SYSTEME D’INFORMATION

SECURITE DES SYSTEMES D’INFORMATION

SUJET
Risques liés à la sécurité de l’information :
La gestion des vulnérabilités internes

Sous la direction de
Présenté et soutenu par
M. El Hadj Mouhamadou Lamine DRAME
Enseignant à L'ESMT Mme Magatte DIOP

Promotion: 2021 – 2023

DEDICACE
Octobre 2023
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

A ma très chère maman KEBE Absa,

Qui m’a soutenu, qui n’a ménagé aucun effort pour ma réussite. Les mots ne pourraient définir
l’immense gratitude que j’ai à son égard pour l’éducation qu’elle m’a inculqué, son amour et son
soutien inconditionnel ; que Dieu lui rende au centuple tous les efforts fournis.

A mon défunt papa DIOP Aly, qui nous a quitté, de là où il se trouve qu’Allah lui pardonne et
l’accueille dans son paradis.

A DIOP Médoune,

A KEBE Ndeye Fatou,

A DIOP Sokhna Diarra,

A DIOP Ndeye Sokhna,

A DIOP Alioune Fall,

A toute ma famille,

A mes amis,

A tous les étudiants de ma promotion 2021-2023.

Je leur dédie ce travail en témoignage de ma profonde gratitude, ce mémoire de fin de formation

est pour eux un vœu enfin réalisé.

REMERCIEMENTS

II
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Pour commencer je rends grâce à Dieu, le Tout Puissant, qui m’a donné la force et le courage
d’arriver au bout de mes efforts.

J’adresse mes plus profonds remerciements à ma famille plus particulièrement mes parents qui
n’ont ménagé aucun effort afin que je puisse réussir mon cursus. De par leurs conseils, leurs
prières, leurs orientations, ils m’ont mis dans des conditions optimales de réussite.

Mes remerciements vont également à l’endroit de :

L’ensemble du personnel de COFINA impliqué de près ou de loin à la réalisation de ce

projet,
A M. El Hadj Mouhamadou Lamine DRAME, mon encadreur, pour sa disponibilité, ses
remarques pertinentes et ses précieux conseils,
L’ensemble du personnel de l’ESMT (Ecole Supérieure Multinationale des
Télécommunications),
A tous mes amis, proches et à tous mes camarades de la promotion de Master
Professionnel en Sécurité des Systèmes d’Information 2021-2023.

GLOSSAIRE

III
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

CAPEC Common Attack Pattern Enumeration and Classification

CCE Common Configuration Enumeration

COFINA Compagnie Financière Africaine

CPE Common Platform Enumeration

COSO Committee of Sponsoring Organizations of the Treadway

Commission

CVE Common Vulnerabilities and Exposures

CVSS Common Vulnerability Scoring System

CWE Common Weakness Enumeration

FIRST Forum of Incident Response and Security Teams

GSF Greenbone Security Feed

GSA Greenbone Security Assistant

GSE Greenbone Security Edition

GSF Greenbone Security Feed

GSM Greenbone Security Manager

GOS Greenbone Operating System

GVMD Greenbone Vulnerability Management Daemon

GVM Greenbone Vulnerability Management

ISO International Organization for Standardization

MITRE Massachusetts Institute of Technology Research and Engineering

NIST National Institute of Standards and Technology

NVD National Vulnerability Database

IV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

OPENVAS Open Vulnerability Assessment System

OVAL Open Vulnerability and Assessment Language

OSP Open Scanner Protocol

QoD Quality of Detection

SCAP Security Content Automation Protocol

SMSI Système de Management de la Sécurité de l'Information.

SSL Secure Sockets Layer

TLS Transport Layer Security

LISTE DES FIGURES

V
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Figure 1: Déploiement de l'entreprise au fur des années..............................................................................................4

Figure 2: Organigramme de l’entreprise.......................................................................................................................5
Figure 3: Gestion du cycle de vie des vulnérabilités....................................................................................................22
Figure 4: Structure d'une CVE.....................................................................................................................................27
Figure 5: Fonctionnement des solutions Greenbone...................................................................................................39
Figure 6: Cycle de gestion des vulnérabilités selon Greenbone...................................................................................40
Figure 7: Un Greenbone Security Manager (Equipement physique)...........................................................................42
Figure 8: Architecture Greenbone Vulnerability Management...................................................................................49
Figure 9: Architecture de test.....................................................................................................................................53
Figure 10: Réception des mails d’alerte......................................................................................................................81

LISTE DES CAPTURES

Capture 1: Interface de connexion..............................................................................................................................70
Capture 2: Création de credentials.............................................................................................................................72
Capture 3: Création d’une nouvelle Target.................................................................................................................73
Capture 4: Création d’une tâche de scan....................................................................................................................74
Capture 5: Liste des différentes tâches créées............................................................................................................75
Capture 6: Liste des différentes tâches créées............................................................................................................75
Capture 7: Résultat du scan non authentifié...............................................................................................................76
Capture 8: Résultat du scan authentifié......................................................................................................................76
Capture 9: Création d'une alerte par mail...................................................................................................................80
Capture 10: Création d’une nouvelle tâche de planification.......................................................................................81
Capture 11: Création d’un nouvel utilisateur..............................................................................................................82
Capture 12: Détails des vulnérabilités trouvées..........................................................................................................84
Capture 13: Création d’un nouveau ticket de remédiation.........................................................................................85
Capture 14: Liste des tickets assignés à l’utilisateur...................................................................................................85
Capture 15: Changement de statut d’un ticket...........................................................................................................86
Capture 16: Création d’une nouvelle politique............................................................................................................87
Capture 17: Personnalisation de la politique créée.....................................................................................................87
Capture 18: Création d’une nouvelle tâche d’audit.....................................................................................................88
Capture 19: Résultats de l’audit sur la machine Metasploitable.................................................................................89

VI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

LISTE DES TABLEAUX

Tableau 1: Tableau représentatif du niveau de risque................................................................................................15
Tableau 2: Mapping des scores CVSS selon FIRST.......................................................................................................29
Tableau 3: Exemple de tableau d’évaluation et de suivi.............................................................................................36
Tableau 4: Etude comparative entre GSM et GSE.......................................................................................................47
Tableau 5: Etude comparative entre GSF et GCF........................................................................................................47
Tableau 6: Liste des différents assets..........................................................................................................................53

VII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

SOMMAIRE
Introduction
Chapitre 1 : Présentation générale
1.1. Présentation de l’entreprise d’accueil
1.2. Présentation du sujet
1.3. Objectifs
Chapitre 2 : Généralités sur la gestion des risques
2.1. Généralités sur la Sécurité de l’Information
2.2. La gestion des risques
Chapitre 3 : La gestion des vulnérabilités
3.1. Définition de la gestion des vulnérabilités
3.2. Objectifs et finalités de la gestion des vulnérabilités
3.3. Processus de gestion des vulnérabilités
3.4. Normes et standards relatifs à la gestion des vulnérabilités
3.5. Evaluation et suivi
Chapitre 4 : Etude comparative d'outils de gestion de vulnérabilités
4.1. Etude des différentes solutions de gestion des vulnérabilités
4.2. Analyse comparative des différentes solutions
4.3. Choix de la solution retenue et présentation détaillée
Les principaux composants de GSE :
Chapitre 5 : Étude de cas, Mise en place de GCE
5.1. Objectifs
5.2. Description de l’environnement mis en place
5.3. Installation de l'outil
5.4. Configuration de Greenbone Community Edition
Conclusion

VIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

AVANT-PROPOS

L’Ecole Supérieure Multinationales des Télécommunications (ESMT) située à Dakar, a été créé
en 1981 à l’initiative de sept pays d’Afrique de l’Ouest (Bénin, Burkina Faso, Mali, Mauritanie,
Niger, Sénégal, Togo), dans le cadre d’un projet du programme des Nations Unies pour le
développement (PNUD), avec le soutien de l’UIT, et de la coopération française, canadienne et
suisse.

La Guinée Conakry a rejoint les membres fondateurs en 1998. L’ESMT est une institution qui a
pour vocation de former des diplômés (Techniciens supérieurs, Licences Professionnelles,
Ingénieurs, Masters, Doctorats) dans les domaines techniques et managériaux des Technologies
de l’Information et de la Communication (TIC). Elle accueille en formation initiale et continue
des stagiaires qui proviennent de l’ensemble des pays francophones d’Afrique, recrutés au niveau
des écoles, des universités ou directement chez les opérateurs de Télécommunications.

Sur une durée de deux ans, l’enseignement de la filière technique particulièrement celle des
Masters Professionnels a été conçu pour les deux (2) spécialités suivantes : Sécurité des Systèmes
d’Information (SSI) et Ingénierie des Systèmes d’Information (ISI).

Ce travail s’inscrit dans le cadre de notre formation en cycle de Master Professionnelle en

Sécurité des Systèmes d’Information spécialité en vue de valider notre diplôme à l’Ecole
Supérieure Multinationale des Télécommunications (ESMT).

Pour l’obtention de ce diplôme, ce mémoire a été rédigé durant un stage à la Compagnie

Financière Africaine (COFINA) au niveau du département Réseaux et Systèmes. C’est durant ce
stage que nous a été proposé le thème portant sur Risques liés à la sécurité de l’information : La
gestion des vulnérabilités internes.

IX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Introduction
Le système informatique de l'entreprise est désormais le composant principal et le plus vital de
ses opérations. En plus de soutenir les processus métier, ce système facilite la communication et
l'échange d'informations entre les différents intervenants afin d'effectuer leurs tâches
quotidiennes. Par conséquent, il contient une multitude de données qui doivent être protégées afin
d'empêcher leur accès par des personnes non autorisées.

Ainsi, en plus de la mise en place de politiques de sécurité, de solutions de gestion des accès et
des identités, les organisations se doivent d'utiliser différentes techniques et outils pour garantir
au mieux la protection des données et des équipements. Dans ce contexte, la gestion des risques
émerge comme un processus clé pour évaluer et gérer la sécurité des systèmes informatiques et
des données sensibles.

La gestion des vulnérabilités qui est une composante clé de la gestion des risques a pour but de
mesurer le niveau de sécurité d’un système ou d'un périmètre défini, de déterminer précisément
les failles et faiblesses dans les mécanismes de sécurité et de pouvoir ainsi définir le degré
d'exposition aux risques et menaces tout en mettant en œuvre un plan de remédiation avec des
actions correctives.

