Aujourd’hui, protéger son entreprise passe principalement par le déploiement de solutions telles que des pare-feu, des EDR… C’est également faire monter en compétences des ressources humaines qui prendront en charge les différents aspects opérationnels liés aux thématiques de la sécurité et de la sureté. Mais au commencement, c’est surtout faire preuve d’une bonne gestion des risques (IT, mais pas que…). Si les systèmes (informatiques) des entreprises évoluent rapidement, il en est de même des menaces qui pèsent sur elles. Comment anticiper ces menaces, me direz-vous ?
Dans cette série d’articles, nous vous proposons de partager avec vous les meilleures pratiques en matière d’utilisation d’un service de veille en vulnérabilités. Nous espérons que ces articles vous aideront à mieux appréhender cet aspect indispensable d’une bonne politique de sécurité informatique.
Episode 1. Vous saurez tout, ou presque, sur les vulnérabilités
Tous les systèmes informatiques, logiciels ou applications, sont développés par des êtres humains. Même les plus expérimentés des développeurs peuvent être amenés à commettre des erreurs qui deviendront, pour certaines, des vulnérabilités. Celles-ci pourront alors être exploitées par un attaquant, en fonction de leurs caractéristiques, pour rendre, par exemple, indisponible un service, dégrader l’intégrité d’une donnée, ou pour dérober des informations sensibles… Les systèmes vulnérables constituent alors une porte d’entrée pour les pirates vers le cœur même de l’entreprise.
Véritables passe-partout pour s’introduire dans les systèmes d’informations des entreprises, les vulnérabilités peuvent également devenir de vraies mines d’or pour ceux qui les découvrent. Les moins scrupuleux revendent aux plus offrants, via des places de marché sur le darkweb, soit la faille, soit le kit d’exploitation (échantillon de code prêt à être exécuté pour exploiter la vulnérabilité facilement, sans même avoir à la comprendre).
Autre possibilité, bien plus honnête et tout aussi rentable : revendre directement la faille à l’éditeur ou le fabricant concerné dans le cadre de programmes appelés « Bug Bounty ». Aujourd’hui, un des programmes les plus intéressants est celui d’Apple, qui a annoncé que les montants pour la découverte de vulnérabilités dans leur système, pourraient aller jusqu’à 1 million de dollars en fonction de l’importance de la faille.

Présentation du Bug Bounty Apple(1) – août 2019
Vous l’aurez compris : détecter, maîtriser et gérer les vulnérabilités qui pourraient affecter votre système d’information est indispensable pour se protéger efficacement contre les cyber-attaques.
Dans le prochain volet de notre dossier, nous reviendrons plus en détails sur une des méthodes, les plus performantes, pour gérer les failles de sécurité : la veille en vulnérabilités.
Pour en savoir plus sur l’offre de Veille du CERT-XMCO : https://www.xmco.fr/veille-en-vulnerabilites/.
Pour tester ce service gratuitement pendant 14 jours, cliquez ici.