Vulnerabilities

Les vulnérabilités peuvent être présentes dans la plupart des endroits, à l’intérieur comme à l’extérieur de l’entreprise. Les sources de vulnérabilités sont décrites dans les sections suivantes :

Les vulnérabilités du réseau sont généralement liées à des erreurs de configuration des équipements, à une mauvaise architecture ou à l’interception du trafic. Les erreurs de configuration sont un problème courant sur les équipements réseau qui ne sont pas correctement installés, maintenus ou vérifiés. Tout service ouvert constitue un vecteur potentiel d’attaque pouvant être exploité par un attaquant. C’est pourquoi les équipements réseau doivent être protégés en désactivant les services, ports ou protocoles non nécessaires.

D’un autre côté, la sécurité physique va bien au-delà du simple vol. Les agents de menace ayant un accès physique aux systèmes ont la possibilité de contourner presque tout autre type de contrôle. En accédant aux salles serveurs, au câblage réseau, aux équipements et aux installations des systèmes d'information, un attaquant peut éviter les mots de passe, installer des “skimmers” pour intercepter les communications de données et ainsi prendre le contrôle des systèmes ou dispositifs.

De plus, les applications en général, et les services web en particulier, font partie des points d'entrée les plus utilisés par les attaquants de nos jours. Beaucoup d’applications sont conçues pour soutenir les fonctions de l’entreprise sans que l’on accorde suffisamment d’attention à leurs exigences en matière de sécurité, et elles peuvent donc être vulnérables à des dépassements de tampon, des erreurs logiques, des attaques par injection, des erreurs de programmation, un mauvais contrôle des accès utilisateurs, et bien d'autres vulnérabilités courantes.

Par ailleurs, les systèmes d'information dépendent de conditions environnementales contrôlées, notamment d’un courant propre et continu, ainsi que de contrôles d’humidité et de température. Le professionnel des risques devrait s’assurer que l’entreprise est préparée à une coupure de courant ou à d’autres conditions environnementales, afin d’éviter des situations pouvant entraîner une défaillance du système. Par exemple, disposer d’une alimentation sans interruption (ASI), de générateurs de secours et de parafoudres peut protéger les équipements contre les dommages ou les pannes.

De nombreuses entreprises dépendent de produits, de matières premières et de fournitures provenant de diverses régions du monde, et toute interruption de la chaîne d’approvisionnement pourrait affecter leur capacité à fonctionner. Par exemple, une pénurie de carburant dans un aéroport aurait un impact sur les opérations aériennes. La dépendance à une chaîne d’approvisionnement doit être documentée, même si l’on sait qu’il s’agit d’un risque accepté par la haute direction.

Enfin, à mesure que les équipements vieillissent, ils deviennent moins efficaces, moins performants et parfois incapables de continuer à soutenir les fonctions de l’entreprise. Les équipements sont généralement fournis au moment de leur production avec un temps moyen entre deux pannes (MTBF) qui indique leur durée de vie prévue et le moment où leur remplacement ou leur élimination doit être programmé.

Avez-vous pris en compte ces vulnérabilités ?