Cette protection passe notamment par la sensibilisation des employés aux bonnes pratiques de
sécurité, la gestion proactive des correctifs et des mises à jour, ainsi que la surveillance continue
des vulnérabilités et des activités suspectes.

Dans cette optique, ce mémoire vise à explorer en profondeur les aspects clés de la gestion des
vulnérabilités techniques, en mettant en évidence son rôle essentiel dans la protection des
systèmes d'information et en proposant des recommandations pratiques pour optimiser sa mise en
œuvre.

Il s’articule autour de cinq (5) chapitres. Le premier chapitre porte sur la présentation de notre
structure d’accueil et de notre sujet à savoir la problématique et les objectifs. Le second présente
la gestion des risques dans son ensemble. Ensuite, le chapitre trois (3) traite la gestion des
vulnérabilités, Puis le chapitre quatre propose une étude comparative des solutions de gestions

X
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

des vulnérabilités. En fin au chapitre cinq (5), nous allons parler de la mise en place d’une
solution de gestion des vulnérabilités.

Chapitre 1 : Présentation générale

Ce premier chapitre du mémoire sera consacré à la présentation de la Compagnie Financière
Africaine qui représente la structure d’accueil et du sujet.

1.1. Présentation de l’entreprise d’accueil

1.1.1. Présentation de COFINA (Compagnie Financière Africaine)
COFINA, acronyme de Compagnie Financière Africaine, est un groupe panafricain spécialisé
dans la mésofinance et le développement de solutions innovantes pour les particuliers et les
petites et moyennes entreprises (PME) en Afrique. La mésofinance, appelée Missing-middle par
les anglo-saxons ou chaînon manquant par les francophones, est la troisième voie de la finance.
Elle se situe au carrefour du système bancaire classique et de la microfinance traditionnelle.

Fondé en 2013, le groupe COFINA a rapidement émergé comme un acteur majeur dans le secteur
financier du continent.

Le groupe COFINA opère dans plusieurs pays d'Afrique de l'Ouest et d'Afrique centrale, dont la
Côte d'Ivoire, le Gabon, le Congo, le Mali, le Burkina Faso, la Guinée, le Togo et le Sénégal.
L'objectif principal de COFINA est de favoriser l'inclusion financière en offrant des produits et
services adaptés aux besoins spécifiques de ses clients.

COFINA propose une gamme complète de services financiers, notamment des solutions de
microfinance, de crédit à la consommation, de crédit-bail, de vente à rémérée et de gestion de
trésorerie. Le groupe se concentre principalement sur les PME, considérant qu'elles jouent un rôle
essentiel dans le développement économique de l'Afrique.

L'une des principales caractéristiques de COFINA est son engagement en faveur de l'innovation.
Le groupe utilise les dernières technologies pour améliorer l'expérience client et rendre les
services financiers plus accessibles. Par exemple, COFINA a développé des solutions de

XI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

paiement mobile et des plateformes numériques pour faciliter les transactions financières et offrir
une plus grande flexibilité à ses clients.

En plus de ses activités financières, COFINA est également impliqué dans des initiatives de
responsabilité sociale et environnementale. Le groupe soutient divers projets communautaires
visant à améliorer l'éducation, la santé et les conditions de vie des populations locales.

Grâce à son approche novatrice, à sa présence géographique étendue et à son engagement envers
ses clients et la société, COFINA est devenu un acteur incontournable du secteur financier en
Afrique. Le groupe continue de se développer et d'étendre son réseau pour répondre aux besoins
croissants des entrepreneurs et des particuliers sur le continent.

1.1.2. Historique
Les promoteurs de COFINA réunis autour d’idéaux communs, pouvant se résumer en la lutte
contre l’exclusion sur le continent, professionnels de la Finance et du Conseil ont décidé de
mutualiser leurs compétences et de créer une Institution Panafricaine d’Epargne et de Crédit pour
les PME et les particuliers.

Ainsi, le 2 Avril 2009, le conseil des promoteurs de COFINA décide de la création du Groupe
Compagnie Africaine de Crédit, dont l’objectif est d’offrir des services financiers de proximité à
des particuliers et des PME exclus des circuits financiers traditionnels.

Les Années 2009 et 2010 ont été consacrées à la définition du modèle opérationnel et
économique du Groupe, élaboré pour soutenir la vision des promoteurs.

L’année 2011 a été dédiée à l’identification des ressources humaines, financières et matérielles
nécessaires à la réalisation d’un projet d’une telle envergure afin de les intégrer progressivement
au sein du groupe.

Les pionniers de l’histoire originaires de pas moins de 12 pays du continent ont ainsi participé à
la réalisation d’un rêve, celui de créer le ‘modèle panafricain de la finance inclusive’ afin de
relever ensemble le défi de l’émergence du continent africain.

XII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Cinq années après l’ouverture de la 1ère filiale en Guinée, le Groupe est présent au Sénégal, en
Côte d’Ivoire, au Gabon, au Mali et au Congo.

2018 marque l’ouverture de Fin’elle ; en 2019 nous assistons à une double installation au Burkina
Faso et en France. Enfin, en 2020 on assiste à l’ouverture de COFINA Togo, le neuvième pays de
présence.

Figure 1: Déploiement de l'entreprise au fur des années

1.1.3. Organisation de COFINA

L’organisation du Groupe COFINA s’appuie sur une stratégie de déploiement unique qui lui a
permis en cinq ans d’être présent dans huit pays : Guinée Conakry, Sénégal, Côte d’Ivoire,
Gabon, Congo Brazzaville, Mali et Burkina Faso, Togo et maintenant la France avec l’ouverture
du Bureau de représentation à Paris.

Via les filiales de méso finance, il s’agit d’attaquer le marché de la mésofinance grâce à une offre
innovante de produits et une qualité de services sur mesure.

Via les filiales Cash Point Services, l’objectif est d’avoir un réseau étendu de distribution
multicanal de produits et services financiers de proximité.

Cash Point Services (CPS), filiale du Groupe COFINA, est une société de services spécialisée
dans la délivrance de produits et services financiers de proximité. L’objectif de CPS est de rendre

XIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

les services transactionnels accessibles à tous grâce à une gamme complète de produits et
services, via des canaux de distribution innovants et adaptés faisant partie d’un réseau optimisé.

La Holding du Groupe, la Compagnie Transnationale d’Investissement – CTI, fournit une

assistance financière mais alloue également son expertise opérationnelle et technique afin
d’assurer un développement efficient des filiales. Elle est la maison mère du Groupe COFINA, la
première institution africaine spécialisée dans le financement, l’accompagnement et le conseil des
PME/PMI et des classes moyennes émergentes.

CTI, dont le siège social est à Abidjan, dispose de deux sièges opérationnels, respectivement à
Abidjan et à Dakar, qui fournissent une assistance technique et financière aux deux clusters
d’Afrique de l’Ouest et d’Afrique Centrale.

C’est au niveau de CTI Dakar que notre stage s’est déroulé, dans le département Réseaux et
Systèmes.

Figure 2: Organigramme de l’entreprise

XIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.2. Présentation du sujet

1.2.1. Contexte
Le choix d’étudier la gestion des vulnérabilités a été fait avec pondération du fait de l’importance
que revête ce sujet dans le domaine de la cybersécurité. En effet, avec la multiplication des
attaques, la sécurité informatique est devenue une préoccupation majeure de toute entreprise.

Les personnes mal intentionnées peuvent avoir recours aux vulnérabilités internes pour exploiter
les failles de sécurité des systèmes informatiques à des fins malveillants.

La gestion des vulnérabilités constitue un processus important pour toute organisation afin de
protéger son système (ses données, ses actifs) et sa réputation. Elle aura pour but de mesurer le
niveau de sécurité d'un périmètre défini du système, de déterminer précisément les failles de
sécurité et faiblesses des équipements et de pouvoir ainsi définir le degré d'exposition aux risques
et menaces et de mettre en œuvre un plan de remédiation avec des actions correctives. Elle est
donc essentielle pour l'évaluation de la sécurité de son système.

Cependant, cette tâche est complexe et exige une approche proactive pour identifier, évaluer et
remédier aux vulnérabilités de manière continue.

Dans ce contexte, il est essentiel de comprendre les différentes méthodes, outils et bonnes
pratiques permettant une gestion efficace des vulnérabilités.

Greenbone Vulnerability Management représente l’outil sur lequel nous avons apporté notre
contribution.

1.2.2. Problématique
Avec le développement croissant des technologies de l'information et de la communication, on
assiste à une pléthore d'avantages mais également d'inconvénients relatifs à la sécurité tels que les
vulnérabilités techniques. Ces dernières peuvent provenir de plusieurs sources, notamment les
erreurs de configuration, les failles de logiciel ou encore les activités suspectes des employés.

L'existence de ces vulnérabilités peut exposer les entreprises à des menaces de sécurité, telles que
les pertes de données, les violations de la confidentialité et les attaques par des pirates
informatiques.

XV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

De plus, le nombre de vulnérabilités augmente au rythme et à l'échelle de l'adoption des

technologies. Durant le premier trimestre de l'année 2022, 8 051 vulnérabilités ont été
répertoriées, contre 18 376 au cours de l'année 2021. Cette augmentation témoigne de l'ampleur
du défi auquel les organisations sont confrontées en matière de gestion des vulnérabilités internes.

La gestion des vulnérabilités, qui est l'une des fonctionnalités clés soutenues par les entités
responsables de la cybersécurité, fait partie intégrante de la phase d'Identification des risques
selon L'ISO 27005.

Dans ce contexte, elle vient contribuer efficacement à la gestion de la sécurité de l'information au

sein des organisations. Cependant, elle peut s'avérer difficile et complexe, en raison de la variété
des sources de vulnérabilités et aux spécificités de chaque environnement. De plus, elle nécessite
une approche proactive et continue pour identifier les vulnérabilités, évaluer leur criticité et
établir des plans pour les traiter afin de réduire les risques potentiels pour la sécurité de
l'information.

Face à ces défis, il devient essentiel de mieux comprendre et d'explorer les approches, les
méthodologies et les meilleures pratiques de gestion des vulnérabilités.

C’est dans cet axe de recherche que se situera notre travail.

Ainsi, tout au long de ce projet, nous allons essayer de répondre aux questions suivantes:

 Quels sont les principaux types de vulnérabilités techniques auxquels les organisations
sont confrontées ?
 Quelles sont les méthodes et les outils utilisés pour identifier et évaluer ces
vulnérabilités ?
 Comment prioriser et hiérarchiser les vulnérabilités en fonction de leur criticité ?
 Quelles sont les bonnes pratiques pour remédier aux vulnérabilités identifiées ?
 Comment mettre en place un processus de gestion des vulnérabilités efficace et continu ?
 Comment intégrer la gestion des vulnérabilités dans le cadre plus large de la gestion des
risques en matière de sécurité de l'information ?

XVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.3. Objectifs
Objectif principal

L’objectif général de ce mémoire est de :

Définir l’importance de la mise en place d’un processus de gestion des vulnérabilités pour
renforcer la sécurité de l'information au sein des organisations, et d'explorer les méthodologies,
les meilleures pratiques et les outils pertinents pour identifier les vulnérabilités techniques.

Objectifs spécifiques

 Vue d'ensemble des vulnérabilités internes et de leur impact

 Analyser la problématique de la gestion des vulnérabilités et des risques en mettant
l'accent sur les enjeux actuels liés à la sécurité informatique
 Etudier les approches de correction des vulnérabilités et gestion du cycle de vie
 Évaluation des solutions: Il s'agit d'étudier les différentes solutions de gestion des
vulnérabilités disponibles sur le marché afin de comprendre les fonctionnalités et les
avantages de chaque solution.
 Mise en place de la solution: Le but est de choisir une solution qui répond aux exigences
de l'entreprise et de la mettre en place de manière efficace.

Ce chapitre a établi les fondations de notre travail. Nous avons exploré l'entreprise d'accueil et
défini clairement notre sujet et nos objectifs. Il servira de toile de fond pour les chapitres à venir,
où nous plongerons plus profondément dans la gestion des vulnérabilités.

XVII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Chapitre 2 : Généralités sur la gestion des

risques
La sécurité de l'information est un domaine de plus en plus critique dans le paysage informatique
moderne. Dans ce chapitre, nous allons explorer les bases de la gestion des risques, un aspect
essentiel de la sécurité de l'information.

1.4. Généralités sur la Sécurité de l’Information

1.4.1. Présentation et Objectifs de la sécurité
La sécurité de l'information est la pratique consistant à protéger les informations afin d'empêcher
tout accès, utilisation ou divulgation non autorisés. Elle implique la mise en œuvre de politiques
et de procédures destinées à sauvegarder les informations et à prévenir la perte ou le vol de
données.

La sécurité de l'information est la protection des données et des informations contre tout accès,
utilisation, divulgation, perturbation, modification ou destruction non autorisés.

Avec l’avènement des technologies de l’information et de la communication, la sécurité de

l'information est une préoccupation majeure pour les individus et les organisations. La quantité de
données sensibles à protéger a considérablement augmenté ces dernières années.

Elle représente un vaste sujet dans le domaine des technologies de l’information qui se concentre
sur de nombreuses stratégies et activités, que nous pouvons toutes regrouper en trois axes
distinctes : la protection, la détection et la réaction. Ces trois axes représentent un cycle en
constante évolution en raison des environnements de menace et de vulnérabilité, le but étant
d’assurer les objectifs de la sécurité qui sont :

La confidentialité : Propriété selon laquelle l’information n’est pas rendue disponible ou

divulguée à des personnes, des entités ou des processus non autorisés.

L’authentification : L'authentification consiste à vérifier l'identité d'un utilisateur, c’est-à-dire la

garantie que chaque entité est celle qu’elle revendique être.

XVIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

L’intégrité : Propriété de protection de l’exactitude (caractère de ce qui est exact) et de la

complétude (propriété de ce qui est complet) des actifs.

La disponibilité : Propriété d’être accessible et utilisable à la demande par une entité autorisée

La non-répudiation : Capacité à prouver l’occurrence d’un événement ou d’une action donnée

et les entités qui en sont à l’origine, de manière à résoudre les litiges entre l’occurrence ou la non-
occurrence de l’événement ou l’action et l’implication des entités dans l’événement.

1.4.2. Concepts Clés

1.4.2.1. Actif

On pourrait définir l’actif comme « n’importe quoi qui a de la valeur pour l’entreprise » !

L’ISO 55000:2014 définit un actif comme un élément, une chose ou une entité qui a une valeur
potentielle pour une organisation. Nous avons deux types d’actifs :1

 Les actifs primordiaux

On appelle actif primordial tout ce qui est processus métier et information. Ces actifs sont
généralement considérés comme essentiels à la réalisation des missions, des fonctions et des
services critiques de l'organisation. Ils peuvent comprendre des données sensibles, des
informations stratégiques, des technologies spécifiques, des processus opérationnels clés, des
systèmes critiques, des droits de propriété intellectuelle, etc.

Ces actifs reposent sur les actifs support.

 Les actifs support

L'actif support est un élément ou une ressource utilisé pour soutenir les opérations d'une
organisation, mais dont la perte ou la détérioration n'a pas d'impact direct sur les objectifs de
l'organisation. Il peut s'agir, par exemple, de logiciel, de matériel informatique, de mobilier de
bureau, d'équipements de communication ou d'autres ressources tangibles utilisées pour faciliter
le fonctionnement quotidien de l'organisation. La protection de ces actifs est importante pour

1
Voir Bibliographie, [B3]

XIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

garantir la continuité des opérations, mais leur perte ou leur altération n'aurait pas de
conséquences majeures sur la réalisation des objectifs de l'organisation.

1.4.2.2. Menace

La menace telle que définie par la norme ISO 22300 (2012) est « toute cause potentielle
d’incidents (indésirables) susceptible de causer des dommages pour un individu, un système ou
une organisation ».2

Exemples: Infection virale - Incendie - Espionnage - Saturation du SI - Corruption de données -

Abus de droit (habilitation).

Une menace exploite une vulnérabilité pour déclencher un événement d’attaque entrainant un
risque.

1.4.2.3. Vulnérabilité

La notion de vulnérabilité est considérée comme la composante intrinsèque du risque. La

vulnérabilité est aussi connue par la qualité de ce qui est susceptible d’être exposé aux menaces.
Elle dépend notamment de l’état de l’organisation et de la manière dont une menace pourrait se
propager à travers les différents départements et activités de l’organisation pour la rendre inapte à
fonctionner d’une manière acceptable.

Cycle de vie d’une vulnérabilité

Le cycle de vie d’une vulnérabilité commence par sa découverte. Dans le cas où une personne
mal intentionnée la découvre, elle peut tenter de l’exploiter en développant un code spécifique
appelé exploit en attendant que cette vulnérabilité devienne publique (remontée par des sociétés
spécialisées en sécurité informatique). Après cela, nous avons la priorisation des vulnérabilités en
fonction de leur gravité, de leur impact et de leur exploitabilité.

Après la remédiation, qui consiste à appliquer les mesures correctives appropriées, comme les
mises à jour, les correctifs ou les configurations, nous avons la vérification, qui consiste à
s’assurer que les vulnérabilités ont été corrigées et que le niveau de sécurité est satisfaisant.

2
Voir Bibliographie, [B3]

XX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Et enfin, le suivi, qui consiste à surveiller l’évolution des vulnérabilités et des menaces, ainsi que
l’efficacité du programme de gestion des vulnérabilités.

Les Types de vulnérabilités

Parmi les différentes vulnérabilités susceptibles d'affecter les systèmes, les réseaux et les
données. Voici quelques exemples courants :

 Vulnérabilités logicielles : Ce type de vulnérabilité concerne les failles présentes dans les
logiciels, les applications et les systèmes d'exploitation. Les erreurs de conception, les
bogues, les défauts de programmation ou les configurations incorrectes peuvent créer des
vulnérabilités exploitées par des attaquants.
 Vulnérabilités matérielles : Les vulnérabilités matérielles sont liées aux faiblesses
physiques des composants matériels tels que les processeurs, les cartes réseau ou les
périphériques de stockage. Les vulnérabilités matérielles peuvent être exploitées pour
exécuter des attaques telles que les attaques par canaux auxiliaires ou les attaques de type
"side-channel".
 Vulnérabilités réseau : Les vulnérabilités réseau concernent les faiblesses dans les
protocoles, les services ou les infrastructures réseau. Ces vulnérabilités peuvent permettre
aux attaquants de compromettre les communications, d'effectuer des attaques de déni de
service, de réaliser des interceptions ou des intrusions dans le réseau.
 Vulnérabilités physiques : Les vulnérabilités physiques se rapportent aux faiblesses au
niveau de l'accès physique aux locaux, aux équipements ou aux dispositifs de stockage.
Elles peuvent inclure des problèmes tels que l'absence de contrôles d'accès adéquats, des
serrures défectueuses ou des dispositifs de sécurité insuffisants.
 Vulnérabilités de configuration : Les vulnérabilités de configuration se produisent lorsque
les systèmes ou les applications sont configurés de manière incorrecte, laissant des
paramètres par défaut, des autorisations excessives ou des accès non sécurisés. Ces
vulnérabilités peuvent être exploitées par des attaquants pour accéder ou compromettre les
systèmes.
 Vulnérabilités humaines : Les vulnérabilités humaines sont liées aux erreurs, aux
négligences ou aux actions malveillantes des utilisateurs. Cela peut inclure des pratiques

XXI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

de sécurité médiocres, des mots de passe faibles, des clics sur des liens malveillants ou la
divulgation involontaire d'informations sensibles.

1.4.2.4. Impact

Les impacts potentiels renvoient à l’ensemble des dommages qui peuvent toucher directement ou
indirectement les missions et les objectifs principaux de l’organisation.

 Lorsqu'une vulnérabilité est identifiée, il est important de comprendre l'impact potentiel

qu'elle pourrait avoir sur l'organisation. Cela implique de prendre en considération les
aspects suivants :
 Perturbation des activités : Une vulnérabilité exploitée peut entraîner des perturbations
significatives dans les opérations de l'organisation. Cela peut inclure la perte de
disponibilité de systèmes critiques, des temps d'arrêt prolongés ou des
dysfonctionnements importants qui affectent la productivité.
 Divulgation d'informations sensibles : Certaines vulnérabilités peuvent entraîner la
divulgation involontaire d'informations sensibles ou confidentielles. Cela pourrait
compromettre la confidentialité des données et entraîner des problèmes de conformité aux
réglementations en matière de protection des données.
 Altération des données : Une vulnérabilité exploitée peut permettre à un attaquant de
modifier ou de corrompre les données de l'organisation, ce qui peut conduire à des prises
de décisions erronées ou à des actions inappropriées basées sur des informations
incorrectes.
 Réputation de l'organisation : Les incidents de sécurité liés à des vulnérabilités peuvent
gravement affecter la réputation de l'organisation. Une mauvaise gestion des
vulnérabilités peut entraîner une perte de confiance des clients, des partenaires
commerciaux et du grand public.
 Coûts financiers : Les attaques réussies liées à des vulnérabilités peuvent entraîner des
coûts financiers considérables pour l'organisation. Cela peut inclure des pertes financières
directes, des dépenses liées à la remédiation et à la reprise après incident, ainsi que des
sanctions légales ou des amendes en cas de non-conformité.

XXII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.4.2.5. Risque

Dans la norme ISO 27000:2013, le risque est vu comme « l’effet de l’incertitude sur l’atteinte des
objectifs ». Le risque lié à la sécurité de l’information quant à lui représente selon l’ISO
27000:2009 la possibilité qu'une menace donnée exploite une vulnérabilité d'un actif ou d'un
groupe d'actifs et nuise donc à l'organisation.3

Le risque est souvent caractérisé par référence à des événements et à des conséquences
potentielles et est souvent exprimé en fonction de la menace, la vulnérabilité et l’impact [Risque
= fonction (menace, vulnérabilité, impacts)].

Nous avons deux catégories de risques :

 Le risque intrinsèque

Le risque d’une vulnérabilité combine deux facteurs : l’impact potentiel de la vulnérabilité si elle
venait à être exploitée, et la probabilité que cette faille soit exploitée (probabilité d’occurrence du
risque). L’impact potentiel peut reprendre simplement les trois dimensions basiques de la
sécurité: disponibilité, intégrité et confidentialité.

L’exploitation de la faille coupe-t-elle le service ? Combien de temps faudra-t-il pour rétablir le

service ? La coupure va-t-elle impacter le niveau de service? L’exploitant pourrait-il modifier des
données, altérer des informations ou accéder à des données confidentielles ?

La probabilité d’occurrence repose essentiellement sur la simplicité d’exploitation de la faille et

sa récurrence (expérience). Par exemple, si n’importe qui peut trouver sur Internet un script qui
exploite la faille, qui plus est à distance et sans avoir d’information préalable, le risque
d’exploitation de ladite faille augmente. La conjugaison de ces deux éléments (par produit
cartésien typiquement) donne donc le risque intrinsèque de la vulnérabilité, comme l’illustre
l’exemple ci-dessous :

3
Voir Bibliographie, [B3]

XXIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Tableau 1: Tableau représentatif du niveau de risque4

 Le risque environnemental et risque final

Où se trouve la vulnérabilité ? Selon l’importance de l’actif (identifiée à l’étape précédente du

processus), une même vulnérabilité pourra avoir un risque (et donc une priorité de traitement)
tout à fait différent.

De plus, les attaques étant motivées par une volonté politique, un vol de secret industriel ou une
volonté de nuire, les organismes portent dans leur globalité un risque variable d’un organisme à
l’autre. A nouveau, en prenant en compte l’environnement de la vulnérabilité et son risque
intrinsèque, on arrive à un risque qui in fine doit être calculé séparément pour chaque
vulnérabilité.

1.5. La gestion des risques

1.5.1. Définition et Avantages
La gestion des risques informatiques, également connue sous le nom de gestion des risques liés à
la sécurité informatique, est un processus qui vise à identifier, évaluer et traiter les risques
associés aux systèmes informatiques, aux réseaux, aux données et aux activités informatiques

4
Voir Bibliographie, [B1]

XXIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

d'une organisation. Elle englobe des mesures visant à prévenir les pertes, les interruptions ou les
atteintes aux objectifs de la sécurité (Confidentialité, Intégrité, Disponibilité des informations).

Une gestion des risques correctement mise sur pied compte plusieurs avantages comme :

 La prévention des incidents,

 La protection des actifs,
 La prise de décision éclairée,
 Une réduction des coûts,
 Une continuité des activités,
 Une amélioration de la gouvernance,
 Ou encore une conformité réglementaire.

1.5.2. Normes et standards

La gestion des risques s'appuie sur des normes et des standards qui fournissent des lignes
directrices et des bonnes pratiques pour sa mise en œuvre. Parmi les normes et les standards
couramment utilisés dans le domaine de la sécurité de l'information et de la gestion des risques,
on peut citer :

NIST SP 800-30 : Ce guide du National Institute of Standards and Technology (NIST) fournit des
recommandations pour la gestion des risques liés à la sécurité de l'information. Il détaille les
étapes du processus de gestion des risques, y compris l'évaluation des risques, l'identification des
contrôles de sécurité et l'élaboration d'un plan de traitement des risques.

COSO ERM : Est un standard développé par le Committee of Sponsoring Organizations of the
Treadway Commission (COSO). Il propose un modèle intégré pour la gestion du risque
d’entreprise (ERM), qui englobe la stratégie, la gouvernance, la culture, les capacités et les
pratiques d’une organisation.

ISO 31000 : Cette norme internationale fournit un cadre général pour la gestion des risques dans
tous les domaines d'activité.5 Elle présente les principes, les processus et les lignes directrices
pour l'identification, l'évaluation et la gestion des risques.

5
Voir Bibliographie, [B3]

XXV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

ISO 22301 : est une norme internationale qui spécifie les exigences pour la mise en place d’un
système de management de la continuité d’activité (SMCA). 6 Elle aide les organisations à
préparer et à gérer les situations de crise qui pourraient affecter leur capacité à fournir leurs
produits ou services.

ISO 27005 : Cette norme spécifique à la sécurité de l'information fournit des orientations
détaillées pour la gestion des risques liés à la sécurité de l'information. 7 Elle décrit les étapes
spécifiques du processus de gestion des risques, y compris l'identification des risques, l'évaluation
des risques, l’analyse du risque, le traitement des risques et la communication des risques.

1.5.3. La gestion des risques par ISO 27005

La norme ISO 27005 est spécifiquement axée sur la gestion des risques liés à la sécurité de
l'information. Elle fournit un cadre méthodologique détaillé pour la gestion des risques, adapté
aux besoins des organisations. Elle est applicable à toutes les organisations qui ont l’intention de
gérer les risques susceptibles de compromettre le sécurité de l’information.

Cette norme fournit à ces organisations des lignes directrices pour répondre aux exigences
d’ISO/IEC 27001 qui est la norme de référence pour les systèmes de management de la sécurité
de l’information (SMSI).

En 2022, La norme ISO/IEC 27005 a été révisée pour tenir compte des évolutions du contexte et
des pratiques en matière de gestion des risques liés à la sécurité de l’information. Cette nouvelle
édition introduit une nouvelle structure basée sur le cycle PDCA (Planifier-Faire-Vérifier-Agir),
qui est alignée sur l’ISO/IEC 27001 et qui facilite l’intégration du processus de gestion des
risques dans le SMSI.

Elle clarifie les concepts et les termes relatifs à la gestion des risques, notamment la distinction
entre le risque, l’événement redouté, la source du risque, la cause du risque et le scénario du
risque et intègre les principes et les bonnes pratiques issus d’autres normes et guides relatifs à la
gestion des risques, tels que l’ISO 31000.

La norme ISO 27005 propose les étapes suivantes pour la gestion des risques :
6
Voir Bibliographie, [B3]
7
Voir Bibliographie, [B3]

XXVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 L’établissement du contexte
Elle consiste à définir le périmètre, les objectifs, les parties prenantes, les critères et
l’appétence pour le risque, ainsi que les ressources et les responsabilités nécessaires pour
la gestion des risques liés à la sécurité de l’information. Cette étape permet de créer les
bases et les conditions pour le processus de gestion du risque

 L’appréciation du risque
Elle comporte trois étapes à savoir :
L’identification du risque – Dans cette étape, il s’agit d’identifier et de recenser les
risques potentiels auxquels une organisation est exposée. Cela implique de prendre en
compte les différents aspects de l'activité, les actifs, les processus, les parties prenantes et
l'environnement dans lequel l'organisation opère. L'identification des risques prend alors
en compte l’identification des actifs, des menaces, des mesures de sécurité, des
vulnérabilités et des conséquences.
L’analyse du risque – Une fois les risques identifiés, ils doivent être analysés en
profondeur pour évaluer leur probabilité d'occurrence et leur impact potentiel. L'analyse
du risque repose sur la collecte et l'examen de données, de statistiques, d'expériences
passées et d'expertise pour évaluer la probabilité de survenue d'un événement indésirable
et les conséquences qu'il pourrait avoir sur l'organisation.
L’appréciation du risque – L'appréciation du risque est l'étape où les résultats de l'analyse
du risque sont évalués et interprétés afin de prendre des décisions appropriées. Elle
consiste à évaluer la signification des risques identifiés en termes de leur gravité, de leur
criticité et de leur niveau de tolérance pour l'organisation. L'appréciation du risque
implique de considérer à la fois l'impact potentiel des risques sur les objectifs de
l'organisation et la probabilité de leur survenue. Cette évaluation peut être effectuée en
utilisant des matrices de risques, des seuils de tolérance prédéfinis, des consultations avec
les parties prenantes concernées, etc.

 Le traitement du risque

XXVII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Etape qui consiste à sélectionner et à mettre en œuvre des options appropriées pour
modifier le niveau des risques, en fonction des critères et de l’appétence pour le risque.
Les options de traitement du risque peuvent être l’évitement, la réduction, le partage ou
l’acceptation du risque. Cette étape permet de réduire les risques inacceptables et de saisir
les opportunités liées aux risques.

 L’acceptation du risque
Elle consiste à décider si les risques restants après le traitement sont acceptables ou non,
en fonction des critères et de l’appétence pour le risque. Les risques acceptables n’ont pas
besoin d’être traités davantage, tandis que les risques inacceptables doivent faire l’objet
d’un traitement supplémentaire ou d’une escalade vers la direction. Cette étape permet de
s’assurer que le niveau de risque résiduel est conforme aux attentes de l’organisme.

 Communication relative aux risques

Elle consiste à échanger des informations pertinentes sur les risques avec les différentes
parties prenantes, tout au long du processus de gestion des risques. La communication
relative aux risques vise à informer, consulter, impliquer et sensibiliser les parties
prenantes sur les sources, la nature, le niveau et le traitement des risques liés à la sécurité
de l’information. Cette étape permet de renforcer la confiance, la transparence et la
collaboration entre les parties prenantes.

 Surveillance et réexamen des risques

Ils consistent à mesurer et à contrôler l’évolution des risques dans le temps, ainsi qu’à
vérifier l’efficacité et la pertinence des actions de traitement du risque. La surveillance et
le réexamen des risques impliquent également d’évaluer la performance globale du
processus de gestion des risques et d’identifier les opportunités d’amélioration continue.
Cette étape permet de s’adapter aux changements internes et externes qui peuvent affecter
le niveau ou la nature des risques liés à la sécurité de l’information.

XXVIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.5.4. L'identification des vulnérabilités dans la gestion des risques

La gestion des risques compte plusieurs étapes parmi lesquelles l'appréciation des risques qui est
un processus d'évaluation systématique et méthodique qui vise à identifier, analyser et évaluer les
risques potentiels auxquels une organisation est confrontée. C'est une étape cruciale, car elle
permet de prendre des décisions éclairées sur la manière de prévenir, de réduire ou de gérer les
risques afin de protéger les actifs de l'organisation et de garantir la continuité des opérations.

Durant ce processus d’appréciation, nous avons l’identification des risques qui sert à identifier les
faiblesses potentielles dans un système d’information, qui pourraient être exploitées par des
attaquants pour causer des dommages ou compromettre la sécurité des actifs.

Ces faiblesses représentent les vulnérabilités et leur identification est une étape à part entière de
l’appréciation des risques.

Tout réparer en même temps est quasi impossible. Dans les organisations, avec des centaines
voire des milliers d’actifs, les données de vulnérabilité peuvent être lourdes si elles ne sont pas
correctement catégorisées, hiérarchisées de manière significative. C’est alors tout l’intérêt de la
gestion des vulnérabilités qui permet de réaliser automatiquement un classement des
vulnérabilités représentant un risque élevé aux vulnérabilités en représentant le moins.

Ce chapitre nous a permis d'acquérir une compréhension fondamentale de la sécurité de

l'information et de la gestion des risques. Nous avons identifié les concepts clés qui guideront
notre analyse ultérieure de la gestion des vulnérabilités.

XXIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Chapitre 3 : La gestion des vulnérabilités

La gestion des vulnérabilités est au cœur de notre étude. Dans ce chapitre, nous allons définir ce
qu'est la gestion des vulnérabilités, en explorant ses objectifs, ses processus et les normes et
standards qui la régissent.

1.6. Définition de la gestion des vulnérabilités

La gestion des vulnérabilités est un processus cyclique consistant à identifier des actifs (ou
ressources) informatiques et à les corréler avec une base de données constamment mise à jour
pour identifier les menaces, les erreurs de configuration et les vulnérabilités 8. Un autre aspect de
cette gestion concerne l’analyse de l’urgence et l’impact de chaque vulnérabilité selon divers
facteurs de risque et la réaction rapide aux menaces graves.

1.2. Objectifs et finalités de la gestion des vulnérabilités

La gestion des vulnérabilités a pour principaux objectifs et finalités de garantir la sécurité et la
robustesse des systèmes informatiques d'une organisation. Voici quelques-uns des objectifs clés
de ce processus :

 se conformer à la loi ou aux normes qualitatives du secteur ;

 couvrir un risque métier majeur ;
 corriger une vulnérabilité dans les n jours suivants la fourniture du palliatif ;
 avoir un taux minimal moyen de vulnérabilités corrigées ;
 etc.

En mettant en œuvre un processus de gestion des vulnérabilités solide, les organisations peuvent
mieux protéger leurs actifs informatiques, réduire les risques de violation de sécurité et assurer la
continuité de leurs opérations dans un environnement numérique en constante évolution.

8
Voir Webographie, [W1]

XXX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.3. Processus de gestion des vulnérabilités

Chaque étape de la gestion des vulnérabilités est itérative (cyclique voire continue) et alimente
les autres étapes. Ainsi, chaque nouvel actif découvert à l’inventaire est passé à l’analyse des
vulnérabilités, de la même manière qu’une nouvelle vulnérabilité est ensuite traitée et intégrée au
Reporting. L’illustration ci-dessous présente les principales étapes de la gestion des vulnérabilités
:

Figure 3: Gestion du cycle de vie des vulnérabilités

Ce cycle de vie comprend cinq flux de travail continus et qui se chevauchent : assess
(découverte), prioritize (catégorisation et priorisation), act (résolution), re-assess (réévaluation et
improve) et Reporting (production de rapports).

XXXI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.3.1. La découverte
Aussi appelée l'identification, elle porte sur l’évaluation des vulnérabilités, un processus
permettant de rechercher les vulnérabilités connues et potentielles sur les actifs de l'organisation.

 Le scan de vulnérabilités

Généralement, les équipes de sécurité automatisent ce processus à l'aide d'un logiciel de scan de
vulnérabilité. Certains scanners de vulnérabilité analysent régulièrement la totalité du réseau,
tandis que d'autres utilisent des agents installés sur les ordinateurs portables, les routeurs et
d'autres nœuds finaux pour collecter des données sur chaque appareil.

Ce scan représente le processus fondamental pour trouver et corriger les vulnérabilités du réseau.
Le choix de l'outil de scan est un élément très important d'un processus efficace de gestion des
vulnérabilités. Une analyse de vulnérabilité teste l'efficacité de la politique et des contrôles de
sécurité en examinant l'infrastructure du réseau pour détecter les vulnérabilités. Un scanner de
vulnérabilités est théoriquement capable de tester tout élément joignable par une adresse IP
comme les serveurs, les ordinateurs, les équipements réseau...

Un scan est généralement planifié pour qu'il s'exécute automatiquement ou sur demande.

 Les outils de scan

Nombreuses sont les options pour les outils de scanning. Ces derniers utilisent tous une base de
données de vulnérabilités connue.

Plusieurs fournisseurs proposent une multitude de solutions, avec différents options de

déploiement. Ces options incluent des logiciels installés et gérés de manière autonome ou même
des Software As A Service.

1.3.2. La catégorisation et la priorisation

Une fois que les vulnérabilités ont été identifiées, elles sont catégorisées et classées par ordre de
priorité.

La catégorisation consiste à classer les vulnérabilités en fonction de leur type ou de leur nature. Il
peut s'agir, par exemple, de vulnérabilités liées à des problèmes de configuration de dispositifs, à

XXXII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

des faiblesses de chiffrement, à des erreurs dans les contrôles d'accès, à des expositions de
données sensibles, etc. Cette classification permet de mieux comprendre la diversité des
vulnérabilités présentes dans le système et de mieux cibler les mesures d'atténuation nécessaires
pour les corriger.

Une fois que les vulnérabilités sont classées, la priorisation intervient pour déterminer l'ordre
dans lequel elles doivent être traitées. La priorisation est établie en fonction du niveau de criticité
de chaque vulnérabilité, qui est une évaluation de la gravité de la vulnérabilité et de son impact
potentiel sur la sécurité de l'organisation.

Pour déterminer la criticité, les solutions de gestion des vulnérabilités s'appuient généralement
sur des sources de renseignements sur les menaces telles que le Common Vulnerability Scoring
System (CVSS), une norme ouverte du secteur de la cybersécurité qui évalue la criticité des
vulnérabilités connues sur une échelle de 0 à 10, la liste des vulnérabilités et expositions
communes (CVE) du MITRE et la National Vulnerability Database (NVD) du NIST.

1.3.3. La correction
Il s'agit de s'attaquer aux vulnérabilités dès qu'elles sont découvertes. Cette étape est continue
dans le processus de gestion des vulnérabilités car de nouvelles vulnérabilités sont tout le temps
détectées. En effet, dès qu'une nouvelle vulnérabilité est découverte, des mesures doivent être
prises.

Une fois les vulnérabilités hiérarchisées, les équipes de sécurité peuvent les résoudre de trois
manières :

 Résolution : traitement complet d'une vulnérabilité, afin qu'elle ne puisse plus être
exploitée, en installant, par exemple, un module de correction qui corrige un bogue
logiciel ou en retirant un actif vulnérable. De nombreuses plateformes de gestion des
vulnérabilités fournissent des outils de résolution tels que la gestion des correctifs, pour le
téléchargement et le test automatiques des correctifs, et la gestion de la configuration,
pour remédier aux mauvaises configurations du réseau et des appareils à partir d'un
tableau de bord ou d'un portail centralisé.

XXXIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Atténuation : rendre une vulnérabilité plus difficile à exploiter et/ou limiter l'impact de
l'exploitation sans supprimer entièrement la vulnérabilité. Laisser un appareil vulnérable
en ligne, mais l'isoler du reste du réseau est un exemple d'atténuation. L'atténuation est
généralement effectuée lorsqu'un correctif ou un autre moyen de résolution n'est pas
encore disponible.
 Acceptation : choisir de ne pas traiter la vulnérabilité. Les vulnérabilités dont le score de
criticité est faible, c'est-à-dire qu'il est peu probable qu'elles soient exploitées ou qu'elles
causent des dommages importants, sont souvent acceptées.

1.3.4. La réévaluation
Lorsque des actions correctives ont été menées, les équipes de sécurité procèdent généralement à
une nouvelle évaluation des vulnérabilités pour s'assurer que leurs efforts d'atténuation ou de
résolution ont fonctionné et n'ont pas introduit de nouvelles vulnérabilités.

Durant cette phase, on effectue rapidement une nouvelle analyse, effectue des analyses
périodiques, et on veille à ce qu'un processus de remontée d'informations soit mis en place pour
traiter les vulnérabilités.

1.3.5. La production de rapports

Les plates-formes de gestion des vulnérabilités fournissent généralement des tableaux de bord
pour les métriques de rapport telles que le temps moyen de détection (MTTD) et le temps moyen
de réponse (MTTR). De nombreuses solutions maintiennent également des bases de données des
vulnérabilités identifiées. Par conséquent, les équipes de sécurité peuvent suivre la résolution des
vulnérabilités identifiées et auditer les tâches de gestion des vulnérabilités passées.

Grâce à ces fonctionnalités de création de rapports, les équipes de sécurité peuvent établir une
base de référence pour les activités de gestion des vulnérabilités en cours et surveiller les
performances du programme au fil du temps. Les rapports peuvent également être utilisés pour
partager des informations entre les équipes de sécurité et d'autres équipes informatiques qui
peuvent être responsables de la gestion des actifs mais ne sont pas directement impliquées dans le
processus de gestion des vulnérabilités.

XXXIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.4. Normes et standards relatifs à la gestion des vulnérabilités

1.4.1. Le protocole SCAP (Security Content Automation Protocol)
Le Security Content Automation Protocol (SCAP) est une synthèse de diverses normes créées
pour permettre une gestion automatisée des vulnérabilités. 9 Il intègre également des normes
utilisées pour mesurer et évaluer soit la gravité de la vulnérabilité elle-même, soit la conformité
des systèmes et de leurs configurations avec les stratégies de sécurité de l'organisation.

