country France - FR
search X
Blog
Topic
Tout
AIoT
Small business
Products and technologies
Industries
Tout
Retail
Traffic
Education
Logistics
Banking
Building
Energy
Manufacturing
Sustainability
Business trends
Cybersecurity
Partner and customer experience
Thermal
Events
Security Operations
Imaging
Trends
Solution
Resources and events
Réinitialiser
Search blog
Blog
Filter
Cancel
Tout
AIoT
Small business
Products and technologies
Industries
Tout
Retail
Traffic
Education
Logistics
Banking
Building
Energy
Manufacturing
Sustainability
Business trends
Cybersecurity
Partner and customer experience
Thermal
Events
Security Operations
Imaging
Trends
Solution
Resources and events
Réinitialiser
Soumettre

L'importance d'un programme de divulgation des vulnérabilités bien géré

Le développement d'un programme systématique de gestion de la divulgation des vulnérabilités et des correctifs est un élément important de l'ensemble des compétences des professionnels de l'informatique et de la cybersécurité dans le secteur de la sécurité physique. Dans cet article, Hikvision fournit des détails sur le processus pour vous aider, vous et votre organisation, à mieux gérer les vulnérabilités.

 

Les vulnérabilités sont des bugs, des failles ou des faiblesses dans les applications, les systèmes d'exploitation et les composants logiciels que les acteurs de la menace peuvent exploiter. Le paysage des menaces ne cesse de gagner en complexité et en surface d'attaque. En 2022, plus de 25 000 nouvelles vulnérabilités et expositions communes à la sécurité informatique (CVE) ont été signalées.  Entre janvier et avril 2023, ce nombre a atteint 7 489 (Statista.com). En outre, chaque PC, smartphone et serveur utilise un système d'exploitation. La croissance des appareils intelligents connectés à l'internet des objets (IoT), tels que les caméras de sécurité vidéo IP, les thermostats intelligents et les appareils électroménagers intelligents, ne fait qu'aggraver la situation.

 

Tous ces systèmes informatiques utilisent des logiciels qui doivent être mis à jour régulièrement, à mesure que de nouvelles vulnérabilités sont découvertes et que des correctifs sont mis à disposition par les éditeurs de logiciels. Certains de ces correctifs sont installés automatiquement, tandis que d'autres exigent que l'utilisateur final du logiciel les installe manuellement. Même si vous êtes à jour avec les correctifs, il est probable que vous utilisiez un logiciel vulnérable, mais que vous n'ayez pas encore découvert toutes les vulnérabilités. C'est pourquoi la gestion des vulnérabilités est essentielle et doit faire partie d'un programme permanent au sein de votre organisation.

 

Les bases de la gestion des vulnérabilités

La structure de base d'un programme de gestion des vulnérabilités comprend les trois éléments suivants

 

1.      Découvrir la vulnérabilité

2.      La signaler au fournisseur

3.      Coordonner la divulgation publique de la vulnérabilité avec un correctif

 

Le processus commence par la découverte d'une vulnérabilité. Les acteurs malveillants (black hat) et les chercheurs en sécurité éthique (white hat) sont constamment à la recherche de vulnérabilités dans les logiciels les plus répandus. Les pirates informatiques cherchent à exploiter ces vulnérabilités à des fins personnelles et financières. Les chercheurs éthiques cherchent à corriger ces vulnérabilités. En règle générale, lorsqu'un chercheur en sécurité découvre une vulnérabilité dans un produit, il alerte l'éditeur du logiciel qui possède et gère ce produit. Le chercheur travaille alors avec le fournisseur pour identifier la vulnérabilité, l'atténuer en créant un correctif et le tester pour s'assurer que le correctif corrige la vulnérabilité. Une fois cette étape franchie, nous entrons dans la phase de divulgation publique du processus.

 

Divulgation publique d'une vulnérabilité

La divulgation correcte d'un correctif de vulnérabilité nécessite également une approche responsable et coordonnée. Lorsqu'un chercheur en sécurité éthique et un éditeur de logiciels travaillent ensemble, les deux parties attendent pour informer le public de la vulnérabilité qu'un correctif fonctionnel soit testé et disponible pour le téléchargement par l'utilisateur final. Cette mesure vise à empêcher les acteurs de la menace d'exploiter la vulnérabilité. Le fournisseur et le chercheur conviendront d'une date officielle de divulgation de la vulnérabilité, date à laquelle le fournisseur publiera une déclaration publique avec un lien vers le correctif. Une fois le correctif officiellement publié, les utilisateurs finaux devront l'installer pour s'assurer que la vulnérabilité a été atténuée.

 

Dans les premiers temps de l'informatique, l'application de correctifs était très confuse car il n'existait pas de convention de dénomination pour les vulnérabilités. En 1999, la Mitre Corporation a voulu remédier à cette situation en créant la base de données CVE, qui attribue un nom unique à chaque vulnérabilité. Cela a considérablement simplifié la vie des administrateurs de systèmes. CVE est désormais la norme industrielle pour les identificateurs de vulnérabilité et d'exposition.

 

En février 2020, Hikvision a été désigné par Mitre Corporation comme autorité de numérotation des vulnérabilités et expositions communes (CVE), une CNA CVE, pour son programme de gestion des vulnérabilités. La majorité des utilisateurs finaux de caméras de sécurité Hikvision ont corrigé les vulnérabilités connues ou ne rendent pas les dispositifs accessibles depuis Internet, ce qui élimine le risque d'un piratage réussi.

 

Rôles et responsabilités

Tous les acteurs du secteur de la sécurité physique ont une responsabilité dans le processus de cybersécurité et de divulgation des vulnérabilités.

 

Les fournisseurs de logiciels peuvent travailler avec des équipes internes ou des ressources externes pour évaluer les risques et découvrir les vulnérabilités à l'aide d'outils de balayage ou de diverses bases de données telles que CVE et la National Vulnerability Database (NVD). Le système CVSS (Common Vulnerability Scoring System) peut également vous aider à évaluer les risques grâce à son système de notation de la gravité, qui permet d'attribuer une note précise à votre risque de cybersécurité sur une échelle allant de "faible 0,1-3,9" à "critique 9,0-10,0".

 

Les efforts d'atténuation à l'échelle de l'organisation nécessitent la découverte et la divulgation responsable des correctifs afin de garantir une stratégie solide en matière de risques de cybersécurité. Comprendre l'approche peut également vous aider à identifier et à mener de meilleures réponses aux vulnérabilités à l'avenir.

 

Pour en savoir plus, téléchargez le livre blanc de Hikvision sur la gestion des vulnérabilités.

Votre consentement aux cookies

Hikvision.com utilise des cookies et des technologies associées strictement nécessaires pour permettre au site Web de fonctionner, notamment pour vous authentifier / sécuriser notre service / enregistrer certaines préférences / enregistrer vos préférences en matière de cookies.

Avec votre consentement, nous aimerions également utiliser des cookies pour observer et analyser les niveaux de trafic et d'autres mesures / vous montrer des publicités ciblées / vous montrer des publicités en fonction de votre localisation. Vous pouvez toujours vous opposer et modifier l'utilisation de ces cookies en utilisant le bouton Gérer les cookies sur le site Web.

Pour plus d'informations sur les pratiques en matière de cookies, veuillez consulter notre politique relative aux cookies.

Gérer les cookies Rejeter tout Accepter
Accepter
Rejeter tout Gérer les cookies
Contacts
Commercial
Assistance Technique
S'abonner à la Newsletter
Service en ligne
Where to Buy
Website Feedback
Contactez-Nous
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.