au travail pour découvrir les différents composants en collectant des informations sur les services en cours d'exécution, les ports ouverts, les protocoles utilisés, Et bien plus encore. Cette étape est cruciale car elle permet de dresser un portrait complet des ressources à analyser. C'est alors que le cœur du processus commence. L'analyse des vulnérabilités. Le scanner s'appuie sur une base de données de vulnérabilité connue pour identifier les failles potentielles dans les actifs analysés. Cette base de données est une véritable mine d'or d'informations, contenant des signatures de vulnérabilité qui sont en fait des descriptions détaillées des failles de sécurité. ainsi que des méthodes pour les exploiter ou les atténuer. Lorsqu'on parle de scanner de vulnérabilité, il y a principalement deux approches qu'on peut utiliser, les scans non authentifiés et les scans authentifiés. Pour le scan non authentifié, c'est un peu comme si un attaquant externe tentait de trouver des failles dans un système. Le scanner n'a pas d'accès privilégié au système cible, il se base simplement sur les réponses du système à différentes requêtes du réseau. C'est un bon moyen d'identifier les vulnérabilités qui sont visibles depuis l'extérieur du réseau, comme les failles dans les services web exposés par exemple. Par contre, ça a ses limites, puisqu'il ne peut pas accéder à des vulnérabilités internes qui nécessiteraient un accès authentifié pour être identifié. D'un autre côté, on a donc le scan authentifié, où le scanner a un accès privilégié au système cible, on lui donne généralement des identifiants de connexion valides, ce qui lui permet d'examiner des fichiers système, les configurations et les paramètres internes pour dénicher des vulnérabilités qui ne seraient pas visibles depuis le réseau. Ça donne une vue beaucoup plus complète des failles potentielles d'un système, mais c'est aussi plus complexe à configurer et ça nécessite d'avoir les autorisations appropriées. Il y a généralement un rapport de 1 à 100, voire 1 à 1000, entre les deux lorgnettes pardon méthodes, entre le scan authentifié et node authentifié. C'est-à-dire que vous allez découvrir beaucoup plus de failles avec la seconde méthode qu'avec la première. Après l'identification des vulnérabilités, vient l'étape d'évaluation de ces derniers. Le scanner évalue l'impact potentiel et la gravité de chaque vulnérabilité identifiée en prenant en compte des facteurs tels que la facilité d'exploitation, le niveau d'accès requis et l'impact sur la confidentialité, l'intégrité et la disponibilité des données. Mais attention, il arrive que les scanners vous induisent en erreur. C'est ce qu'on appelle des faux positifs. Dans ce cas, le scanner va vous indiquer des vulnérabilités alors que ce n'est pas le cas. Il y a aussi le cas, heureusement très rare, des faux négatifs. C'est-à-dire que dans ce cas, le scanner ne détecte pas la vulnérabilité alors qu'elle est bien présente. C'est le cas, somme toute assez normale, des failles de sécurité dites 0D. C'est-à-dire des failles de sécurité qui ne sont pas encore connues ou reconnues par les chercheurs de cybersécurité, mais qui sont potentiellement exploitables. Généralement, ce genre de failles se revend au marché noir. Dans la grande majorité des cas, les vulnérabilités connues sont référencées par un code unique, le CVE. Le CVE, ou Common Vulnerabilities and Exposure, c'est un système qui donne une sorte de carte d'identité à chaque vulnérabilité, et cette base d'informations est publique. Chaque vulnérabilité se voit attribuée à un numéro unique, le CVE Identifier, qui permet aux professionnels de la cybersécurité et au public de partager des informations de manière claire et cohérente. Imaginez que vous trouviez un problème de sécurité dans un logiciel que vous utilisiez. Disons une faille qui pourrait permettre à un attaquant de prendre le contrôle de votre ordinateur. Si cette faille est reconnue comme une vulnérabilité, elle sera ajoutée à la base de données des CVE et se verra attribuer à un identifiant unique. Ainsi, lorsqu'on parle de cette faille, on peut simplement se référer à son numéro de CVE et tout le monde saura de quoi il s'agit, sans avoir besoin de longues explications. Le système CVE est géré par le Maitre Corporation, qui est une organisation à but non lucratif qui travaille avec différentes agences gouvernementales et d'autres partenaires pour améliorer la sécurité informatique. Le but du CVE est de faciliter la communication et la collaboration entre les différentes organisations et individus qui travaillent à protéger les systèmes d'information, contre les attaques malveillantes bien évidemment. A noter que si l'administration américaine décide de stopper ses activités, c'est ce qui arrive en cas de blackout budgétaire, et bien plus aucun code CVE ne sera attribué. Le CVSS, ou Common Vulnerability Scoring System, c'est un peu comme une échelle qui permet d'évaluer l'impact et la gravité de la vulnérabilité. Quand une vulnérabilité est découverte, il y a beaucoup de facteurs à prendre en compte pour comprendre à quel point elle est sérieuse. Par exemple, est-ce qu'il est facile pour un attaquant d'exploiter cette vulnérabilité ? Quel niveau d'accès l'attaquant peut-il obtenir en exploitant cette faille ? Quel type de dégâts pourrait-il causer ? Le CVSS prend en compte tous ces éléments et bien d'autres encore pour donner à chaque vulnérabilité un score entre 0 et 10. Plus le score est élevé, plus la vulnérabilité est jugée grave. C'est un outil super utile pour les professionnels de la sécurité et les administrateurs de systèmes parce que ça leur permet de prioriser les vulnérabilités et de décider lesquelles doivent être corrigées en premier. Si vous avez deux vulnérabilités, mais que l'une a un score CVSS de 9 et l'autre un score de 3, vous savez que vous devez vous occuper de la première en priorité. Le CVSS est un peu comme une boussole qui aide les gens à naviguer dans le monde parfois compliqué de la cybersécurité et à prendre des décisions éclairées pour protéger leur système. Mais on verra plus tard que cette boussole n'est peut-être pas la meilleure dans toutes les circonstances. Tous ces éléments sont ensuite consignés dans un rapport qui est présenté à l'utilisateur. Ce rapport est une véritable mine d'informations contenant des détails sur chaque vulnérabilité identifiée, sa gravité et des recommandations pour la mitigation ou la correction. Mais le travail ne s'arrête pas là. Une fois que les utilisateurs ont pris connaissance du rapport et pris les mesures nécessaires pour corriger les vulnérabilités, le scanner pourra être utilisé à nouveau pour valider que les failles ont bien été résolues de manière satisfaisante. Et c'est là où il est essentiel de faire le bon choix. Dans un monde idéal, vous devriez arrêter les systèmes concernés pour appliquer les correctifs nécessaires. Mais ça, c'est dans un monde idéal. En fait, dans la réalité, vous allez devoir prendre en compte les contraintes du métier. Certains systèmes ont des fenêtres de maintien. assez courte et doivent rester disponibles reste du temps alors comment faire Comment corriger des vulnérabilités et en même temps prendre en compte des contraintes purement business ? Eh bien, c'est l'essence même de la gestion des vulnérabilités. Pour prendre la meilleure décision, il faut avoir la meilleure vision du risque. Et c'est là où les différents facteurs du rapport de scan sont les plus importants. D'une part, il faut prendre en compte l'exposition au risque. Si une faille existe sur un site web accessible du monde entier, le degré d'urgence ne sera pas le même pour une vulnérabilité au fin fond de votre système d'information. Il y a bien entendu le niveau de risque de la faille elle-même, qui est généralement évalué avec son CVSS. Je vous rappelle que plus le score CVSS est haut et plus le risque est élevé. Mais il existe encore d'autres facteurs à prendre en compte, par exemple la popularité de cette faille. J'entends par là que si vous avez deux failles de sécurité avec un CVSS identique, c'est-à-dire que l'impact sur votre système sera le même. Si l'une de ces failles est très populaire, c'est-à-dire qu'il existe des kits d'exploitation directement accessibles sur Internet, alors il sera fort probable que cette faille devra être corrigée en priorité. Dans cet exemple, on voit bien que le CVSS est une analyse statique de l'impact, mais qu'il n'évoluera pas avec le temps. Pour vous aider à mieux percevoir le risque de manière dynamique, il y a le EPSS. Le EPSS, ou Exploited Prediction Scoring System, c'est une manière innovante de voir à quel point une vulnérabilité est susceptible d'être exploitée par des attaquants. Contrairement à d'autres systèmes qui se concentrent sur l'impact ou la gravité d'une vulnérabilité, le EPSS essaie de prédire la probabilité que cette vulnérabilité soit activement utilisée par des attaquants. C'est un peu comme si vous aviez une boule de cristal qui vous permet de voir le futur. Sauf qu'au lieu de prédire des événements de votre vie personnelle, le EPSS utilise des algorithmes et des données historiques pour estimer les chances qu'une vulnérabilité spécifique soit exploitée. Il prend en compte une variété de facteurs, comme l'âge de la vulnérabilité, le type de logiciel affecté, et même les tendances actuelles en matière de cybercriminalité. Toutes ces informations sont ensuite traitées pour donner à chaque vulnérabilité un score entre 0 et 1. Ou un score proche de 1 signifie qu'il y a une forte probabilité que les vulnérabilités soient exploitées. C'est souvent le cas quand une vulnérabilité est militarisée. On dit qu'elle est weaponized dans le jargon. Cela veut dire qu'il existe du code qui permet de lancer des attaques massives et automatiques à travers Internet. Le EPSS est un outil précieux pour les professionnels de la sécurité car il les aide à prioriser les vulnérabilités en fonction de leurs risques réels. Si une vulnérabilité a un score EPSS élevé, ça signifie qu'elle devrait être corrigée en priorité, car il y a de fortes chances qu'elle soit utilisée par des attaquants dans un avenir très proche. Vous avez maintenant une bonne perception des vulnérabilités, mais est-ce que vous avez pour autant une vue exhaustive de toutes les vulnérabilités existantes de votre système d'information ? Et malheureusement, non. Et ce, pour plusieurs raisons. La première, c'est que les scanners de vulnérabilité ne détectent que les vulnérabilités connues, c'est-à-dire qu'ils ne peuvent pas trouver des vulnérabilités de manière spontanée. Ensuite, il faut se souvenir qu'à chaque fois que l'humain intervient, il peut créer des failles dans le système. C'est vrai pour le code qu'il écrit, mais aussi quand il change des configurations dans un environnement. Et c'est là qu'un autre acteur peut intervenir dans la gestion des vulnérabilités, les pentesters. Le Pentester est un peu comme un détective privé du monde numérique. Leur job est de se glisser dans la peau d'un attaquant et d'essayer de trouver des failles de sécurité dans le système. Tu souhaites que j'envoie quelqu'un en particulier au César ? Non, qui tu veux ? Un malin, quelqu'un qui se glisse partout. Carte à puce ? Oui. César, voici carte à puce. Notre meilleur espionne. A.V. César, passe-pérobustesse. Car Tapu, c'est une professionnelle. C'est la reine du camouflage. Exécution. Quand je regarde comme ça, on me voit. Si je regarde comme ça, on me voit plus. On me voit, on me voit plus. On me voit, on me voit plus. On me voit plus, on me voit. On me voit plus, on me voit plus. On me voit, on me voit plus. On me voit un peu, on me voit plus. Ah c'est surprenant ! Ah oui oui ! Ils utilisent une variété d'outils et de techniques pour scanner les réseaux, les applications et les systèmes d'une organisation à la recherche de vulnérabilités qui pourraient être exploitées par des attaquants malveillants. Mais contrairement aux vrais attaquants, l'objectif d'un pentester n'est pas de causer du tort, mais plutôt d'aider les organisations à renforcer leur sécurité. Une fois qu'ils ont terminé leur analyse... Les pentesters rédigent un rapport détaillé qui explique les vulnérabilités qu'ils ont trouvées, comment ils ont réussi à les exploiter et ce que l'organisation peut faire pour les corriger. C'est un peu comme s'ils donnaient à l'organisation une feuille de route pour améliorer sa sécurité et se protéger contre les attaquants futurs. Si le sujet vous intéresse, je vous conseille d'écouter l'épisode hors série numéro 4, consacré au test d'intrusion avec Brice Augra de la société BZ Hunt. Cette méthode, certes très efficace, a un désavantage, c'est que cela ne vous donne une vision qu'un instant T. Dès lors qu'une nouvelle version d'un logiciel sera mise en place, ou que quelqu'un interviendra sur l'infrastructure, vous allez potentiellement avoir de nouvelles failles apparaître. Il existe dans ce cas deux autres méthodes possibles. La première est d'avoir un programme de bug bounty. Le bug bounty, c'est un peu comme une chasse au trésor pour les hackers éthiques. Les organisations mettent en place des programmes de bug bounty pour encourager des chercheurs en sécurité à trouver et à signaler des vulnérabilités dans leur système. En retour, les chercheurs sont récompensés, souvent financièrement, pour leur travail. Les programmes de bug bounty sont un excellent moyen pour les organisations de renforcer leur sécurité. Ils permettent aux chercheurs en sécurité du monde entier de collaborer et de partager leurs connaissances pour aider à identifier et à corriger des vulnérabilités avant qu'elles ne puissent être exploitées par des attaquants malveillants. En somme, le bug bounty sont des approches gagnant-gagnant. Les organisations bénéficient de l'expertise des chercheurs en cybersécurité et les chercheurs sont récompensés pour leur travail acharné. C'est une manière collaborative et innovante de renforcer la cybersécurité d'une organisation. Il existe une alternative, plus récente celle-ci, qui se base sur une approche hybride. Un fournisseur externe va lancer des attaques automatisées, et ce de manière continue, contre votre infrastructure. C'est un peu comme si vous aviez un pentest permanent. Mais bien évidemment, tout ne peut pas être totalement automatisé, et un humain, un pentester en chair et en os, reprendra la main en cas de suspicion. Cette méthode permet d'automatiser un grand nombre de contrôles et de faire intervenir l'humain que quand cela est vraiment nécessaire. Si vous voulez un exemple concret de cette technique, vous pouvez regarder les services proposés par la société française PATROL, le lien sera en description. Si on résume un peu les différentes lorgnettes qui sont mises à notre disposition, nous avons les scans de vulnérabilité, qui sont un outil très utile pour dégrossir la pierre, particulièrement si les scans s'effectuent en mode connecté. Ensuite, il y a les pentesters que vous pouvez impliquer sur des périmètres plus petits, et qui vont vous donner une vision beaucoup plus fine des vulnérabilités. Vous pouvez aussi traiter des périmètres fortement exposés, comme un site web, avec un programme de bug bounty par exemple, ou avec une approche hybride. Vous pouvez aussi donner plus de perspectives à vos choix en prenant en compte des facteurs tels que la facilité d'exploitation et surtout la popularité de certains exploits. La vraie difficulté réside d'une part dans le fait d'avoir la vision la plus exhaustive possible des failles de sécurité, qu'elles soient parfaitement catégorisées ou non, mais aussi dans la complexité de la résolution. Parfois, corriger une vulnérabilité ne nécessite que d'appliquer un correctif, mais parfois, ça nécessite de changer beaucoup plus de choses. C'est là qu'est tout l'art de la gestion des vulnérabilités. Comprendre le degré d'urgence, pas seulement en se basant sur le CVSS, mais avec votre propre perception du risque, mais aussi comprendre l'infrastructure à protéger. Encore une fois, la sécurité ne dépend pas de l'outil mis en œuvre, mais surtout dans l'intelligence de ceux qui l'utilisent. Je ne résisterai pas à l'envie de vous raconter une petite anecdote à propos du film Jour de Fête. A l'origine, Jacques Tati a l'intention de réaliser le film en couleurs, ce qui était révolutionnaire pour l'époque car la majorité des films étaient encore tournés en noir et blanc. Il avait par exemple prévu que les habitants du village soient tous habillés avec des couleurs sombres, alors que les éléments du décor de la fête foraine le soient avec des couleurs vives, le but étant de bien évidemment accentuer le contraste. Pour réaliser ce projet ambitieux, Tati a fait appel à une nouvelle technologie de film en couleur appelée Thompson Colors. Cependant, en raison de problèmes techniques et de contraintes budgétaires, la majorité du film a finalement été tourné en noir et blanc, avec seulement quelques scènes en couleur. En 1964, quelques plans ont été colorisés à la main, afin de se rapprocher du film tel que Jacques Tati l'avait imaginé. En 1995, la petite fille de Jacques Tati, Sophie Tati-Chef, a réussi à restaurer le film en couleur à partir des rushs originaux, permettant enfin aux spectateurs de voir Jour de Fête comme Tati l'avait imaginé. La version en couleur du film offre une expérience visuelle riche et vibrante qui ajoute une nouvelle dimension à l'œuvre de Tati. D'une certaine manière, les différents montages de ce film montrent différents points de vue aux spectateurs et ainsi changent sa perception, un peu comme les différentes méthodes pour détecter des vulnérabilités. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et surtout à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un nouveau vieux mort, bien plus sérieux que ça. Merci.
Description
Pour comprendre ce qu'est la stratégie de gestion de vulnérabilité.
EPSS : https://www.first.org/epss/
Patrwol : https://patrowl.io
CVE : https://cve.mitre.org
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour Mamie ! Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui ne comprennent rien. Lors du numéro précédent, Playtime, nous avons discuté dans le détail de ce qu'est une vulnérabilité et surtout d'essayer de comprendre, sur le fond, comment ces vulnérabilités peuvent être exploitées. Et vous avez très probablement compris depuis cet épisode que toute interaction peut et va être utilisée pour exploiter ces vulnérabilités. Dès lors, vous avez un choix à faire. Soit limiter au maximum les interactions avec votre système d'information, ce qui le rendra, de fait, beaucoup moins utile, soit vous vous lancez dans la recherche des vulnérabilités de votre système d'information. Je ne t'offre que la vérité, rien de plus. Si vous avez choisi la seconde option, la question que vous vous posez très certainement, c'est comment trouver la vulnérabilité ? Eh bien, c'est un peu comme dans le film de Jacques Tati, Jour de fête, où le facteur François, interprété par Jacques Tati lui-même, découvre en regardant à travers le trou d'un chapiteau un reportage cinématographique sur les agents de la Poste aux Etats-Unis. Ce reportage montre des agents de la Poste américaine distribuant le courrier par... tous les moyens possibles, avions, bateaux et même hélicoptères. Ce qui donnera d'ailleurs lieu à l'une des mimiques du film, allez hop, hélicoptère. Au-delà de la fascination qu'éprouve ce facteur, un peu naïf, envers la fameuse technologie américaine, il faut comprendre ici que notre vision des choses ne dépend bien souvent que de la lorgnette qu'on utilise pour la voir. Et cette lorgnette peut prendre des formes multiples quand on parle de vulnérabilité. L'un des premiers outils qui est généralement mis en œuvre et ce qu'on appelle un scanner de vulnérabilité. Les scanners de vulnérabilité jouent un rôle crucial dans l'identification et l'évaluation des failles de sécurité potentielles dans les systèmes d'information, les réseaux et les applications. Le processus débute par la configuration de l'analyse où l'utilisateur spécifie les cibles à examiner, qu'il s'agisse d'adresse IP, de plage d'adresse IP, de nom de domaine ou d'URL. On comprend que pour cette étape, il est crucial d'avoir un inventaire. exhaustif des éléments qui composent votre infrastructure. Bien sûr, il n'est pas rare de tomber sur une machine qui remonte dans le scan, mais qui n'a jamais été identifiée auparavant. Dans la grande majorité des cas, c'est simplement qu'on a oublié d'ajouter cette machine à l'inventaire. Mais il peut arriver que cette machine soit complètement inconnue au bataillon. Dans ce cas, la situation est bien plus grave. Ensuite, le scanner se met au travail pour découvrir les différents composants en collectant des informations sur les services en cours d'exécution, les ports ouverts, les protocoles utilisés, Et bien plus encore. Cette étape est cruciale car elle permet de dresser un portrait complet des ressources à analyser. C'est alors que le cœur du processus commence. L'analyse des vulnérabilités. Le scanner s'appuie sur une base de données de vulnérabilité connue pour identifier les failles potentielles dans les actifs analysés. Cette base de données est une véritable mine d'or d'informations, contenant des signatures de vulnérabilité qui sont en fait des descriptions détaillées des failles de sécurité. ainsi que des méthodes pour les exploiter ou les atténuer. Lorsqu'on parle de scanner de vulnérabilité, il y a principalement deux approches qu'on peut utiliser, les scans non authentifiés et les scans authentifiés. Pour le scan non authentifié, c'est un peu comme si un attaquant externe tentait de trouver des failles dans un système. Le scanner n'a pas d'accès privilégié au système cible, il se base simplement sur les réponses du système à différentes requêtes du réseau. C'est un bon moyen d'identifier les vulnérabilités qui sont visibles depuis l'extérieur du réseau, comme les failles dans les services web exposés par exemple. Par contre, ça a ses limites, puisqu'il ne peut pas accéder à des vulnérabilités internes qui nécessiteraient un accès authentifié pour être identifié. D'un autre côté, on a donc le scan authentifié, où le scanner a un accès privilégié au système cible, on lui donne généralement des identifiants de connexion valides, ce qui lui permet d'examiner des fichiers système, les configurations et les paramètres internes pour dénicher des vulnérabilités qui ne seraient pas visibles depuis le réseau. Ça donne une vue beaucoup plus complète des failles potentielles d'un système, mais c'est aussi plus complexe à configurer et ça nécessite d'avoir les autorisations appropriées. Il y a généralement un rapport de 1 à 100, voire 1 à 1000, entre les deux lorgnettes pardon méthodes, entre le scan authentifié et node authentifié. C'est-à-dire que vous allez découvrir beaucoup plus de failles avec la seconde méthode qu'avec la première. Après l'identification des vulnérabilités, vient l'étape d'évaluation de ces derniers. Le scanner évalue l'impact potentiel et la gravité de chaque vulnérabilité identifiée en prenant en compte des facteurs tels que la facilité d'exploitation, le niveau d'accès requis et l'impact sur la confidentialité, l'intégrité et la disponibilité des données. Mais attention, il arrive que les scanners vous induisent en erreur. C'est ce qu'on appelle des faux positifs. Dans ce cas, le scanner va vous indiquer des vulnérabilités alors que ce n'est pas le cas. Il y a aussi le cas, heureusement très rare, des faux négatifs. C'est-à-dire que dans ce cas, le scanner ne détecte pas la vulnérabilité alors qu'elle est bien présente. C'est le cas, somme toute assez normale, des failles de sécurité dites 0D. C'est-à-dire des failles de sécurité qui ne sont pas encore connues ou reconnues par les chercheurs de cybersécurité, mais qui sont potentiellement exploitables. Généralement, ce genre de failles se revend au marché noir. Dans la grande majorité des cas, les vulnérabilités connues sont référencées par un code unique, le CVE. Le CVE, ou Common Vulnerabilities and Exposure, c'est un système qui donne une sorte de carte d'identité à chaque vulnérabilité, et cette base d'informations est publique. Chaque vulnérabilité se voit attribuée à un numéro unique, le CVE Identifier, qui permet aux professionnels de la cybersécurité et au public de partager des informations de manière claire et cohérente. Imaginez que vous trouviez un problème de sécurité dans un logiciel que vous utilisiez. Disons une faille qui pourrait permettre à un attaquant de prendre le contrôle de votre ordinateur. Si cette faille est reconnue comme une vulnérabilité, elle sera ajoutée à la base de données des CVE et se verra attribuer à un identifiant unique. Ainsi, lorsqu'on parle de cette faille, on peut simplement se référer à son numéro de CVE et tout le monde saura de quoi il s'agit, sans avoir besoin de longues explications. Le système CVE est géré par le Maitre Corporation, qui est une organisation à but non lucratif qui travaille avec différentes agences gouvernementales et d'autres partenaires pour améliorer la sécurité informatique. Le but du CVE est de faciliter la communication et la collaboration entre les différentes organisations et individus qui travaillent à protéger les systèmes d'information, contre les attaques malveillantes bien évidemment. A noter que si l'administration américaine décide de stopper ses activités, c'est ce qui arrive en cas de blackout budgétaire, et bien plus aucun code CVE ne sera attribué. Le CVSS, ou Common Vulnerability Scoring System, c'est un peu comme une échelle qui permet d'évaluer l'impact et la gravité de la vulnérabilité. Quand une vulnérabilité est découverte, il y a beaucoup de facteurs à prendre en compte pour comprendre à quel point elle est sérieuse. Par exemple, est-ce qu'il est facile pour un attaquant d'exploiter cette vulnérabilité ? Quel niveau d'accès l'attaquant peut-il obtenir en exploitant cette faille ? Quel type de dégâts pourrait-il causer ? Le CVSS prend en compte tous ces éléments et bien d'autres encore pour donner à chaque vulnérabilité un score entre 0 et 10. Plus le score est élevé, plus la vulnérabilité est jugée grave. C'est un outil super utile pour les professionnels de la sécurité et les administrateurs de systèmes parce que ça leur permet de prioriser les vulnérabilités et de décider lesquelles doivent être corrigées en premier. Si vous avez deux vulnérabilités, mais que l'une a un score CVSS de 9 et l'autre un score de 3, vous savez que vous devez vous occuper de la première en priorité. Le CVSS est un peu comme une boussole qui aide les gens à naviguer dans le monde parfois compliqué de la cybersécurité et à prendre des décisions éclairées pour protéger leur système. Mais on verra plus tard que cette boussole n'est peut-être pas la meilleure dans toutes les circonstances. Tous ces éléments sont ensuite consignés dans un rapport qui est présenté à l'utilisateur. Ce rapport est une véritable mine d'informations contenant des détails sur chaque vulnérabilité identifiée, sa gravité et des recommandations pour la mitigation ou la correction. Mais le travail ne s'arrête pas là. Une fois que les utilisateurs ont pris connaissance du rapport et pris les mesures nécessaires pour corriger les vulnérabilités, le scanner pourra être utilisé à nouveau pour valider que les failles ont bien été résolues de manière satisfaisante. Et c'est là où il est essentiel de faire le bon choix. Dans un monde idéal, vous devriez arrêter les systèmes concernés pour appliquer les correctifs nécessaires. Mais ça, c'est dans un monde idéal. En fait, dans la réalité, vous allez devoir prendre en compte les contraintes du métier. Certains systèmes ont des fenêtres de maintien. assez courte et doivent rester disponibles reste du temps alors comment faire Comment corriger des vulnérabilités et en même temps prendre en compte des contraintes purement business ? Eh bien, c'est l'essence même de la gestion des vulnérabilités. Pour prendre la meilleure décision, il faut avoir la meilleure vision du risque. Et c'est là où les différents facteurs du rapport de scan sont les plus importants. D'une part, il faut prendre en compte l'exposition au risque. Si une faille existe sur un site web accessible du monde entier, le degré d'urgence ne sera pas le même pour une vulnérabilité au fin fond de votre système d'information. Il y a bien entendu le niveau de risque de la faille elle-même, qui est généralement évalué avec son CVSS. Je vous rappelle que plus le score CVSS est haut et plus le risque est élevé. Mais il existe encore d'autres facteurs à prendre en compte, par exemple la popularité de cette faille. J'entends par là que si vous avez deux failles de sécurité avec un CVSS identique, c'est-à-dire que l'impact sur votre système sera le même. Si l'une de ces failles est très populaire, c'est-à-dire qu'il existe des kits d'exploitation directement accessibles sur Internet, alors il sera fort probable que cette faille devra être corrigée en priorité. Dans cet exemple, on voit bien que le CVSS est une analyse statique de l'impact, mais qu'il n'évoluera pas avec le temps. Pour vous aider à mieux percevoir le risque de manière dynamique, il y a le EPSS. Le EPSS, ou Exploited Prediction Scoring System, c'est une manière innovante de voir à quel point une vulnérabilité est susceptible d'être exploitée par des attaquants. Contrairement à d'autres systèmes qui se concentrent sur l'impact ou la gravité d'une vulnérabilité, le EPSS essaie de prédire la probabilité que cette vulnérabilité soit activement utilisée par des attaquants. C'est un peu comme si vous aviez une boule de cristal qui vous permet de voir le futur. Sauf qu'au lieu de prédire des événements de votre vie personnelle, le EPSS utilise des algorithmes et des données historiques pour estimer les chances qu'une vulnérabilité spécifique soit exploitée. Il prend en compte une variété de facteurs, comme l'âge de la vulnérabilité, le type de logiciel affecté, et même les tendances actuelles en matière de cybercriminalité. Toutes ces informations sont ensuite traitées pour donner à chaque vulnérabilité un score entre 0 et 1. Ou un score proche de 1 signifie qu'il y a une forte probabilité que les vulnérabilités soient exploitées. C'est souvent le cas quand une vulnérabilité est militarisée. On dit qu'elle est weaponized dans le jargon. Cela veut dire qu'il existe du code qui permet de lancer des attaques massives et automatiques à travers Internet. Le EPSS est un outil précieux pour les professionnels de la sécurité car il les aide à prioriser les vulnérabilités en fonction de leurs risques réels. Si une vulnérabilité a un score EPSS élevé, ça signifie qu'elle devrait être corrigée en priorité, car il y a de fortes chances qu'elle soit utilisée par des attaquants dans un avenir très proche. Vous avez maintenant une bonne perception des vulnérabilités, mais est-ce que vous avez pour autant une vue exhaustive de toutes les vulnérabilités existantes de votre système d'information ? Et malheureusement, non. Et ce, pour plusieurs raisons. La première, c'est que les scanners de vulnérabilité ne détectent que les vulnérabilités connues, c'est-à-dire qu'ils ne peuvent pas trouver des vulnérabilités de manière spontanée. Ensuite, il faut se souvenir qu'à chaque fois que l'humain intervient, il peut créer des failles dans le système. C'est vrai pour le code qu'il écrit, mais aussi quand il change des configurations dans un environnement. Et c'est là qu'un autre acteur peut intervenir dans la gestion des vulnérabilités, les pentesters. Le Pentester est un peu comme un détective privé du monde numérique. Leur job est de se glisser dans la peau d'un attaquant et d'essayer de trouver des failles de sécurité dans le système. Tu souhaites que j'envoie quelqu'un en particulier au César ? Non, qui tu veux ? Un malin, quelqu'un qui se glisse partout. Carte à puce ? Oui. César, voici carte à puce. Notre meilleur espionne. A.V. César, passe-pérobustesse. Car Tapu, c'est une professionnelle. C'est la reine du camouflage. Exécution. Quand je regarde comme ça, on me voit. Si je regarde comme ça, on me voit plus. On me voit, on me voit plus. On me voit, on me voit plus. On me voit plus, on me voit. On me voit plus, on me voit plus. On me voit, on me voit plus. On me voit un peu, on me voit plus. Ah c'est surprenant ! Ah oui oui ! Ils utilisent une variété d'outils et de techniques pour scanner les réseaux, les applications et les systèmes d'une organisation à la recherche de vulnérabilités qui pourraient être exploitées par des attaquants malveillants. Mais contrairement aux vrais attaquants, l'objectif d'un pentester n'est pas de causer du tort, mais plutôt d'aider les organisations à renforcer leur sécurité. Une fois qu'ils ont terminé leur analyse... Les pentesters rédigent un rapport détaillé qui explique les vulnérabilités qu'ils ont trouvées, comment ils ont réussi à les exploiter et ce que l'organisation peut faire pour les corriger. C'est un peu comme s'ils donnaient à l'organisation une feuille de route pour améliorer sa sécurité et se protéger contre les attaquants futurs. Si le sujet vous intéresse, je vous conseille d'écouter l'épisode hors série numéro 4, consacré au test d'intrusion avec Brice Augra de la société BZ Hunt. Cette méthode, certes très efficace, a un désavantage, c'est que cela ne vous donne une vision qu'un instant T. Dès lors qu'une nouvelle version d'un logiciel sera mise en place, ou que quelqu'un interviendra sur l'infrastructure, vous allez potentiellement avoir de nouvelles failles apparaître. Il existe dans ce cas deux autres méthodes possibles. La première est d'avoir un programme de bug bounty. Le bug bounty, c'est un peu comme une chasse au trésor pour les hackers éthiques. Les organisations mettent en place des programmes de bug bounty pour encourager des chercheurs en sécurité à trouver et à signaler des vulnérabilités dans leur système. En retour, les chercheurs sont récompensés, souvent financièrement, pour leur travail. Les programmes de bug bounty sont un excellent moyen pour les organisations de renforcer leur sécurité. Ils permettent aux chercheurs en sécurité du monde entier de collaborer et de partager leurs connaissances pour aider à identifier et à corriger des vulnérabilités avant qu'elles ne puissent être exploitées par des attaquants malveillants. En somme, le bug bounty sont des approches gagnant-gagnant. Les organisations bénéficient de l'expertise des chercheurs en cybersécurité et les chercheurs sont récompensés pour leur travail acharné. C'est une manière collaborative et innovante de renforcer la cybersécurité d'une organisation. Il existe une alternative, plus récente celle-ci, qui se base sur une approche hybride. Un fournisseur externe va lancer des attaques automatisées, et ce de manière continue, contre votre infrastructure. C'est un peu comme si vous aviez un pentest permanent. Mais bien évidemment, tout ne peut pas être totalement automatisé, et un humain, un pentester en chair et en os, reprendra la main en cas de suspicion. Cette méthode permet d'automatiser un grand nombre de contrôles et de faire intervenir l'humain que quand cela est vraiment nécessaire. Si vous voulez un exemple concret de cette technique, vous pouvez regarder les services proposés par la société française PATROL, le lien sera en description. Si on résume un peu les différentes lorgnettes qui sont mises à notre disposition, nous avons les scans de vulnérabilité, qui sont un outil très utile pour dégrossir la pierre, particulièrement si les scans s'effectuent en mode connecté. Ensuite, il y a les pentesters que vous pouvez impliquer sur des périmètres plus petits, et qui vont vous donner une vision beaucoup plus fine des vulnérabilités. Vous pouvez aussi traiter des périmètres fortement exposés, comme un site web, avec un programme de bug bounty par exemple, ou avec une approche hybride. Vous pouvez aussi donner plus de perspectives à vos choix en prenant en compte des facteurs tels que la facilité d'exploitation et surtout la popularité de certains exploits. La vraie difficulté réside d'une part dans le fait d'avoir la vision la plus exhaustive possible des failles de sécurité, qu'elles soient parfaitement catégorisées ou non, mais aussi dans la complexité de la résolution. Parfois, corriger une vulnérabilité ne nécessite que d'appliquer un correctif, mais parfois, ça nécessite de changer beaucoup plus de choses. C'est là qu'est tout l'art de la gestion des vulnérabilités. Comprendre le degré d'urgence, pas seulement en se basant sur le CVSS, mais avec votre propre perception du risque, mais aussi comprendre l'infrastructure à protéger. Encore une fois, la sécurité ne dépend pas de l'outil mis en œuvre, mais surtout dans l'intelligence de ceux qui l'utilisent. Je ne résisterai pas à l'envie de vous raconter une petite anecdote à propos du film Jour de Fête. A l'origine, Jacques Tati a l'intention de réaliser le film en couleurs, ce qui était révolutionnaire pour l'époque car la majorité des films étaient encore tournés en noir et blanc. Il avait par exemple prévu que les habitants du village soient tous habillés avec des couleurs sombres, alors que les éléments du décor de la fête foraine le soient avec des couleurs vives, le but étant de bien évidemment accentuer le contraste. Pour réaliser ce projet ambitieux, Tati a fait appel à une nouvelle technologie de film en couleur appelée Thompson Colors. Cependant, en raison de problèmes techniques et de contraintes budgétaires, la majorité du film a finalement été tourné en noir et blanc, avec seulement quelques scènes en couleur. En 1964, quelques plans ont été colorisés à la main, afin de se rapprocher du film tel que Jacques Tati l'avait imaginé. En 1995, la petite fille de Jacques Tati, Sophie Tati-Chef, a réussi à restaurer le film en couleur à partir des rushs originaux, permettant enfin aux spectateurs de voir Jour de Fête comme Tati l'avait imaginé. La version en couleur du film offre une expérience visuelle riche et vibrante qui ajoute une nouvelle dimension à l'œuvre de Tati. D'une certaine manière, les différents montages de ce film montrent différents points de vue aux spectateurs et ainsi changent sa perception, un peu comme les différentes méthodes pour détecter des vulnérabilités. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et surtout à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout, n'oubliez pas, pour certains, la cybersécurité est un nouveau vieux mort, bien plus sérieux que ça. Merci.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)