Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
CIS Control 7 : Gestion continue des vulnérabilités

CIS Control 7 : Gestion continue des vulnérabilités

May 4, 2022

Le Centre pour la sécurité Internet (CIS) fournit des Contrôles de Sécurité Critiques pour aider les organisations à améliorer la cybersécurité. Le contrôle 7 aborde la gestion continue des vulnérabilités (ce sujet était précédemment traité dans le CIS Control 3).

Contenu connexe sélectionné :

La gestion continue des vulnérabilités est le processus d'identification, de priorisation, de documentation et de correction des points faibles dans un environnement informatique. La gestion des vulnérabilités doit être continue car les données sensibles augmentent à un rythme sans précédent et les attaques se multiplient tant en fréquence qu'en sophistication.

Ce contrôle décrit 7 meilleures pratiques qui peuvent aider les organisations à minimiser les risques pour leurs ressources informatiques critiques.

Contenu connexe sélectionné :

7.1. Établissez et maintenez un processus de gestion des vulnérabilités.

La première mesure de protection recommande aux organisations de créer un processus de gestion continue des vulnérabilités et de le réviser annuellement ou « lorsque des changements importants dans l'entreprise se produisent qui pourraient avoir un impact sur cette Sauvegarde. »

Un processus de gestion continue des vulnérabilités doit se composer de 4 composants :

  • Identification. Les organisations doivent identifier tout leur code propriétaire, applications tierces, données sensibles, composants open source et autres actifs numériques, puis identifier leurs faiblesses. Les outils d'évaluation et les scanners peuvent aider dans ce processus, qui devrait être répété aussi rarement qu'une fois par semaine ou aussi fréquemment que plusieurs fois par jour, selon la tolérance au risque de l'organisation, la complexité de l'environnement informatique et d'autres facteurs.
  • Évaluation. Toutes les vulnérabilités découvertes doivent être évaluées et priorisées. Les métriques communes pour l'évaluation continue des vulnérabilités incluent le Score de Gravité des Vulnérabilités Communes (CVSS) de NIST, la facilité d'exploitation par un acteur de la menace, la difficulté de résolution, l'impact financier de l'exploitation, ainsi que les exigences réglementaires ou les normes industrielles associées.
  • Remédiation. Ensuite, l'organisation doit corriger ou traiter les faiblesses selon leur priorité. La remédiation est souvent gérée par une combinaison de mises à jour automatiques de la part des fournisseurs, de solutions de gestion des correctifs et de techniques manuelles.
  • Rapport. Il est important de documenter toutes les vulnérabilités identifiées, les résultats de l'évaluation et les progrès vers la remédiation, ainsi que tous les coûts impliqués. Un rapport adéquat facilitera les efforts de remédiation futurs, simplifiera les présentations aux dirigeants et facilitera la conformité.

7.2. Établir et maintenir un processus de remédiation.

Une fois qu'un processus de gestion des vulnérabilités a été mis en place, un processus de remédiation doit être établi pour spécifier la réponse de l'organisation lorsqu'elle identifie un besoin d'intervention. Le sous-contrôle 7.2 est conçu pour aider les organisations à prioriser et séquencer leurs processus informatiques, avec le CIS décrivant son objectif comme étant de :

« Établissez et maintenez une stratégie de remédiation basée sur le risque documentée dans un processus de remédiation, avec des revues mensuelles ou plus fréquentes. »

Le processus de remédiation intègre une suite d'outils pour résoudre les vulnérabilités une fois qu'elles ont été ciblées. Les tactiques de remédiation les plus utilisées incluent des correctifs automatisés ou manuels. Le processus de remédiation d'une entreprise peut également inclure un logiciel de gestion des vulnérabilités basée sur le risque (RBVM) pour aider les entreprises à trier les menaces potentielles auxquelles elles sont confrontées, ainsi que des algorithmes avancés de science des données et des logiciels d'analyse prédictive pour arrêter les menaces avant qu'elles ne soient exposées.

7.3. Effectuez la gestion automatisée des correctifs du système d'exploitation.

Les systèmes d'exploitation sont des logiciels fondamentaux, et les fournisseurs publient fréquemment des correctifs qui traitent des vulnérabilités importantes. Pour garantir que les mises à jour critiques sont appliquées en temps opportun, les organisations devraient mettre en place un système automatisé qui les applique au moins mensuellement.

Plus généralement, un cadre de gestion des correctifs complet doit avoir les capacités suivantes :

  • Collecte d'informations. En scannant périodiquement les appareils, les organisations peuvent identifier ceux qui nécessitent une mise à jour et peuvent déployer leurs correctifs plus rapidement. Certains logiciels de gestion automatisée des correctifs collectent également des détails sur le matériel et les utilisateurs pour fournir une image plus claire de l'état des points de terminaison.
  • Téléchargement de correctif.Télécharger un correctif est un processus relativement simple. La difficulté survient lorsqu'un grand nombre d'appareils nécessitent différentes mises à jour ou que l'organisation dépend de nombreux systèmes d'exploitation différents. Un logiciel de gestion automatisée des correctifs devrait être capable de gérer ces deux situations de manière fluide.
  • Création de paquet. Un paquet consiste en tous les composants nécessaires pour appliquer un correctif. Un logiciel de gestion automatisée des correctifs devrait être capable de créer des paquets de différents niveaux de complexité et avec de nombreux types de composants.
  • Distribution de correctifs. Pour éviter de frustrer les utilisateurs et de perturber les processus métier, le logiciel de gestion des correctifs doit pouvoir être programmé pour se lancer à des moments précis et s'exécuter en arrière-plan.
  • Une fois qu'un correctif a été appliqué, les organisations devraient recueillir des renseignements sur quels appareils ont été mis à niveau et quelles mises à jour ont été utilisées. Un logiciel de gestion automatisée des correctifs devrait générer des rapports automatiques afin que les équipes informatiques puissent planifier les prochaines étapes à suivre.

7.4. Effectuez la gestion automatisée des correctifs d'applications.

Comme les systèmes d'exploitation, de nombreuses applications et plateformes doivent être régulièrement mises à jour avec des correctifs, qui devraient être appliqués au moins mensuellement. Souvent, la même solution peut être utilisée pour mettre en œuvre le patching à la fois pour les systèmes d'exploitation et les applications.

7.5. Effectuez des analyses de vulnérabilité automatisées des actifs internes de l'entreprise.

Les organisations devraient analyser leurs actifs informatiques à la recherche de vulnérabilités au moins tous les trimestres. Le CIS recommande d'automatiser le processus à l'aide d'un outil de balayage de vulnérabilités conforme à SCAP. (SCAP fournit des normes pour les scanners et les outils de remédiation des vulnérabilités.)

Les types de scans incluent :

  • Des analyses basées sur le réseau, qui identifient les vulnérabilités dans les réseaux filaires ou sans fil. Cela se fait en localisant les appareils et serveurs non autorisés, et en examinant les connexions avec les partenaires commerciaux pour s'assurer que leurs systèmes et services sont sécurisés.
  • Analyses basées sur l'hôte, qui évaluent des points de terminaison tels que les hôtes, les serveurs et les postes de travail. Ces analyses examinent également les configurations système et l'historique des correctifs récents pour trouver des vulnérabilités.
  • Les analyses d'applications, qui garantissent que les outils logiciels sont correctement configurés et à jour.
  • Analyses sans fil, qui identifient les points d'accès indésirables et garantissent une configuration appropriée.
  • Analyses de bases de données, qui évaluent les bases de données.

Les analyses de vulnérabilité peuvent être authentifiées ou non authentifiées. Les analyses authentifiées permettent aux testeurs de se connecter et de rechercher des faiblesses en tant qu'utilisateurs autorisés. Les analyses non authentifiées permettent aux testeurs de se faire passer pour des intrus tentant de pénétrer leur propre réseau, les aidant ainsi à découvrir les vulnérabilités qu'un attaquant pourrait trouver. Les deux sont utiles et devraient être mises en œuvre dans le cadre d'une stratégie de gestion continue des vulnérabilités.

7.6. Effectuez des analyses de vulnérabilité automatisées des actifs d'entreprise exposés à l'extérieur.

Les organisations devraient prêter une attention particulière à la recherche de vulnérabilités dans les données sensibles et autres actifs exposés aux utilisateurs externes, comme via Internet. Le CIS recommande de scanner les vulnérabilités des actifs exposés à l'extérieur au moins une fois par mois (contrairement aux actifs internes pour lesquels c'est trimestriel). Cependant, dans les deux cas, un outil de balayage de vulnérabilités automatisé et conforme au SCAP devrait être utilisé.

Certaines organisations possèdent plus d'actifs numériques exposés à l'extérieur qu'elles ne le pensent. Assurez-vous que vos analyses couvrent tous les éléments suivants :

  • Appareils
  • Secrets commerciaux
  • Codes de sécurité
  • Capteurs IoT
  • Équipement d'opération à distance
  • Présentations
  • Informations sur le client
  • Routeurs pour le travail à distance

7.7. Remédiez aux vulnérabilités détectées.

Le contrôle 7.2 détaille comment établir et maintenir un processus de remédiation des vulnérabilités. Il recommande d'effectuer la remédiation au moins une fois par mois.

Comment Netwrix peut aider

Mettre en place un processus continu d'évaluation et de remédiation des vulnérabilités peut être un défi. Les organisations découvrent souvent un grand nombre de vulnérabilités et ont du mal à les remédier en temps opportun.

Netwrix Change Tracker peut aider. Il peut :

  • Vous aider à renforcer vos systèmes critiques avec des modèles de construction personnalisables provenant de plusieurs organismes de normalisation, y compris CIS, DISA STIG et SCAP/OVAL.
  • Vérifiez que vos fichiers système critiques sont authentiques en suivant toutes les modifications apportées et en facilitant la révision d'un historique complet de tous les changements.
  • Surveillez les modifications de la configuration du système et alertez-vous immédiatement de tout changement non planifié.
  • Réduisez le temps et les efforts consacrés aux rapports de conformité avec plus de 250 rapports certifiés CIS couvrant NIST, PCI DSS, CMMC, STIG et NERC CIP.

FAQ

Qu'est-ce que l'analyse continue des vulnérabilités ?

Il s'agit du processus de recherche et de classification constantes des faiblesses de sécurité dans les systèmes et logiciels, y compris les défauts connus, les bugs de codage et les mauvaises configurations qui pourraient être exploitées par les attaquants.

En quoi consiste le processus de gestion des vulnérabilités ?

Un processus de gestion continue des vulnérabilités devrait se composer de quatre composants :

  • Identifiez tous les actifs informatiques et analysez-les pour détecter des vulnérabilités.
  • Priorisez les vulnérabilités découvertes en fonction de facteurs tels que la probabilité et le coût d'exploitation.
  • Corrigez ou réparez les faiblesses détectées.
  • Documentez les vulnérabilités identifiées, les résultats de l'évaluation et les progrès réalisés vers la remédiation, ainsi que les coûts associés.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Attributs Active Directory : Dernière connexion

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité