Retour aux actualités
Article suivant Article précédent

Revue 173 - Gestion des vulnérabilités vers une meilleure gestion des risques opérationnels

Articles Revue TELECOM

-

15/07/2014


Gestion des vulnérabilités
 


vers une meilleure gestion 

des risques opérationnels



Par François Gratiolet (1999) dans la revue TELECOM n° 173
 

Les systèmes d’information dont nous dépendons désormais tant dans notre vie professionnelle et privée sont hautement vulnérables, et leurs défaillances potentielles deviennent une question de stabilité financière majeure.

Le directeur exécutif de la stabilité financière de la Banque d’Angleterre, Andrew Haldane, a déclaré1 que les cyber-attaques sont prises de plus en plus au sérieux par les dirigeants des grandes banques du Royaume-Uni, présentant une plus grande menace que la crise de la zone euro.

A l’instar de l’exercice de robustesse réalisé par les banques françaises2, un récent exercice baptisé «Opération Waking Shark 2 » a été réalisé au Royaume-Uni pour simuler une attaque sur les prestataires de paiement, les banques et les marchés, afin d’identifier les faiblesses dans les stratégies de défense des communications et des procédures.

Au cours des six derniers mois, plusieurs institutions financières britanniques ont en effet connu des cyber-attaques, dont certaines ont perturbé les services. Alors que les pertes ont été relativement faibles par rapport aux exigences de capital-risque opérationnel des banques du Royaume-Uni, ces attaques ont révélé les vulnérabilités informatiques des organismes bancaires et financiers. Ces vulnérabilités existent en raison d’un haut degré de connectivité, d’infrastructures de marché centralisées et de systèmes informatiques complexes.
 

Des attaques trop souvent évitables

Par ailleurs, l’étude DBIR (Data Breach Investigations Report) réalisée en 2012 par l’opérateur de télécommunications Verizon a révélé suite à « l’autopsie » de 855 incidents que 97% des infractions réussies auraient été évitées si la victime avait déployé entre autres les correctifs de sécurité qui existaient avant l’attaque, et utilisé des mots de passe robustes. Un retour aux basiques est ainsi plus qu’urgent !

L’exploitation d’une seule vulnérabilité informatique d’un actif (systèmes, réseaux, bases de données, applications Web, etc.) peut porter préjudice aux activités opérationnelles d’une banque et son PNB, détériorer son image, et entraîner une perte de confiance de ses clients.

La gestion des vulnérabilités est une mesure « de bonne hygiène » déjà présente dans tous les référentiels, standards ou bonnes pratiques du marché : ISO 27000, PCI-DSS, ETSI ISI, le guide d’hygiène de l’ANSSI, ou encore les « 20 Critical Controls » du SANS Institute et du Conseil de la Cybersécurité3.

Dans le cadre des accords de Bâle, les banques et les institutions financières doivent gérer leurs risques opérationnels. Dans ce contexte, la gestion des vulnérabilités est un pilier essentiel de tout programme de sécurité des systèmes d’information, et enrichit le profil de risque de la banque.
 

Gérer ses vulnérabilités, une question d’hygiène élémentaire !

La gestion des vulnérabilités se traduit par une activité opérationnelle qui permet de collecter à fréquence continue ou permanente des informations (actifs, failles logicielles, vulnérabilités de configurations, etc.) et permet d’ajuster si besoin les politiques de sécuritéau regard de l’exposition aux risques. Dans un contexte bancaire, il s’agit d’un contrôle permanent de niveau 2.

A titre d’illustration, si nous prenons la récente faille médiatisée Heartbleed4 qui a touché entre autres les sites Internet de banques, d’e-commerce et de réseaux sociaux, la gestion des vulnérabilités permet de répondre aux questions suivantes : quel est le nombre d’applications Web exposées sur Internet ? Quelles sont les applications internes vulnérables à Heartbleed ? Quel est l’état d’avancement du plan de remédiation ? Les certificats SSL des sites Web ont-ils été révoqués ? Dispose-t-on de l’assurance que les applications Web vulnérables ne le sont plus ?

La valeur apportée est ainsi de détecter rapidement et de corriger les vulnérabilités qui représentent un risque opérationnel majeur et réel pour la banque avant qu’elles ne soient exploitées. Les Dirigeants et Responsables Sécurité des Systèmes d’Information disposent ainsi d’une vision globale et consolidée de l’exposition aux risques de l’infrastructure informatique et peuvent prendre les décisions pour réduire le risque à un niveau acceptable.

Cependant, selon l’enquête mondiale « Global Financial Services Industry Security Study » réalisée par Deloitte en 2012, seulement 49% des organisations interrogées prétendent gérer activement les vulnérabilités de leurs systèmes d’information. Comment peut-onexpliquer ce résultat ?
 















Activité de gestion des vulnérabilités et contrôle permanent de l’exposition aux risques (source CLUSIF 2014)

 



Ne pas le faire, une preuve d’immaturité

Les organisations mettent en oeuvre encore de manière insuffisante ce type d’initiative, par une maturité insuffisante et probablement par une connaissance partielle de la valeur apportée par la gestion des vulnérabilités. Des solutions technologiques matures existent pourtant.

Mais lorsque des solutions sont déployées, il existe souvent un manque d’organisation et de processus indispensables à l’utilisation efficience de ces outils. De plus, les administrateurs informatiques sont peu incités à déployer les correctifs de sécurité ou à modifier les configurations sur les systèmes informatiques lorsque des vulnérabilités sont découvertes.

Les vulnérabilités informatiques constituent un risque majeur opérationnel et nécessitent d’être adressées au plus haut niveau. Le Gartner Group estime « qu’en 2015, 80% des attaques réussies exploiteront des vulnérabilités connues ».

Pour éviter ces écueils, les banques doivent intégrer encore plus la gestion des vulnérabilités au cœur de leur stratégie de sécurité et des processus métiers. Un programme de gestion des vulnérabilités doit être lancé et visible de la Direction Générale ainsi que desDirections métiers afin que celles-ci en comprennent la valeur et l’intérêt pour leurs activités et allouent les ressources en conséquence.
 

Les facteurs clefs de succès d’une telle démarche sont

  • Adopter une approche raisonnée et structurée
  • Impliquer l’ensemble des parties prenantes concernées
  • Nommer un responsable du programme de gestion des vulnérabilités
  • Allouer un budget spécifique à la fois d’investissement et de fonctionnement
  • Organiser, automatiser et industrialiser le processus
  • Créer des « incentives » pour les administrateurs informatiques
  • Définir des indicateurs clefs pour s’assurer de la performance opérationnelle
 

 

1. http://www.computerworlduk.com/news/security/3491514/recent-cyber-attacks-reveal-bank-vulnerabilities-says-bank-of-england/ 

2. http://www.fbf.fr/fr/files/96PAZF/Rapport-exercice-de-place-2012.pdf 

3. http://www.counciloncybersecurity.org/practice-areas/technology/ 

4. http://www.lefigaro.fr/secteur/high-tech/2014/04/11/01007-20140411ARTFIG00496-heartbleed-la-faille-qui-frappe-le-coeur-de-la-securite-sur-internet.php

 

L’auteur
 


François 
GRATIOLE(1999), est CSO South EMEA de Qualys. Qualys Inc. (NASDAQ : QLYS) est le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, et compte plus de 6,700 entreprises clientes dans plus de 100pays. La plate-forme QualysGuard permet d’obtenir une vue consolidée et unifiée du niveau de sécurité et de conformité.

 

455 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril