Le développement d'un programme systématique de gestion de la divulgation des vulnérabilités et des correctifs est un élément important de l'ensemble des compétences des professionnels de l'informatique et de la cybersécurité dans le secteur de la sécurité physique. Dans cet article, Hikvision fournit des détails sur le processus pour vous aider, vous et votre organisation, à mieux gérer les vulnérabilités.
Les vulnérabilités sont des bugs, des failles ou des faiblesses dans les applications, les systèmes d'exploitation et les composants logiciels que les acteurs de la menace peuvent exploiter. Le paysage des menaces ne cesse de gagner en complexité et en surface d'attaque. En 2022, plus de 25 000 nouvelles vulnérabilités et expositions communes à la sécurité informatique (CVE) ont été signalées. Entre janvier et avril 2023, ce nombre a atteint 7 489 (Statista.com). En outre, chaque PC, smartphone et serveur utilise un système d'exploitation. La croissance des appareils intelligents connectés à l'internet des objets (IoT), tels que les caméras de sécurité vidéo IP, les thermostats intelligents et les appareils électroménagers intelligents, ne fait qu'aggraver la situation.
Tous ces systèmes informatiques utilisent des logiciels qui doivent être mis à jour régulièrement, à mesure que de nouvelles vulnérabilités sont découvertes et que des correctifs sont mis à disposition par les éditeurs de logiciels. Certains de ces correctifs sont installés automatiquement, tandis que d'autres exigent que l'utilisateur final du logiciel les installe manuellement. Même si vous êtes à jour avec les correctifs, il est probable que vous utilisiez un logiciel vulnérable, mais que vous n'ayez pas encore découvert toutes les vulnérabilités. C'est pourquoi la gestion des vulnérabilités est essentielle et doit faire partie d'un programme permanent au sein de votre organisation.
Les bases de la gestion des vulnérabilités
La structure de base d'un programme de gestion des vulnérabilités comprend les trois éléments suivants
1. Découvrir la vulnérabilité
2. La signaler au fournisseur
3. Coordonner la divulgation publique de la vulnérabilité avec un correctif
Le processus commence par la découverte d'une vulnérabilité. Les acteurs malveillants (black hat) et les chercheurs en sécurité éthique (white hat) sont constamment à la recherche de vulnérabilités dans les logiciels les plus répandus. Les pirates informatiques cherchent à exploiter ces vulnérabilités à des fins personnelles et financières. Les chercheurs éthiques cherchent à corriger ces vulnérabilités. En règle générale, lorsqu'un chercheur en sécurité découvre une vulnérabilité dans un produit, il alerte l'éditeur du logiciel qui possède et gère ce produit. Le chercheur travaille alors avec le fournisseur pour identifier la vulnérabilité, l'atténuer en créant un correctif et le tester pour s'assurer que le correctif corrige la vulnérabilité. Une fois cette étape franchie, nous entrons dans la phase de divulgation publique du processus.
Divulgation publique d'une vulnérabilité
La divulgation correcte d'un correctif de vulnérabilité nécessite également une approche responsable et coordonnée. Lorsqu'un chercheur en sécurité éthique et un éditeur de logiciels travaillent ensemble, les deux parties attendent pour informer le public de la vulnérabilité qu'un correctif fonctionnel soit testé et disponible pour le téléchargement par l'utilisateur final. Cette mesure vise à empêcher les acteurs de la menace d'exploiter la vulnérabilité. Le fournisseur et le chercheur conviendront d'une date officielle de divulgation de la vulnérabilité, date à laquelle le fournisseur publiera une déclaration publique avec un lien vers le correctif. Une fois le correctif officiellement publié, les utilisateurs finaux devront l'installer pour s'assurer que la vulnérabilité a été atténuée.
Dans les premiers temps de l'informatique, l'application de correctifs était très confuse car il n'existait pas de convention de dénomination pour les vulnérabilités. En 1999, la Mitre Corporation a voulu remédier à cette situation en créant la base de données CVE, qui attribue un nom unique à chaque vulnérabilité. Cela a considérablement simplifié la vie des administrateurs de systèmes. CVE est désormais la norme industrielle pour les identificateurs de vulnérabilité et d'exposition.
En février 2020, Hikvision a été désigné par Mitre Corporation comme autorité de numérotation des vulnérabilités et expositions communes (CVE), une CNA CVE, pour son programme de gestion des vulnérabilités. La majorité des utilisateurs finaux de caméras de sécurité Hikvision ont corrigé les vulnérabilités connues ou ne rendent pas les dispositifs accessibles depuis Internet, ce qui élimine le risque d'un piratage réussi.
Rôles et responsabilités
Tous les acteurs du secteur de la sécurité physique ont une responsabilité dans le processus de cybersécurité et de divulgation des vulnérabilités.
Les fournisseurs de logiciels peuvent travailler avec des équipes internes ou des ressources externes pour évaluer les risques et découvrir les vulnérabilités à l'aide d'outils de balayage ou de diverses bases de données telles que CVE et la National Vulnerability Database (NVD). Le système CVSS (Common Vulnerability Scoring System) peut également vous aider à évaluer les risques grâce à son système de notation de la gravité, qui permet d'attribuer une note précise à votre risque de cybersécurité sur une échelle allant de "faible 0,1-3,9" à "critique 9,0-10,0".
Les efforts d'atténuation à l'échelle de l'organisation nécessitent la découverte et la divulgation responsable des correctifs afin de garantir une stratégie solide en matière de risques de cybersécurité. Comprendre l'approche peut également vous aider à identifier et à mener de meilleures réponses aux vulnérabilités à l'avenir.
Pour en savoir plus, téléchargez le livre blanc de Hikvision sur la gestion des vulnérabilités.