Gestion des vulnérabilités
| Version | Date Edition | Acteur | Nature des évolutions |
|---|---|---|---|
| 001 | 14/11/2024 | FGA | Création |
| 002 | xx/xx/xxxx | Trigramme | Intitulé |
| 003 | xx/xx/xxxx | Trigramme | Intitulé |
Objectifs de ce document
L’objectif de ce document est de détailler les différentes étapes de la gestion des vulnérabilités au sein de l’entreprise
- Détection (D)
- Prise en compte (P)
- Traitement (T)
- Surveillance (S)
Diffusion du document
Lister ici les différentes entités à qui s’adresse ce document (Interne, sous-traitant , organisme de certification)
Definition d’une vulnérabilité
Une vulnérabilité informatique est un défaut de sécurité. Elle se situe dans un système d’information, une application, un logiciel, ou même au cœur d’un composant matériel.
Ces failles proviennent également des utilisateurs et de leur façon de se servir de leurs outils informatiques.
La faiblesse de la sécurité d’une entreprise possède donc des origines multiples.
Vulnérabilités des systémes informatiques
Ce sont les vulnérabilités directement liées aux systèmes d’information comme les éléments actifs du réseau , les différents systèmes d’exploitation ainsi que toutes les applications utilisées dans une entreprise.
Les vulnérabilités applicatives
Les vulnérabilités applicatives sont des failles dans les programmes informatiques qui peuvent être exploitées par des attaquants pour accéder à des systèmes ou des données sensibles. Les vulnérabilités de logiciel peuvent être causées par des erreurs de programmation, des bogues, des failles de conception ou des mises à jour de sécurité manquantes.
Lister dans ce tableau les différentes application/logiciels utilisés dans l’entreprise.
| Nom de l’application | Editeur | Responsable | Commentaires |
|---|---|---|---|
| Office 365 | Microsoft | Entreprise | Suite bureautique collaborative |
| Sage X3 | Sage | Revendeur | ERP |
| Application WEB | Wordpress | Agence WEB | Site Internet mysociete.com |
| ESET EDR | ESET | Sous-Traitant IT | Antivirus EDR |
Vulnérabilités du systéme d’exploitation
Les systèmes d’exploitation sont le cœur des ordinateurs et des appareils mobiles, et sont souvent ciblés par les attaquants pour exploiter des vulnérabilités. Les vulnérabilités du système d’exploitation peuvent être causées par des bogues, des erreurs de configuration, des ports ouverts ou des mises à jour de sécurité manquantes.
| Type de matériel | Systéme d’exploitation | Responsable | Commentaires |
|---|---|---|---|
| Serveur AD | Microsoft server 2012 | Fournisseur IT | AD et Systéme de fichier |
| Poste de travail | Windows 10 Entreprise | Revendeur | 30 postes |
| Poste de Direction | Mac OS | Entreprise | Poste de M. le Directeur |
| Imprimantes | Xerox | Revendeur | Systéme d’impression |
Vulnérabilités de réseau
Les vulnérabilités de réseau sont des failles dans les protocoles et les services réseau qui peuvent être utilisées pour accéder à des systèmes ou des données sensibles. Les vulnérabilités de réseau peuvent être causées par des erreurs de configuration, des défauts de conception, des faiblesses de cryptage ou des mots de passe faibles.
| Type de matériel | Version | Responsable | Commentaires |
|---|---|---|---|
| Switch CISCO | Cisco IOS 9.21 | Fournisseur IT | Cœur de réseau |
| Borne Wi-Fi TP Link | Fedora20 | Revendeur | Wi-Fi Visiteurs |
| Pare-Feu / UTM | Sophos 9.7 MR20 | Fournisseur IT | Pare Feu accès Internet |
Moyens d’identification des vulnérabilités liées aux systèmes d’information
| Source de détection | Outil utilisé | Périmètre |
|---|---|---|
| SCAN | Qualys | Applications Web |
| SCAN | Kali Linux | Actifs publics |
| Pentest | Prestation externe | Pentest réseau local |
| Veille | OCD | Tous les actifs |
Evaluation et plan de traitement
1. Critéres d’évaluation
Les vulnérabilités sont évaluées (essentiellement via le score CVSS ou de son importance dans les scénarios d’attaques détectées lors des scans ou des pentests) et classifiées suivant 4 niveaux
- Critique
- Majeur
- Modéré
- Faible
2. Plan d’action
| Type de vulnérabilité | Score CVSS | Engagement de plan d’action |
|---|---|---|
| Low | 0,1 – 3 ,9 | Best Effort |
| Medium | 4,0 – 6,9 | Best Effort |
| High | 7,0 – 8,9 | 7 jours à compter de la détection |
| Critical | 9,0 - 10 | 3 jours à compter de la détection |
Vulnérabilités humaines physiques et environnementales
1. Vulnérabilités humaines
Les vulnérabilités humaines sont des failles causées par des erreurs humaines telles que des mots de passe faibles, des téléchargements de logiciels malveillants, des clics sur des liens suspects, ou des erreurs de configuration.
Un plan de sensibilisation aux bonnes pratiques , une charte informatique sont les outils utilisés pour traiter cet aspect des vulnérabilités
2. Vulnérabilités Physiques
| Type | Version | Responsable | Commentaires |
|---|---|---|---|
| Badgeuse | X4 | DRH/Revendeur | Kelio/Bodet |
| Caméra de surveillance | Fedora20 | Revendeur | Wi-Fi Visiteurs |
Les vulnérabilités issues de ces matériels ne sont pas à négliger d’autant plus s’ils ont reliés au systéme d’information de l’entreprise ( console de supervision connectée au réseau par exemple)
Une revue régulière de la mise à jour de ces matériels doit être faite. Le mêmes critères et plan d’action que pour les systèmes d’information peuvent être appliqués.