Vulnérabilité, menace et risque en cybersécurité

Temps de lecture : 5 min

Sommaire

Il est évident de dire que l’on peut mieux se défendre lorsque l’on connaît ses faiblesses. Il en va de même lorsque l’on connaît ses adversaires.

Cette leçon va nous permettre de mieux comprendre les notions de vulnérabilité, menace et risque.

Ces notions sont des bases essentielles pour mettre en oeuvre des processus de gestion des vulnérabilités et de gestion des risques.

Vulnérabilité

Une vulnérabilité (vulnerability en Anglais) est une faiblesse dans un système, une configuration, un logiciel ou un processus.

Une vulnérabilité peut avoir plusieurs types :

  • Technique : bug dans un logiciel, mauvaise implémentation ou défaut d’architecture.
  • Humaine : ingénierie sociale, tel que le phishing par exemple.

 

La plupart des vulnérabilités existantes sont consignées dans une base de données unique, appelée Common Vulnerabilities and Exposures Database (CVE Database), supervisée par l’organisme MITRE. Elles disposent d’un numéro unique dans cette base de données.

Les détails techniques concernant les vulnérabilités sont quant à eux consignés dans d’autres bases de données, telle que la plus connue, la National Vulnerability Database (NVD) de l’organisme NIST.

💡 Exemple :  une des vulnérabilités les plus critiques de ces derniers temps, connue sous le nom de Log4Shell, est enregistrée sous l’identifiant “CVE-2021-44228” et est décrite ici.

Il existe deux manières de traiter une vulnérabilité :

  • Corriger : appliquer un patch fourni par l’éditeur, modifier la configuration mal implémentée
  • Contourner : appliquer une barrière qui rend la vulnérabilité impossible à exploiter, sans pour autant la corriger.

💡 Exemple de contournement : l’interface web d’administration d’un firewall contient une vulnérabilité. Vous décidez de rendre indisponible cette interface, et d’administrer le firewall uniquement en ligne de commande.

Menace

Une menace (threat en Anglais) est n’importe quel évènement pouvant vous porter un préjudice. Ces menaces peuvent être de différents types, même ceux auquel vous pensez le moins :

  • Attaquant externes voulant vous extorquer de l’argent ou vous nuire.
  • Catastrophes naturelles.
  • Attaquant interne, tel qu’un salarié malveillant.
  • Évènement extérieur, terrorisme, guerre.

Afin de mieux comprendre les menaces qui concernent nos activités numériques, il existe un processus en cyber sécurité appelé “Cyber Threat Intelligence” (CTI).

De nombreux outils et frameworks existent pour aider à comprendre et modéliser ces menaces, vous pouvez par exemple vous documenter sur ce qu’on appelle la “Cyber Kill Chain” en guise d’introduction (une leçon dédiée à la Kill Chain est disponible dans ce cours).

Risque

Le risque (risk en Anglais) est la conjonction de la vulnérabilité et de la menace. Si votre système est vulnérable et qu’une menace se met à exécution, alors vous subissez des dommages.

💡 Par exemple, si vous avez des équipements informatiques en sous-sol (vulnérabilité), le risque d’inondation existe lorsque survient un orage, de fortes pluies ou une tempête (menaces).

C’est pourquoi l’un des processus essentiels en cyber sécurité est la gestion de ces risques.

La gestion des risques peut se décompose en plusieurs phases (volontairement simplifiées ici):

  • La phase d’inventaire : il est primordial de commencer par inventorier ses ressources, leurs vulnérabilités et les menaces les concernant.
  • La phase d’analyse : cette phase consiste à comprendre les probabilités d’occurrence ainsi que les impacts. Les impacts peuvent être qualitatifs (impossible d’utiliser l’application de comptabilité) ou quantitatifs (perte de 10 000 euros de matériel).
  • La phase de traitement : une fois les risques analysés, nous avons les informations nécessaire pour prendre la décision du plan de traitement. Il existe quatre méthodes principales pour traiter un risque :
    • Acceptation : si l’on considère que les pertes sont acceptables en l’état, alors on accepte le risque sans le traiter.
    • Délégation / Transfert / Partage : on peut faire porter tout ou partie des conséquences d’une menace sur un tiers, par exemple souscrire une assurance, ou confier un périmètre à un prestataire.
    • Eradication / Traitement : on met en place les actions et contrôles nécessaires pour faire disparaître totalement le risque.
    • Réduction : on met en place les actions et contrôles nécessaires pour réduire en partie le risque, à un niveau d’impact jugé acceptable.

Pour résumer

Une grande partie du temps des professionnels de la cyber sécurité, quel que soit leur métier ou leur spécialité, est consacrée à l’anticipation des évènements néfastes pour l’entreprise qui les emploie.

Il est impossible d’éliminer tous les risques, mais il est possible de bien les identifier afin de mettre en place des plans d’actions efficaces. Cette démarche doit se faire de manière cyclique sous forme d’amélioration continue.

logo cyber training

Commencez votre formation en cybersécurité !

Lancez votre carrière en cybersécurité et formez-vous au métier qui vous correspond. Notre plateforme en ligne vous permet de vous entraîner à votre rythme pour une montée en compétences rapide et efficace.

100% en ligne

Théorie & Pratique

Personnalisé par niveau

Commencez votre formation en cybersécurité

Formation

Carrière

Cybersécurité

100% en ligne

Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité

Mail

information@seela.io