Comment prioriser les vulnérabilités de son système d’information ?

prioriser vulnérabilités
Maxime ALAY-EDDINE
août 30, 2022

Prioriser les vulnérabilités est un sujet très important dans le Maintien en Condition de Sécurité.

En moyenne, les autorités publient dans la base publique CVE près de 50 nouvelles vulnérabilités par jour, soit plus de 20 000 vulnérabilités chaque année.

Or, chacune de ces vulnérabilités peut affecter tout ou une partie d’un système d’information : une vulnérabilité affectera par exemple une version précise de Java, une autre affectera les systèmes Windows 10 qui ne disposent pas des dernières mises à jour de sécurité, ou encore concernera des équipements réseaux dans des configurations spécifiques.

La recherche de ces critères dans un système d’information génère une charge importante pour les équipes de sécurité, mais peut être industrialisée à l’aide d’un outil comme un scanneur de vulnérabilités.

Cependant, la liste des vulnérabilités identifiées après une recherche de ce type, même industrialisée, reste longue et peut vite démotiver les équipes informatiques.

Cet article présente plusieurs méthodes de priorisation des vulnérabilités, outillées ou non, pour aider les équipes à aborder de manière plus sereine la gestion des vulnérabilités et plus généralement le Maintien en Condition de Sécurité (MCS).

Prioriser les vulnérabilités avec 4 méthodes reposant sur le risque réel, sur le risque théorique, sur les solutions disponibles, ou sur la menace

Cet article présente 4 méthodes d’analyses des vulnérabilités :

  1. Prioriser les vulnérabilités selon le risque réel, avec le score CVSS complet ;
  2. Prioriser les vulnérabilités selon le risque théorique, avec le score EPSS ;
  3. Prioriser les vulnérabilités en fonction des solutions disponibles ;
  4. Prioriser les vulnérabilités en fonction de menaces cybercriminelles avec la méthode MITRE ATT&CK.

Nous allons maintenant étudier ces différentes méthodes.

Prioriser les vulnérabilités selon le risque réel, à partir du score CVSS complet

Le score CVSS publié sur le NVD ne prend pas en compte le contexte des organisations

Le score CVSS (Common Vulnerability Scoring System) est une méthode d’évaluation des vulnérabilités qui donne un score entre 0 et 10. 0 indique une vulnérabilité très faible, 10 indique une vulnérabilité très dangereuse.

Chaque CVE publiée dans la base du MITRE est analysée par le NIST (National Institute of Standards and Technology) afin de lui attribuer un score CVSS, pour ensuite publier la CVE avec son score dans la base NVD (National Vulnerability Database).

Si la plupart des professionnels de la cybersécurité consultent régulièrement la base NVD et travaillent avec les scores CVSS fournis, beaucoup utilisent les scores CVSS obtenus « en l’état » et ne les adaptent pas à leur organisation (essentiellement par manque de temps ou d’outillage).

Or, le score CVSS publié par le NVD s’appelle le score CVSS de base, ou « Base Score ». Ce n’est qu’une composante de la méthode CVSS, qui permet de projeter ce score de base dans le contexte d’une organisation.

Le standard CVSS permet de projeter le score du NVD dans le contexte d’une organisation à l’aide des composantes temporelles et environnementales

Le score CVSS, dans sa version 3.1, propose de calculer la sévérité d’une CVE à partir de 3 composantes :

  • Le score CVSS de base, publié par le NVD pour chaque CVE ;
  • Le score CVSS temporel, qui évolue en fonction de l’intérêt des pirates pour chaque CVE ;
  • Le score CVSS environnemental, qui permet de prendre en compte le contexte métier de chaque actif pour calculer un score adapté.
Les 3 composantes du score CVSS établi par le FIRST

Métrique temporelle :

La métrique temporelle du score CVSS repose essentiellement sur l’attribut de maturité des exploits disponibles, nommé « Exploit Code Maturity » dans le standard.

Cet attribut peut prendre 3 valeurs :

  • Unproven, pour indiquer qu’aucun exploit n’a été identifié pour le moment ;
  • Proof-of-Concept, pour indiquer que des exploits qui démontrent la faisabilité d’une attaque ont été publiés, mais restent difficiles à utiliser ;
  • Functional, pour indiquer que des exploits assez simples à utiliser ont été publiés ;
  • High, pour indiquer que des exploits « clé en mains » ont été publiés.

Cet attribut peut aussi être non défini, avec la valeur « Not Defined ». Dans ce cas, la vulnérabilité sera évaluée par défaut comme si l’attribut était au niveau le pire, c’est-à-dire au niveau « High ».

Les métriques Remediation Level et Report Confidence sont à ignorer dans la plupart des cas, car les vulnérabilités du NVD sont toutes réputées fiables et disposent très souvent d’un correctif disponible. Puisque ces métriques auraient ainsi presque tout le temps la même valeur pour toutes les CVE, elles sont en pratique peu utilisées par le marché.

Métrique environnementale :

La métrique environnementale du score CVSS repose sur 4 attributs :

  • Confidentiality Requirement, qui permet d’indiquer les exigences d’un actif en matière de Confidentialité ;
  • Integrity Requirement, qui permet d’indiquer les exigences d’un actif en matière d’Intégrité ;
  • Availability Requirement, qui permet d’indiquer les exigences d’un actif en matière de Disponibilité ;
  • Modified Base Metrics, qui permet de plafonner certains attributs d’une CVE sur un actif.

Chaque exigence, ou « Requirement », peut prendre les valeurs « Low », « Medium », ou « High », c’est-à-dire Faible, Moyenne, ou Elevée.

Les Modified Base Metrics peuvent reprendre et plafonner tous les attributs du Base Score d’une CVE.

Les exigences en matière de Confidentialité, Intégrité, et Disponibilité, permettent de modifier le score d’une CVE sur un actif selon les conflits entre l’impact de la CVE et les contraintes de l’actif. Par exemple, une CVE tapant fort sur l’Intégrité aura un score atténué sur un actif dont les exigences concernent surtout la Disponibilité, mais recevra un score plus élevé sur un actif dont l’exigence d’Intégrité aura été mise à élevée.

Les attributs plafonnés permettent de dire qu’une vulnérabilité sera, sur un actif donné, toujours évaluée avec au maximum un vecteur d’attaque mis à « Local ». Dans ce cas, une vulnérabilité utilisable depuis tout Internet sera finalement atténuée sur un tel actif. Cette approche permet de prendre en compte les spécificités de l’environnement de chaque organisation.

Le score CVSS complet permet de prioriser les vulnérabilités en fonction de leur danger réel, et de leur impact métier

L’utilisation complète des métriques du score CVSS (Base Score + Temporal Score + Environmental Score) permet de passer d’un score unique par CVE à un score unique pour chaque couple « CVE + actif du système d’information ».

Il suffit ensuite de définir un seuil d’intérêt pour chaque actif, et de ne conserver que les CVE dont le score, une fois contextualisé, dépasse le seuil défini.

Cyberwatch Vulnerability Manager automatise ce processus, pour indiquer ensuite les vulnérabilités « prioritaires » de chaque actif et aider à les traiter.

Exemple de graphe avec les actifs ayant le plus de CVE dont le score contextuel dépasse un certain seuil

Prioriser les vulnérabilités à partir du score théorique, avec le score EPSS

Le score EPSS (Exploit Prediction Scoring System) est un score allant de 0% à 100%, établi par le FIRST (même organisation que pour le score CVSS).

Ce score a pour objectif de prédire l’exploitabilité d’une vulnérabilité en fonction de sa description, des technologies concernées, et de son vecteur CVSS.

Plus précisément, ce score a pour but de mettre en avant les vulnérabilités dont la dynamique d’exploitation mérite l’intérêt des professionnels de la sécurité informatique : là où le CVSS permet à de très nombreuses vulnérabilités d’avoir un score identique, l’EPSS mettra en avant uniquement certaines CVE, comme le prouve le graphe ci-dessous.

Distribution des scores EPSS du 12 juillet au 11 août 2022

Les scores EPSS élevés sont suffisamment rares pour permettre de faire de nouveaux types de calculs : il devient par exemple pertinent de calculer la somme des scores EPSS des CVE de chaque actif pour mettre en avant les actifs les plus simples à attaquer.

Néanmoins, le score EPSS ne prend pas en compte le contexte métier de chaque actif. C’est donc une méthode complémentaire au score CVSS, qui ne vise pas à le remplacer.

Cyberwatch Vulnerability Manager intègre le score EPSS dans ses données et permet de prioriser les résultats en fonction de cette valeur.

Extrait d’une fiche de CVE avec indicateur EPSS (en bas à droite)
Exemple de distribution de la somme des scores EPSS pour un ensemble d’actifs

Prioriser les vulnérabilités en fonction des solutions disponibles

Dans son oeuvre « Les Shadoks », Jacques Rouxel disait que « s’il n’y a pas de solution, c’est qu’il n’y a pas de problème ». La philosophie derrière cette phrase est très souvent appliquée en matière de sécurité informatique : si une vulnérabilité ne dispose pas de solution simple pour la traiter, à quoi bon mettre son énergie dessus alors qu’il y a déjà énormément de vulnérabilités très graves pour lesquelles des solutions simples existent ?

Selon les moyens humains et financiers disponibles dans chaque organisation, il arrive ainsi que la priorisation ne passe plus par l’analyse des risques, mais plutôt par l’analyse des solutions : quelle solution simple traitera le plus de problèmes ?

Cette approche a pour mérite d’être motivante, car elle produit une baisse drastique du nombre de vulnérabilités dans le système d’information.

Pour la mettre en oeuvre, pas besoin de score CVSS ou de score EPSS : il suffit d’étudier les correctifs communs applicables à un maximum d’actifs dans le parc informatique. Le cas classique concerne Windows : le rythme de publication mensuel des mises à jour de sécurité (les KBs), pour tous les systèmes Windows déployés, permet de facilement appliquer cette technique de priorisation. La conclusion est alors qu’il faut mettre l’énergie sur l’application des KBs du mois.

Cyberwatch Vulnerability Manager permet là aussi d’établir la liste des actions qui auront l’impact le plus fort en nombre de vulnérabilités corrigées.

Exemple de graphe montrant que la solution la plus impactante serait de déployer KB5015811 sur Windows Server 2019

Prioriser les vulnérabilités en fonction de menaces avec la méthode MITRE ATT&CK

La méthode MITRE ATT&CK, créée par le MITRE, permet de calculer les chaînes d’attaque utilisables sur un système d’information.

Ces chaînes d’attaque sont projetées dans un tableau de 14 colonnes, 188 techniques, et 379 sous-techniques à l’aide d’outils comme le MITRE ATT&CK Navigator.

En partant d’un ensemble de CVE présentes sur le système d’information, il est possible de calculer le MITRE ATT&CK de ce système selon une méthode présentée dans un autre article de ce blog.

Le MITRE ATT&CK permet alors de superposer à la fois :

  • les chaînes d’attaque du système d’information étudié ;
  • une ou plusieurs menaces cybercriminelles.

Plus les chaines d’attaque utilisables sur le système sont recouvertes par les menaces, et plus le système d’information est en danger.

Cyberwatch Vulnerability Manager permet également de générer le MITRE ATT&CK d’un système d’information, et d’y superposer des menaces préconfigurées comme Gamaredon, Ryuk, APT31…

Exemple de calcul du MITRE ATT&CK pour un système d’information, et de sa superposition à la menace Gamaredon

Quelle méthode adopter pour bien prioriser ses vulnérabilités ?

Aucune méthode ne saurait agir comme une baguette magique : chaque méthode de priorisation dispose d’avantages et d’inconvénients.

Par exemple, le score CVSS a le mérite d’être reconnu par l’ensemble du marché et de prendre en compte le contexte métier des actifs, mais il ne prend pas en compte les aspects liés à l’utilisation combinée de plusieurs vulnérabilités.

A l’inverse, la méthode MITRE ATT&CK permet justement de prendre en compte l’utilisation combinée de plusieurs vulnérabilités sur un système d’information, mais elle est encore trop récente et parfois vue comme trop avancée pour certaines organisations.

La clé n’est donc pas de choisir une méthode miracle, mais plutôt de choisir la méthode adaptée aux besoins de l’organisation, et de ne pas hésiter à en changer lorsque l’écosystème le demande : utiliser le CVSS par défaut est une bonne idée, mais utiliser l’EPSS ponctuellement, ou la priorisation selon les solutions pour motiver les équipes, ou encore le MITRE ATT&CK lors de situations tendues au niveau international, peut ainsi aider les RSSI à avancer de manière constructive dans le traitement quotidien de leurs vulnérabilités.

Automatisez la priorisation de vos vulnérabilités avec Cyberwatch Vulnerability Manager

Notre plateforme permet d’automatiser le calcul contextuel des scores CVSS, de prendre en compte le score EPSS dans vos analyses de risques, d’établir une liste d’actions correctives impactantes, et de tracer le MITRE ATT&CK.

Pour en savoir plus, demandez vite une démonstration via le formulaire dédié.

Vous avez des questions ?

Vous souhaitez une démonstration ?

Contactez-nous et nos experts reviendront vers vous sous 24h.

Votre demande