Qu’est-ce que la gestion des vulnérabilités ? Pierre Louis Gensou, analyste en vulnérabilité, explique…
La gestion des vulnérabilités et la veille en vulnérabilités sont des éléments cruciaux de la sécurité informatique. En tant qu’analyste en vulnérabilités, mon rôle consiste à identifier les failles de sécurité, évaluer leur impact sur les composants que nous surveillons et informer les clients des risques associés.
Cet article vise à vous présenter l’équipe Vulnérabilité d’Airbus Protect, au sein de laquelle on retrouve la veille active et la veille passive, expliquer le métier d’analyste en recherche de vulnérabilités, ce que sont les vulnérabilités informatiques et comment les gérer.
Qu’est-ce qu’une vulnérabilité ?
Quand on parle de “vulnérabilité”, on parle en réalité de “CVE” (*Common Vulnerabilities and Exposures*). Cet identifiant est sa carte d’identité, il est unique et permet de différencier chaque vulnérabilité pour le suivi. Pour nos analyses, nous nous appuyons sur les scores “CVSS” (*Common Vulnerability Scoring System*) de 0 à 10 pour détailler l’impact, les méthodes d’exploitation et la criticité potentielle.
Le score CVSSv3 est calculé à partir de 3 métriques :
Le score de base :
Il est immuable et est rempli en fonction de différentes sous-métriques. On renseigne le vecteur d’attaque de la vulnérabilité, comment peut-elle être exploitée (via un accès physique, via un réseau local adjacent, via le réseau) ? Quelle complexité ? Est-ce que l’attaquant a besoin d’être authentifié ? Et quels sont ses impacts sur les trois principes de la sécurité informatique : Confidentialité, Intégrité et Disponibilité ?
Le score temporel :
Ce score varie en fonction de “l’actualité” de la vulnérabilité, si des correctifs sont publiés par les éditeurs ou si des exploits sont développés par les attaquants.
Le score environnemental :
C’est ce score qui varie le plus pour l’équipe Vulnérabilité. En fonction de chaque projet, une CVE n’aura pas le même impact ni la même pertinence selon l’infrastructure des différents projets surveillés. Par exemple, si un réseau est isolé du monde extérieur par sa configuration alors une vulnérabilité avec un vecteur d’attaque local aura un risque minime. Ces métriques sont généralement calculées par le client en amont.
Vulnérabilités Importantes récentes :
Récemment, une vulnérabilité a été recensée affectant PHP. D’après le CERT-FR, la CVE-2024-4577 a un score de base de 9.8 et possède un impact jugé critique par l’éditeur, elle peut provoquer une exécution de code à distance. Elle a été découverte lors d’un exercice de pentest par les équipes de Devcore.
Cette vulnérabilité est en réalité un contournement du patch corrigeant la CVE-2012-1823 (découverte en 2012!), cela montre clairement la dynamique entre les éditeurs qui développent des correctifs pour sécuriser les systèmes et les attaquants qui tentent de trouver de nouvelles failles. Il est important de préciser que ce ne sont pas nécessairement les hackers qui trouvent des vulnérabilités mais aussi des experts en cybersécurité, tel que les pentesters.
Quelle est la différence entre vulnérabilité passive et vulnérabilité active ?
Au sein de notre équipe Threat Management Centre (TMC), les activités de Vulnerability sont séparées en deux :
La vulnérabilité passive :
La vulnérabilité passive permet d’identifier et de traiter quotidiennement les vulnérabilités impactant les composants des différents projets que l’équipe surveille. Lorsqu’une faille de sécurité est pertinente, les membres de l’équipe rédigent un bulletin de sécurité à destination des clients dans lequel sont expliqués en détail quels composants sont impactés, quels correctifs doivent être installés et le niveau de criticité sur le projet.
On dit que c’est de la vulnérabilité passive car ce n’est pas une surveillance proactive c’est à dire que, pour rédiger un bulletin de sécurité, les équipes attendent qu’une vulnérabilité soit répertoriée par :
- les différents éditeurs (e.g. Microsoft, Cisco, Red Hat)
- les organismes (e.g. CERT-FR, CISA, NIST)
Pour chaque projet, nos experts ont à disposition la liste des composants avec leur version et le système d’exploitation. A l’heure actuelle, nous surveillons plusieurs milliers de composants pour une quinzaine de projets provenant de clients externes et nous publions en moyenne une centaine de bulletins par mois. Pour faciliter le traitement de l’information et la détection, l’équipe Vulnérabilité travaille avec différents outils :
- Feedly, qui agrège toutes les sources qui sont pertinentes et qui permet d’accéder aux publications de chaque éditeur. Chaque vulnérabilité peut être suivie notamment pour détecter une quelconque exploitation par des attaquants.
- Vulnerability Intelligence Platform (VIP) : la plateforme développée en interne via laquelle on rédige les bulletins de sécurité. Chaque composant est identifié par son « CPE » (Common Platform Enumeration) sous la forme cpe:/<part>:<vendor>:<product>:<version> par exemple :
cpe:/a:microsoft:edge:121.0.2277.83 représente la version 121.0.2277.83 de Microsoft Edge.
part : application
vendor : microsoft
product : edge
version : 121.0.2277.83
On identifie toutes les vulnérabilités qui affectent cette version du produit puis on rédige le bulletin de sécurité.
La vulnérabilité active :
Pour la vulnérabilité active, les outils et les clients sont totalement différents puisque c’est la surveillance du groupe Airbus et de ses entités dont il s’agit. L’équipe Vulnérabilité surveille activement les assets grâce à au scanner de détection Qualys qui permet de sonder les systèmes informatiques à la recherche de vulnérabilités. L’objectif est de les identifier, puis de les patcher le plus rapidement possible.
Conclusion
La gestion des vulnérabilités est une des missions les plus importantes en matière de cybersécurité. En effet, il est essentiel de pouvoir avoir accès aux dernières informations sur les vulnérabilités qui pourraient toucher votre système d’exploitation, votre infrastructure, etc mais également comment y remédier.
Vous êtes intéressé.e.s par un service de veille en vulnérabilités ?