En effet, des télétravailleurs utilisent leurs propres appareils et réseaux domestiques, et représentent donc une menace interne en cas de négligence. Or, une simple violation peut conduire les organisations à des amendes élevées des autorités de régulation, à des temps d’arrêt, à des processus de récupération coûteux, voire à des litiges onéreux impliquant des dommages durables sur leur réputation et leurs profits.

De nombreuses entreprises ont opté pour un modèle basé sur le périmètre, la classification et les conséquences sur le système d’information. 

Ce dernier consiste à évaluer :

• les actifs (les utilisateurs, les appareils et les données) qui ont été touchés par un incident
• le type d’incident (des attaques de Phishing ou de Ransomware)
• les conséquences sur leur activité (l’arrêt des systèmes essentiels ou la perte de données sensibles)

Cette approche semble être une stratégie pertinente, mais elle a des limites significatives : même en prenant les mesures nécessaires pour qu’un incident ne se produise pas, une entreprise demeure toujours exposée aux menaces qu’elle n’a pas encore rencontrées. Les décideurs IT doivent donc se montrer proactifs pour protéger les réseaux et les systèmes, et ce, en anticipant toutes les menaces internes et externes potentielles.

Gestion des vulnérabilités fondée sur les risques

En identifiant de manière proactive et en contenant les vulnérabilités logicielles, les organisations peuvent réduire les risques d’incidents de sécurité et de non-conformité. Cependant, les équipes IT disposent de budgets et de temps limités pour remédier au volume de vulnérabilités auquel elles font face. Or, en adoptant une approche de gestion des vulnérabilités fondée sur les risques, elles seront davantage en mesure de trouver un juste équilibre entre les risques et les coûts. En fait, il s’avère que la grande majorité des vulnérabilités ne présente qu’un risque théorique. Il revient donc aux organisations de prioriser celles auxquelles elles consacreront le temps et le budget dont elles disposent.

Un moyen d’obtenir un aperçu clair et objectif des risques auxquels une organisation est confrontée est de les classer selon deux dimensions clés : la probabilité et l’impact. L’entreprise doit se préoccuper davantage d’une menace qui est probable et dont les dommages sont irréversibles, qu’une menace qui a peu de chances de se concrétiser et dont la portée sera limitée.

Une analyse précise des menaces permet alors de prioriser les risques à traiter, ainsi que ceux qui seront tolérés, c’est-à-dire non pris en compte. En effet, certains d’entre eux peuvent être entièrement éliminés, tandis que d’autres ne peuvent être contenus que par des solutions de contournement ou le recours à des technologies. Dans la mesure du possible, ces stratégies devraient être intégrées à des pratiques de sécurité pérennes, et non des corrections ponctuelles.

Obstacles à une gestion efficace des vulnérabilités

Les organisations manquent souvent d’une visibilité globale de leurs actifs technologiques. Par conséquent, le nombre total de vulnérabilités peut se révéler trop important, et onéreux, pour être géré de manière efficace. En effet, les mesures correctives ou d’atténuation d’un risque ne relèvent pas toujours d’une science exacte, si bien qu’il peut être difficile d’établir un budget précis. De même, les retards inattendus du traitement des risques et des priorités plus urgentes peuvent mobiliser l’attention des équipes gérant les menaces, ce qui retarde ainsi la résolution.

Le manque de coopération entre les équipes de sécurité est également un défi à surmonter puisque les équipes IT éprouvent souvent des difficultés à obtenir l’aide, ou l’application de bonnes pratiques, de la part de leurs collègues. Par ailleurs, les outils à leur disposition peuvent être limités, si bien que des risques majeurs peuvent passer inaperçus ou être très difficiles à résoudre. Enfin, l’erreur humaine est inévitable, les employés en charge de la sécurité n’ont donc d’autre choix que d’être prêt à tous les cas de figure possible.

En outre, lorsqu’une organisation met en place un processus de gestion des vulnérabilités fondé sur les risques, elle doit impérativement éviter de fonder leur stratégie sur des raisonnements erronés. Par exemple, de nombreux dirigeants pensent que si un risque a déjà causé des dommages, il ne se présentera plus à l’avenir, ce qui est faux.

De plus, les équipes doivent utiliser tous les outils à leur disposition. En effet, correctement exploités, certains permettent d’atténuer un risque, voire de le supprimer. L’objectif d’une gestion des vulnérabilités est que, si une organisation souhaite ne pas s’attaquer à certains risques, ce choix est toujours fait en connaissance de cause ; et non pas parce qu’elle sacrifie des frais.

Une gestion des vulnérabilités fondée sur le risque permet aux équipes IT de se concentrer sur les vulnérabilités les plus importantes auxquelles l’organisation est confrontée, ainsi que de prévenir les dommages les plus significatifs. Les calculs et la tolérance au risque dépendent de l’infrastructure IT, des données et des vulnérabilités d’une entreprise à un moment donné. Il faut constamment surveiller et réévaluer le processus de mesure, de hiérarchisation et d’atténuation des risques. Les entreprises seront ainsi en mesure de mieux protéger leurs données et de faire évoluer leurs pratiques.

Par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix