Menaces, vulnérabilités et exploits – oh my !

0

Les termes les plus couramment utilisés dans le domaine de la cybersécurité sont souvent mal compris ou utilisés comme s’ils étaient synonymes. Nous allons examiner plusieurs termes connexes (menace, vulnérabilité et exploit) afin de mieux comprendre comment les professionnels dans le milieu les utilisent pour évaluer ou déterminer un risque.

L’objectif : Protéger les actifs du réseau

Bien évidemment, la raison pour laquelle nous mettons en place des mesures de sécurité est de protéger nos actifs. Les actifs sont tout ce que nous déterminons comme ayant de la valeur, que ce soit à l’intérieur d’un immeuble ou au sein d’un réseau. La valeur d’un actif peut être tangible ; par exemple, l’or et les bijoux sont des biens tangibles, tout comme les gens. Dans un réseau d’entreprise, nous considérons comme étant des éléments tangibles la base de données, le serveur qui héberge cette base de données et le réseau qui fournit des connexions au serveur. Les autres actifs – les informations confidentielles de la société – ont une valeur immatérielle, mais toute aussi importante.

Source image : Degan Walters

 Menaces et acteurs malveillants

La sécurité informatique tient compte de plusieurs types de menaces. Une menace peut être une intention exprimée ou démontrée de nuire ou de rendre indisponible un actif. Ce type d’acte hostile, quel que soit le motif, est considéré comme une menace. Les circonstances extérieures, l’erreur humaine ou la négligence sont également considérés comme des menaces.

Cela étant dit, ces deux types de menaces peuvent causer des interruptions de service Web ou engendrer, de façon involontaire ou non, une perte ou une divulgation d’informations sensibles. À l’aube de l’IoT, elles peuvent même être considérées comme étant menaçantes pour le bien être des humains. L’identification des menaces est un aspect très important mais extrêmement compliqué dans la gestion de votre sécurité physique et virtuelle.

Nous parlons toujours de quelqu’un ou de quelque chose qui représente une menace. Ce sont des acteurs malveillants. Ils peuvent être des individuels ou des acteurs étatiques. Une gestion complète de la sécurité doit également tenir compte des employés mécontents, sous-qualifiés ou surmenés, qui sans vouloir peuvent également constituer une menace pour les actifs d’une organisation.

Vulnérabilités

Une vulnérabilité est un défaut dans les mesures que vous prenez pour sécuriser vos actifs. Il s’agit d’une interprétation plus large de la définition traditionnelle, qui ne tient compte que de failles rencontrées dans le système ou le réseau. Les vulnérabilités exposent les actifs de votre organisation à des menaces. Elles peuvent se retrouver dans les systèmes d’exploitation, les applications, le matériel que vous utilisez ou que vous omettez d’utiliser.

Par exemple, si vous choisissez de ne pas lancer la solution anti-malware, votre ordinateur portable ou votre appareil mobile se montrera vulnérable aux infections. De même, si vous ne parvenez pas à mettre à jour régulièrement votre OS ou l’ensemble de vos applications, ceux-ci resteront vulnérables aux faille logiciel qui ont déjà été identifiées et corrigées.

La façon dont vous configurez vos logiciels, votre machine et même vos comptes de messagerie ou de réseaux sociaux peut également donner lieu à des vulnérabilités. Faire attention aux paramètres de confidentialité, par exemple, peut vous épargnez de partager des informations confidentielles avec la terre entière.

C’est pourquoi ce sont souvent les comportements des utilisateurs qui créent des opportunités pour les acteurs malveillants. Un administrateur système qui navigue sur le Web à partir d’un compte d’admin sur un poste de travail d’entreprise est susceptible de se retrouver victime d’une attaque par drive by download. Ce comportement crée une vulnérabilité qui n’est pas considérée dans la définition de la RFC 2828 mais qui n’en est pas moins un problème.

Enfin, comme les gens sont vulnérables à l’ingénierie sociale, cette vulnérabilité se révèle être l’une des plus formidables. Toutefois, nous sommes sur la bonne voie car la sensibilisation à la cybersécurité est finalement reconnue comme une composante importante dans l’atténuation d’une vulnérabilité.

Exploits

Le terme d’ « exploit »  est couramment utilisé pour décrire un logiciel ciblant un actif de votre réseau, tout en exploitant une vulnérabilité. L’objectif de nombreux exploits est de prendre le contrôle à distance. Par exemple, une exploitation réussie d’une vulnérabilité de base de données peut fournir à un acteur malveillant les moyens de collecter ou d’exfiltrer tous les enregistrements de cette base.

Dans ce cas, nous avons à faire à une violation de données. Néanmoins, il faut savoir que les exploits sont également développés dans le but d’attaquer un système d’exploitation ou une faille logiciel ; le but est finalement d’obtenir des privilèges élevés sur la machine ou d’exécuter du code malveillant sur l’ordinateur. Ceci est l’objectif commun de presque tous type de malware.

Tous les exploits ne sont pas liés à des logiciels et il serait une erreur de notre part de classer comme piratage toutes les attaques basées sur l’exploitation d’une faille. Les escroqueries menées via des technique d’ingénierie sociale sont un type d’exploitation séculaire qui ne nécessite même pas de compétences en piratage informatique.

Risques

Vous trouverez plusieurs définitions lorsque vous recherchez le terme risque. Selon TAG, un risque exprime « le potentiel de perte, de dommage ou de destruction d’un actif en raison d’une menace exploitant une vulnérabilité ». Cela lie ensemble toute la terminologie que nous avons examinée – l’actif, la menace, la vulnérabilité, l’exploitation.

En pratique, pour chaque actif, vous identifiez l’ensemble des menaces pouvant nuire à celui-ci. Vous identifiez ensuite les vulnérabilités que les acteurs malveillants pourraient exploiter.

Eliminer toutes les menaces et donc aussi les risques est évidemment une finalité impossible à atteindre. Les bonnes pratiques nous conseillent de déterminer le coût de l’atténuation d’un risque contre les bénéfices de s’en débarrasser. En théorie, cet effort définit le dégrée de risque que vous êtes capables de tolérer étant donné ce que vous êtes prêt à dépenser. En réalité, cette tâche s’avère beaucoup plus difficile à l’ère des cyber-menaces de plus en plus sophistiquées.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply