Face à la recrudescence des cybermenaces, les RSSI doivent analyser finement les vulnérabilités pour évaluer correctement leur niveau de criticité et hiérarchiser les actions de remédiation.
Plusieurs indicateurs et standards permettent d’enrichir une vulnérabilité au-delà de sa simple criticité technique mesurée par le CVSS.
Le score de vulnérabilité CVSS
Le score CVSS (Common Vulnerability Scoring System) est un standard international d’évaluation des failles de sécurité.
Il s’appuie sur trois métriques :
- Vecteurs d’attaque
- Complexité d’exploitation
- Impacts métier
Le score CVSS, compris entre 0 et 10, mesure la criticité intrinsèque d’une vulnérabilité. Il est une première brique dans l’analyse de risque, mais ne reflète pas les menaces réelles pesant sur l’entreprise. Un score CVSS élevé ne signifie pas forcément que la vulnérabilité sera réellement exploitée.
L’Exploit Prediction Scoring System (EPSS)
L’Exploit Prediction Scoring System (EPSS) est un système de notation des vulnérabilités qui vise à estimer la facilité d’exploitation d’une faille de sécurité et le niveau de privilèges qu’un pirate pourrait obtenir en la exploitant.
Concrètement, l’EPSS se base sur 4 critères :
- La complexité d’exploitation : une faille facile à exploiter aura un score EPSS plus élevé.
- Le niveau d’accès obtenu : une vulnérabilité permettant d’obtenir des privilèges élevés (administrateur par exemple) marquera plus de points EPSS.
- La configuration requise pour l’exploitation : moins il y a de conditions à remplir, plus le score EPSS est important.
- La portée de l’exploitation : une faille exploitable à distance marquera davantage de points EPSS qu’une vulnérabilité nécessitant un accès local.
En fusionnant ces différents aspects, l’EPSS donne un aperçu rapide de la criticité réelle d’une vulnérabilité et de la probabilité que des hackers malintentionnés parviennent à l’exploiter.
Contrairement au CVSS qui mesure la sévérité intrinsèque d’une faille, l’EPSS estime le risque d’exploitation concret dans le contexte de l’organisation. Cet indicateur enrichit donc utilement l’analyse de risques réalisée par les RSSI.
Le classement des vulnérabilités selon la CISA
Aux Etats-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) publie régulièrement des bulletins listant les vulnérabilités jugées les plus critiques pour les infrastructures nationales.
Ce classement CISA distingue 3 catégories :
- Urgent (10 jours max pour patcher)
- Élevé (30 jours)
- Moyen (90 jours)
Bien que centré sur les services essentiels (énergie, eau, transport…), ce classement fournit un éclairage précieux pour tout RSSI souhaitant prioriser ses plans d’actions.
En France, l’ANSSI publie également des bulletins de veille listant les vulnérabilités nécessitant un traitement prioritaire.
Analyse MITRE ATT&CK des vulnérabilités
Le framework MITRE ATT&CK est progressivement devenu un standard dans l’analyse des cybermenaces.
Cette matrice, maintenue par des experts en sécurité offensive, décrit l’ensemble des tactiques et techniques utilisées lors d’une cyberattaque.
ATT&CK permet d’enrichir les vulnérabilités avec deux indicateurs essentiels pour l’évaluation des risques :
- Potentiel d’accès initial au système d’information
- Potentiel de contrôle à distance en cas d’exploitation
Ces indicateurs ATT&CK complètent utilement une analyse de type CVSS centrée sur les aspects techniques. Ils aident le RSSI à prioriser les vulnérabilités offrant une porte d’entrée attractive aux attaquants dans le SI.
L’application SCUBA intègre par exemple ce moteur d’analyse MITRE ATT&CK des vulnérabilités.
Passer d’une logique CVSS à une logique de risques métier
Les indicateurs CVSS, CISA et MITRE ATT&CK apportent un éclairage essentiel pour hiérarchiser les vulnérabilités et définir des priorités d’action.
Cependant, ces aspects techniques ne suffisent pas. L’analyse de risques doit intégrer la dimension métier de chaque vulnérabilité :
- Quelles sont les probabilités de survenue ? Détectabilité de la faille, facilité d’exploitation, motivation et capacité estimée des attaquants…
- Quels seraient les impacts business ? Indisponibilité de services critiques, atteintes à la réputation, vols de données sensibles…
Ce n’est qu’en croisant ces différentes dimensions qu’un RSSI pourra réellement orienter les investissements de sécurité vers les enjeux les plus importants de l’entreprise.
Une bonne connaissance des risques métier et une analyse multicritères des vulnérabilités sont donc indispensables pour une stratégie efficace d’optimisation des dépenses de cybersécurité !