False positives and Zero-day exploits

Le risque auquel les entreprises sont confrontées est une combinaison de menaces connues et inconnues dirigées contre l'entreprise, qui présente elle-même une combinaison de vulnérabilités connues et inconnues. Une analyse de vulnérabilités qui n’identifie aucune faille ne signifie pas pour autant que le système est invulnérable de manière absolue. Cela signifie simplement que le type de vulnérabilités que l’analyse cherchait à détecter n’a pas été trouvé. L'absence de vulnérabilités détectées peut être due à leur inexistence réelle, ou bien à un faux négatif provoqué par une mauvaise configuration d’un outil ou une erreur lors d'une vérification manuelle.

Même si des vulnérabilités connues existent dans le système, celui-ci peut être vulnérable à d'autres failles inconnues, dont beaucoup sont découvertes chaque jour (certaines étant stockées ou vendues pour un usage futur comme des exploits de type « zero-day »). La probabilité d'une attaque dépend souvent de facteurs externes tels que la motivation de l'attaquant.

Lorsqu’on tente de représenter la variété des acteurs de menace existants, il est généralement utile de développer un profil d’acteur de menace pouvant être utilisé pour aider à catégoriser la menace que pourrait représenter un groupe d’acteurs pour l’environnement d’une entreprise. En développant un profil d’acteur de menace, le professionnel du risque peut raisonnablement justifier certains éléments liés à la motivation et aux capacités qui pourraient être mises en œuvre contre l’entreprise.

L’analyse de vulnérabilités et les tests d’intrusion fournissent au professionnel du risque des informations précieuses pour estimer la probabilité de succès d’une attaque car, même si la présence d’une vulnérabilité ne garantit pas qu’une menace y soit associée, la nature « toujours disponible » des systèmes d’information, combinée à la rapidité de traitement, fait qu’un système d’information est soumis à diverses attaques dans un court laps de temps avec une probabilité plus élevée qu’un système physique ; une vulnérabilité connue d’un outil d’évaluation est également connue des acteurs de menace, et tous, sauf les plus brillants, auront tendance à cibler ces vulnérabilités communes ; la présence d’une ou plusieurs vulnérabilités connues, sauf si celles-ci ont été préalablement identifiées et que le risque est accepté par l’entreprise pour une bonne raison, suggère une faiblesse dans le programme de sécurité global.

Enfin, le professionnel du risque doit s’assurer que la direction ne développe pas un faux sentiment de sécurité à la suite d’analyses de vulnérabilités ou de tests d’intrusion qui n’auraient révélé aucune faille ; au contraire, ces deux types de tests doivent fournir une meilleure compréhension de l’organisation et de sa posture en matière de sécurité.

Prenez-vous en compte les faux positifs dans votre analyse de vulnérabilités ?

Commentaires