Pour les organisations, SCAP les aide à automatiser le processus de vérification des vulnérabilités
connues, à automatiser la vérification des paramètres de configuration de sécurité et à générer des
rapports qui relient les paramètres de bas niveau aux exigences de haut niveau. Par conséquent,
SCAP améliore la sécurité globale d'une organisation, atténuant efficacement les cyberattaques et
minimisant le risque de violation de données.

La famille de normes SCAP comprend plusieurs normes de composants. Les composants sont
conçus pour travailler ensemble dans le but commun. Pour chaque composant, la norme définit
un format de document avec la syntaxe et la sémantique des structures de données internes.
Toutes les normes de composants sont basées sur le langage de balisage extensible (XML) et
chaque norme de composant définit son propre espace de noms XML. Différentes versions de la
même norme de composant (langage) peuvent également être distinguées par un espace de noms
XML différent.

La norme SCAP comprend les principaux composants suivants :

 Enumérations
Common Vulnerabilities and Exposures (CVE): une liste de vulnérabilités enregistrées
Common Platform Enumeration (CPE) – une norme pour attribuer des identifiants aux
applications, aux systèmes d'exploitation et au matériel
Common Configuration Enumeration (CCE) – une norme pour attribuer des identifiants
uniques aux instructions de configuration (configurations système)
 Systèmes de notation (Scoring systems)
Common Vulnerability Scoring System (CVSS) pour l'évaluation de la gravité des
vulnérabilités

9
Voir Webographie, [W2]

XXXV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Common Configuration Scoring System (CCSS) pour l'évaluation de la gravité des

problèmes de configuration logicielle
 Langages
Open Vulnerability and Assessment Language (OVAL) c'est le composant principal de la
norme SCAP. Il est utilisé pour décrire les vulnérabilités de sécurité ou la configuration
souhaitée des systèmes. Les définitions OVAL définissent un état sécurisé de certains
objets dans un ordinateur, par exemple les fichiers de configuration, les autorisations de
fichiers, les processus. Les définitions OVAL sont évaluées à l'aide d'un interpréteur
appelé scanner
 Etc.

1.4.1.1. Common Vulnerabilities and Exposures (CVE)

Les CVE (Common Vulnerabilities and Exposures) sont une liste publique de vulnérabilités
disponibles qui contient pour chaque vulnérabilité son identification numéro (ID), sa description
et les références aux sources où la vulnérabilité a été rendue publique. L'identifiant CVE a la
forme CVE-YYYY-NNNN - il commence avec le préfixe "CVE", est suivi de l'année où la
vulnérabilité a été rendu public, et la dernière partie de l'identifiant indique le numéro de série des
vulnérabilités au cours de l'année spécifiée.

Figure 4: Structure d'une CVE

XXXVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Il convient de mentionner que l'ID CVE contient l'année à laquelle le vulnérabilité a été attribuée
ou rendue publique. Il n'inclut pas l'année quand la vulnérabilité a été introduite dans le logiciel
ou le matériel produit. Par exemple, la vulnérabilité Shellshock (CVE-2014-6271) a été présente
depuis 2002.

L’objectif est de constituer un dictionnaire qui recense toutes les failles avec une description
succincte de la vulnérabilité, ainsi qu’un ensemble de liens que les utilisateurs peuvent consulter
pour plus d’informations. Cette base vous est proposée pour consultation et reste maintenue par
l'organisme à but non lucratif MITRE soutenu par le département de la Sécurité intérieure des
États-Unis.

1.4.1.2. Common Vulnerability Scoring System (CVSS)

Le Common Vulnerability Scoring System (CVSS) est un système de notation qui fournit un
moyen d'évaluer diverses propriétés d'une vulnérabilité. Il fournit une représentation numérique
(0-10) de la gravité d'une vulnérabilité de sécurité de l'information. Bien que sa version actuelle,
la version 3.1, soit sortie en 2019, la version majeure précédente, la version 2.0, est toujours
utilisée dans les flux de données publié par la NVD – National Vulnerability Database (Section
2.7.1).

CVSS est un cadre ouvert géré par le FIRST (Forum of Incident Response and Security Teams),
une organisation à but non lucratif basée aux États-Unis qui compte plus de 500 organisations
membres dans le monde.

Le score CVSS pour Common Vulnerability Scoring System est un système permettant de
calculer une note évaluant les différentes caractéristiques, la criticité et une chaîne de caractères
(un vecteur) d’une vulnérabilité.

L’établissement d’un score CVSS résulte en permanence d’un calcul qui est sur la base de trois
critères qui possèdent eux-mêmes leurs propres notes ainsi que vecteurs. Les critères sont les
suivants :

 Le critère Base : évalue l’impact maximum théorique de la vulnérabilité.

XXXVI
I
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Le critère Temporel : représente les caractéristiques temporelles d’une vulnérabilité qui

peuvent évoluer au cours du temps (mise à disposition de correctifs, présence d’exploit,
etc.). Celui-ci pondère également le critère Base.
 Le critère Environnemental : représente les caractéristiques d’une vulnérabilité en
fonction de l’environnement (type d’actif ou utilisateur concerné par exemple) et des
conséquences qui pourraient découler de l’exploitation de cette vulnérabilité. Celui-ci
pondère le critère Temporel à son tour.

Notes qualitatives CVSS

Il est parfois utile, en particulier à des fins de discussion avec des parties prenantes moins
techniques, de faire correspondre les scores CVSS 0-10 à des notes qualitatives. FIRST
mappe les scores CVSS à ces notes qualitatives comme suit :

Score CVSS Note Qualitative

0.0 None
0.1 - 3.9 Low
4.0 - 6.9 Medium
7.0 - 8.9 High
9.0 - 10.0 Critical

Tableau 2: Mapping des scores CVSS selon FIRST

1.4.1.3. Common Platform Enumeration (CPE)

CPE est un schéma de nommage structuré pour les systèmes, logiciels et packages de
technologie de l'information.10 Basé sur la syntaxe générique des URI (Uniform Resource
Identifiers), CPE inclut un format de nom formel, une méthode pour vérifier les noms par
rapport à un système et un format de description pour lier le texte et les tests à un nom. Le
dictionnaire fournit une liste convenue de noms officiels de CPE. Le dictionnaire est fourni au
format XML et est accessible au grand public.

Ils suivent la nomenclature suivante :

10
Voir Webographie, [W3]

XXXVI
II
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Exemples de CPE :

1.4.2. CommonWeakness Enumeration (CWE)

CWE est une liste développée par la communauté des types de faiblesses logicielles et
matérielles. Il sert de langage commun, d'étalon de mesure pour les outils de sécurité et de
référence pour les efforts d'identification, d'atténuation et de prévention des faiblesses. 11 Il est
maintenu par la MITRE Corporation et contient aujourd'hui 933 faiblesses.

Le CWE identifie et catégorise le type de vulnérabilité, les problèmes de sécurité associés à la

vulnérabilité et les efforts de prévention possibles pour résoudre les vulnérabilités de sécurité
détectées. Sa structure hiérarchique (les catégories forment une arborescence) permet de spécifier
une catégorie plus générale ou spécifique pour une faiblesse.

Les CWE situés à des niveaux supérieurs de la structure (par exemple Configuration ) fournissent
un large aperçu d'un type de vulnérabilité et peuvent avoir de nombreux CWE enfants qui leur
sont associés. Les CWE à des niveaux plus profonds dans la structure (par exemple Cross Site
Scripting ) fournissent une granularité plus fine et ont généralement moins ou pas de CWE
enfants.

Par exemple, la catégorie CWE-74 décrivant une neutralisation inappropriée d’éléments spéciaux
(injection) est parent d’autres plus concrets comme le CWE-77 (injection de commandes), CWE-
81 (injection XML), CWE-94 (Code Injection), et d'autres types d'injection.

Chaque entrée CWE contient un identifiant, par exemple, CWE-89, et une description d'une
faiblesse. Ensuite, il inclut les relations avec d'autres catégories (parent, enfants) et modes
d'introduction décrivant quand une faiblesse est introduite dans le logiciel (par exemple, lors de la
mise en œuvre, de la conception phase). Les plates-formes applicables - langages, systèmes
11
Voir Webographie, [W4]

XXXIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

d'exploitation, architectures – déterminent les plates-formes sur lesquelles la faiblesse pourrait

apparaître. Enfin, il prévoit les conséquences liées à la faute et aussi les mesures d'atténuation et
les méthodes de détection qui pourraient éventuellement être utilisées.

La principale différence entre CWE et CVE est que les CWE mettent en évidence les
vulnérabilités, et non l'instance spécifique d'une vulnérabilité au sein d'un produit.

Par exemple, un CVE peut détailler une vulnérabilité particulière au sein d'un système
d'exploitation qui permet aux attaquants d'exécuter du code à distance. Cette entrée CVE ne
détaille cette vulnérabilité que pour un seul produit. Par contre, un CWE décrit la vulnérabilité
indépendamment de tout produit.

1.4.3. Common Attack Pattern Enumeration and Classification

(CAPEC)
Le Common Attack Pattern Enumeration and Classification (CAPEC) "est un dictionnaire
complet et une classification des attaques connues qui peuvent être utilisés par les analystes, les
développeurs, les testeurs et les éducateurs pour faire progresser la compréhension de la
communauté et renforcer les défenses.12

Les entrées du CAPEC sont organisées selon une structure hiérarchique de manière similaire aux
catégories CWE - chaque entrée peut avoir un parent plus abstrait et des catégories d'enfants plus
spécifiques. Par exemple, CAPEC-125 (Flooding) est un parent de CAPEC-482 (TCP Flood),
CAPEC-486 (UDP Flood), CAPEC-487 (ICMP Flood) et d'autres types spécifiques d'inondation.

Chaque entrée CAPEC contient un identifiant et, le si nécessaire, ne comprend pas seulement la
description du modèle d'attaque lui-même mais aussi des exemples d'instances, l'exécution flux
avec étapes d'attaque et références aux modèles d'attaque associés.

Il sert désormais aux analystes de sécurité, aux développeurs de logiciels et de matériel, aux
testeurs et aux éducateurs pour créer des produits plus robustes et résistants à la cybersécurité. La
version actuelle de CAPEC est la version 3.9, qui a 559 modèles d'attaque. Les schémas d'attaque
CAPEC sont classés en 6 "Domaines" et 9 "Mécanismes" d'Attaque.

12
Voir Webographie, [W5]

XL
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Domaines d'attaque

 Logiciel
 Matériel
 Communication
 Chaîne d'approvisionnement
 Ingénierie sociale
 Sécurité physique

Mécanismes d'attaque

 L’engagement dans des interactions trompeuses

 Abus des fonctionnalités existantes
 Manipulation des structures de données
 Manipulation des ressources système
 Injection d’éléments inattendus
 Utilisation des techniques probabilistes
 Manipulation de timing et d'état
 Collecter et analyser des informations
 Subvertir le contrôle d'accès

Exemples :

CAPEC-66: SQL Injection

"Cette attaque exploite le logiciel cible qui construit des instructions SQL basées sur l'entrée de
l'utilisateur. Un attaquant crée des chaînes d'entrée de sorte que lorsque le logiciel cible construit
des instructions SQL basées sur l'entrée, l'instruction SQL résultante exécute des actions autres
que celles prévues par l'application..."

CAPEC-540: Overread Buffers

"Un adversaire attaque une cible en fournissant une entrée qui amène une application à lire au-
delà de la limite d'un tampon défini. Cela se produit généralement lorsqu'une valeur influençant
où commencer ou arrêter la lecture est définie pour refléter des positions en dehors de

XLI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

l'emplacement de mémoire valide du tampon. Ce type d'attaque peut entraîner l'exposition

d'informations sensibles, un plantage du système ou l'exécution de code arbitraire."

1.4.4. MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) est une base de
connaissances accessible dans le monde entier sur les tactiques et techniques de l'adversaire,
basée sur des observations du monde réel.13

MITRE ATT&CK a été créé en 2013 à la suite de l'expérience Fort Meade (FMX) de MITRE, où
les chercheurs ont émulé le comportement de l'attaquant et du défenseur dans le but d'améliorer la
détection post-compromis des menaces grâce à la détection par télémétrie et à l'analyse
comportementale. La question clé pour les chercheurs était "Comment réussissons-nous à
détecter le comportement documenté de l'attaquant?" Pour répondre à cette question, les
chercheurs ont développé ATT&CK, qui a été utilisé comme outil pour catégoriser le
comportement de l'adversaire.

Le MITRE ATT&CK lui-même est un ensemble de matrices composées de tactiques (colonnes)

et techniques (lignes). La tactique est un objectif technique que l'attaquant veut atteindre, et
chacun d'eux contient plusieurs techniques que l'attaquant pourrait utiliser pour atteindre l'objectif
spécifique.

Il existe actuellement 185 techniques et 367 sous-techniques dans la matrice Enterprise

ATT&CK, et Mitre en ajoute continuellement. Chaque technique a un code à quatre chiffres. Par
exemple, le mécanisme de contrôle de l'élévation des abus est T1548.

Un exemple de tactique est TA0001 (accès initial), et pour obtenir l'accès initial, un attaquant
pourrait, par exemple, utiliser la technique du harponnage pièce jointe (T1193) ou compromettre
des comptes valides en volant des justificatifs d'identité (T1078).

MITRE ATT&CK a maintenant trois itérations :

 ATT&CK for Enterprise : Se concentre sur le comportement de l’attaquant dans les

environnements Windows, Mac, Linux et Cloud.

13
Voir Webographie, [W6]

XLII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 ATT&CK for Mobile : Se concentre sur le comportement de l’attaquant sur les systèmes
d'exploitation iOS et Android.
 ATT&CK for ICS : Se concentre sur la description des actions qu'un attaquant peut
entreprendre lorsqu'il opère au sein d'un réseau ICS.

MITRE ATT&CK est utilisé dans le monde entier dans de multiples disciplines, notamment la
détection des intrusions, la chasse aux menaces, l'ingénierie de la sécurité, le renseignement sur
les menaces, le red teaming et la gestion des risques.

1.4.5. Data sources: National Vulnerability Database (NVD)

La NVD est le référentiel du gouvernement américain des données de gestion des vulnérabilités
basées sur des normes représentées à l'aide du protocole SCAP (Security Content Automation
Protocol)14. Elle est construite sur les entrées de CVE qu'elle étend avec des informations
complémentaires:

 impact, gravité et autres informations de notation sous forme de CVSS

 informations sur le produit à l'aide des entrées de CPE
 référence à la catégorie de faiblesse en utilisant le CWE

En plus de la description CVE, les flux de données JSON fournis par le NVD contiennent l'ID
CVE, les références et les horodatages pour chaque vulnérabilité. Ensuite, ils incluent également
un dictionnaire de valeurs-clés CVSS paires (où la clé est le nom d'une métrique CVSS), ID
CWE et configurations contenant des chaînes de correspondance CPE.

La NVD est gérée par le National Institute of Standards and Technology (NIST). Le NIST
maintient la NVD afin de fournir une source complète d’informations sur les vulnérabilités
connues des logiciels et des systèmes. Le NIST fournit également des mises à jour du NVD, qui
sont publiées sous forme d’avis et d’alertes. En utilisant cette base de données, les organisations
peuvent identifier les vulnérabilités de sécurité, déployer des mesures de sécurité appropriées et
surveiller leurs systèmes pour détecter les alertes potentielles. La NVD aide les organisations à se
tenir au courant des dernières menaces et vulnérabilités en matière de sécurité.

14
Voir Weboraphie, [W7]

XLIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Les principales caractéristiques et fonctions de la National Vulnerability Database incluent :

 Collecte d'informations : La NVD collecte activement des informations sur les

vulnérabilités auprès de différentes sources, ce qui en fait une ressource complète pour les
informations sur les vulnérabilités connues.
 Attribution de CVE : La NVD attribue des identifiants uniques aux vulnérabilités
répertoriées, appelés Common Vulnerabilities and Exposures (CVE). Chaque CVE est un
identifiant alphanumérique qui permet de référencer spécifiquement une vulnérabilité.
 Description détaillée : Pour chaque CVE, la NVD fournit une description détaillée de la
vulnérabilité, y compris sa sévérité, son impact potentiel, les conditions requises pour
l'exploiter, et les correctifs disponibles.
 Métriques CVSS : La NVD utilise le Common Vulnerability Scoring System (CVSS)
pour évaluer la gravité des vulnérabilités et fournir une mesure normalisée de leur impact
potentiel sur la sécurité.
 Mises à jour régulières : La base de données est régulièrement mise à jour à mesure que
de nouvelles vulnérabilités sont découvertes, corrigées et que de nouvelles informations
sont signalées.
 Utilisation dans la gestion des vulnérabilités : La NVD est utilisée par les entreprises, les
organisations gouvernementales, les chercheurs en sécurité et les équipes de gestion des
vulnérabilités pour suivre les vulnérabilités connues, évaluer les risques potentiels et
prendre des mesures pour atténuer les menaces.

A ce jour, la NVD compte plus de 100 000 vulnérabilités.

1.5. Evaluation et suivi

L'évaluation et le suivi sont des composantes importantes de la gestion des vulnérabilités. Ils
permettent de mesurer l'efficacité des efforts déployés pour atténuer les risques de sécurité et de
suivre l'évolution de la posture de sécurité de l'organisation au fil du temps.

Une bonne pratique serait de préférer les indicateurs présentés sous forme de graphe qui
permettent de mettre en évidence rapidement et clairement les avancées ou les
dysfonctionnements.

XLIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Le tableau ci-dessous représente un exemple d’évaluation et de suivi :

Indicateur Détail (fréquence variable, par défaut à la

semaine)
Nombre total de vulnérabilités critiques Cumul de toutes les vulnérabilités critiques
depuis [date]. La qualité d’une vulnérabilité
est établie en fonction du produit et/ou
du vendeur du produit, c’est au RSSI de
déterminer le positionnement du niveau
considéré comme « critique ».
Nombre de vulnérabilités critiques non Nombre de vulnérabilités critiques non
résolues résolues depuis [date - 1].
Nombre de vulnérabilités critiques résolues Nombre de vulnérabilités critiques résolues ou
ou remédiées remédiées depuis [date - 1].
Durée de remédiation attendue Tirée de la politique de gestion des
vulnérabilités.
Durée de remédiation effective moyenne Tirée des tickets de gestion, pour vérifier la
performance du processus.
Nombre d’actifs analysés Nombre total d’actifs, afin de vérifier la
variance du nombre total de vulnérabilités
critiques.

Tableau 3: Exemple de tableau d’évaluation et de suivi15

Le chapitre sur la gestion des vulnérabilités nous a fourni une base solide pour aborder notre
étude comparative des outils. Nous savons maintenant ce qu'implique la gestion des
vulnérabilités et les éléments clés à surveiller dans les solutions disponibles.

15
Voir Bibliographie, [B2]

XLV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Chapitre 4 : Etude comparative d'outils de

gestion de vulnérabilités
Ce chapitre marque une étape importante de notre étude. Nous examinerons en détail différentes
solutions de gestion des vulnérabilités disponibles sur le marché. Notre objectif est de comparer
ces outils en fonction de critères spécifiques pour identifier la solution la mieux adaptée à nos
besoins.

XLVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.6. Etude des différentes solutions de gestion des vulnérabilités

La gestion efficace des vulnérabilités est devenue une priorité absolue pour les entreprises et les
organisations cherchant à minimiser les risques liés aux failles de sécurité. La priorité réside au
bon choix de l’outil qui va exécuter le scan de vulnérabilité qui représente la majeure partie du
processus.

Parmi les meilleurs outils sur le marché, nous avons OPENVAS qui est open-source et semble
très complet.

Combiné avec d’autres modules Open Sources supplémentaires, il forme la solution de gestion de
vulnérabilité complète GVM (Greenbone Vulnerability Management).

1.6.1. Les solutions Greenbone

Greenbone fournit la technologie de gestion des vulnérabilités sous différentes versions.

Il existe deux versions de la solution sur site de Greenbone : une version communautaire et une
version commerciale.

Les versions communautaires – Greenbone Source Edition (GSE) et Greenbone Security

Management (GSM) TRIAL – sont gratuites. Ils utilisent le Greenbone Community Feed avec un
grand nombre de tests de vulnérabilité. Cependant, ils n’incluent aucune assistance, garantie ou
engagement de qualité. Les éditions communautaires sont entièrement créées et fournies par
Greenbone en cadeau à la communauté.

Les produits commerciaux peuvent être achetés auprès de Greenbone ou des partenaires
Greenbone. En plus de notre matériel et des appliances virtuelles pour une installation sur site, ils
proposent une gestion des vulnérabilités via une plateforme Software-as-a-Service. Le flux de
sécurité Greenbone amélioré fait partie de toutes nos solutions commerciales et n’est pas
disponible en tant que produit autonome.

XLVII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Figure 5: Fonctionnement des solutions Greenbone

Avec plus de 30000 installations professionnelles dans le monde, ces solutions examinent
l’infrastructure de l’extérieur, comme le ferait un attaquant potentiel. L’objectif étant de localiser
toutes les vulnérabilités qui pourraient exister et fournir des efforts de correction et d’atténuation
du risque.

Etant donné que de nouvelles vulnérabilités logicielles sont découvertes au quotidien, ces
solutions sont capables de gérer le processus de détection, de suppression et de contrôle du risque
de vulnérabilités conformément au processus de gestion des vulnérabilités.

XLVIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Figure 6: Cycle de gestion des vulnérabilités selon Greenbone

1.6.2. Les différentes gammes de solutions Greenbone

1.6.2.1. Greenbone Source Edition

Greenbone Source Edition, également connue sous le nom de GCE (Greenbone Community
Edition), est une édition gratuite et open source de Greenbone. C’est le nom publié sous licences
Open Source du framework Greenbone Vulnerability Management.

GCE repose sur l'outil OpenVAS (Open Vulnerability Assessment System), qui est un scanner de
vulnérabilités open source.

Principales caractéristiques de GCE

 Scans de Vulnérabilités : GCE permet de réaliser des analyses de vulnérabilités dans les
réseaux, les systèmes d'exploitation, les applications et les services pour détecter des
failles de sécurité connues.

XLIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Mises à Jour de Vulnérabilités : Les bases de données de vulnérabilités (NVTs) sont

régulièrement mises à jour pour garantir une détection précise des vulnérabilités les plus
récentes.
 Interface Web Conviviale : GCE offre une interface utilisateur web intuitive pour la
configuration des analyses, la visualisation des rapports et la gestion des tâches.
 Personnalisation : Les utilisateurs peuvent personnaliser les analyses en fonction de leurs
besoins spécifiques en matière de sécurité.

Avantages

 Gratuit et open source : GCE est une solution open source gratuite, ce qui en fait une
option attrayante pour les petites entreprises et les utilisateurs individuels qui ont un
budget limité.
 Scanner de vulnérabilités puissantes : GCE est équipé d'un scanner de vulnérabilités
performant qui peut détecter diverses vulnérabilités dans les systèmes et les réseaux.
 Base de données de vulnérabilités mise à jour : GCE est régulièrement mis à jour avec les
dernières bases de données de vulnérabilités, ce qui permet de rester à jour avec les
menaces actuelles.
 Communauté active : GCE bénéficie d'une communauté active d'utilisateurs et de
contributeurs, ce qui signifie qu'il y a un support et des ressources disponibles en ligne.

Inconvénients

 Limitations en termes de gestion : GCE est principalement un scanner de vulnérabilités et

ne propose pas de fonctionnalités avancées de gestion de la sécurité.
 Pas de support technique officiel : En tant que solution open source gratuite, GCE n'offre
pas de support technique officiel. Vous devez compter sur la communauté ou la
documentation.

1.6.2.2. Greenbone Security Manager

Greenbone Security Manager est la gamme de produits commerciaux et disponible en tant

qu’Appliances virtuelles ou physiques. Il inclut le framework GVM ainsi que le système
d’exploitation GOS (Greenbone OS) qui fournit des fonctionnalités supplémentaires.

L
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Figure 7: Un Greenbone Security Manager (Equipement physique)

La version d’essai donne accès à une machine virtuelle.

Principales caractéristiques de GSM

 Suite de Gestion des Vulnérabilités : GSM est une suite complète de gestion des
vulnérabilités qui combine des composants open source tels qu'OpenVAS avec des
composants propriétaires.
 Gestion Centralisée : GSM permet la gestion centralisée des vulnérabilités pour les
organisations avec plusieurs sites ou réseaux.
 Corrélation des Vulnérabilités : GSM offre des fonctionnalités de corrélation des
vulnérabilités pour hiérarchiser et gérer les vulnérabilités de manière efficace.
 Gestion des Actifs : Il prend en charge la gestion des actifs, ce qui permet de suivre les
modifications de l'inventaire des systèmes.
 Reporting Avancé : GSM propose des rapports de sécurité avancés et personnalisables
pour aider les organisations à comprendre et à remédier aux vulnérabilités.

Avantages

 Gestion centralisée de la sécurité : GSM est une solution de gestion de la sécurité qui
permet une gestion centralisée des vulnérabilités et des menaces sur un réseau
d'entreprise.

LI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Intégration avancée : GSM offre des fonctionnalités avancées telles que la corrélation des
vulnérabilités, la planification des analyses, la génération de rapports personnalisés et
l'intégration avec d'autres solutions de sécurité.
 Support technique professionnel : GSM est accompagné d'un support technique
professionnel de Greenbone Networks, ce qui garantit une assistance en cas de problème.
 Simplicité d'utilisation : GSM offre une interface conviviale qui simplifie la gestion des
vulnérabilités et des menaces.

Inconvénients

 Coût : GSM est une solution commerciale, ce qui signifie qu'elle implique des coûts
d'acquisition et de maintenance. Cela peut être prohibitif pour certaines petites entreprises
ou utilisateurs individuels.

1.7. Analyse comparative des différentes solutions

1.7.1. Analyse qualitative
Greenbone Security Management (GSM) est une solution de gestion de la sécurité robuste offrant
des fonctionnalités avancées pour la surveillance des vulnérabilités et des menaces. D'un autre
côté, Greenbone Community Edition (GCE) est une option open source, axée principalement sur
la détection des vulnérabilités. Alors que ces deux produits visent à améliorer la sécurité des
réseaux, ils présentent des différences significatives en termes de coût, de fonctionnalités et de
support.

Dans cette analyse, nous examinerons en détail les forces de chaque solution, les faiblesses qui
pourraient les limiter, les opportunités qu'elles offrent aux entreprises et les menaces auxquelles
elles pourraient être confrontées.

Greenbone Security Manager (GSM)

Forces :

 Gestion avancée : GSM offre une gestion centralisée des vulnérabilités et des menaces, ce
qui permet une meilleure surveillance et une réaction plus efficace.

LII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Intégration avec d'autres solutions : Il peut être intégré avec d'autres solutions de sécurité,
ce qui en fait un choix flexible pour les entreprises ayant des besoins variés en sécurité.
 Support professionnel : Le support technique de Greenbone garantit une assistance rapide
et fiable en cas de problème.
 Rapports personnalisés : GSM permet de générer des rapports personnalisés pour
répondre aux besoins spécifiques de l'entreprise.

Faiblesses

 Coût élevé : GSM est une solution commerciale, ce qui peut rendre l'acquisition et la
maintenance coûteuses pour les petites entreprises.

Opportunités

 Expansion des entreprises : GSM peut soutenir la croissance de l'entreprise en fournissant

une gestion de la sécurité robuste pour un réseau en expansion.
 Demande croissante de sécurité : Avec la hausse des menaces en ligne, la demande de
solutions de gestion de sécurité est en augmentation, offrant des opportunités pour GSM.

Menaces :

 Concurrence : La concurrence dans le secteur de la sécurité informatique est féroce, ce qui

peut mettre en danger la part de marché de GSM.
 Évolution des menaces : Les menaces en ligne évoluent constamment, ce qui oblige GSM
à maintenir ses bases de données de vulnérabilités à jour.

Greenbone Community Edition (GCE)

Forces:

 Gratuit et open source : GCE est une option rentable pour les petites entreprises et les
utilisateurs individuels qui recherchent un scanner de vulnérabilités puissant.
 Base de données de vulnérabilités mise à jour : GCE est régulièrement mis à jour avec les
dernières bases de données de vulnérabilités, ce qui permet de rester à jour avec les
menaces actuelles.

LIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Communauté active : La communauté active peut fournir un support et des ressources en

ligne.

Faiblesses:

 Limitations en gestion : GCE se concentre principalement sur le scanner de vulnérabilités

et ne propose pas de fonctionnalités avancées de gestion de la sécurité.
 Pas de support technique officiel : En tant que solution open source gratuite, GCE n'offre
pas de support technique officiel.

Opportunités :

 Économies de coûts : GCE permet aux petites entreprises de réaliser des économies tout
en améliorant leur sécurité.
 Formation et développement de compétences : Les utilisateurs individuels peuvent utiliser
GCE pour apprendre la gestion des vulnérabilités et la sécurité réseau.

Menaces :

 Sécurité limitée : En raison de ses fonctionnalités limitées, GCE peut ne pas offrir une
sécurité complète car ne permettant pas de faire des audits de compliance complets.
 Dépendance communautaire : La dépendance à la communauté pour le support peut être
risquée si des problèmes urgents surviennent.

1.7.2. Analyse quantitative

L’analyse quantitative que nous aurons à faire se basera sur plusieurs critères à savoir :

 Gratuité et Code Open Source : Ces caractéristiques sont essentielles pour les petites
entreprises et les utilisateurs individuels qui cherchent à minimiser les coûts et à
bénéficier de la transparence du code. En plus de réduire les considérablement les
dépenses de l’entreprise, cela permet aussi à ces derniers de personnaliser la solution à
leur image.
 Gestion centralisée des vulnérabilités : Cette caractéristique est pertinente pour les
entreprises possédant un grand nombre d'actifs à surveiller et nécessitant une gestion
centralisée.

LIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Intégration avec d'autres solutions de sécurité : L'intégration permet d'améliorer la

sécurité globale en combinant différentes solutions.
 Support technique professionnel : Un support technique professionnel est important pour
résoudre rapidement les problèmes de sécurité.
 Mises à jour de la base de données de vulnérabilités : La mise à jour régulière de la base
de données garantit que la solution reste efficace contre les menaces actuelles.
 Interface conviviale : Une interface conviviale facilite l'utilisation de la solution, en
particulier pour les utilisateurs moins expérimentés.

Ci-dessous, nous avons procédé à une analyse quantitative entre les deux solutions en fonction de
plusieurs critères :

Solutions Greenbone Community Greenbone Security

Critères Edition Manager
Gratuit

Open Source

Intégration avec d'autres

solutions de sécurité
Interface conviviale

Mises à jour de la base de

données de vulnérabilités
Support technique
professionnel
Gestion centralisée des
vulnérabilités

LV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Tableau 4: Etude comparative entre GSM et GSE

La différence entre les deux versions réside aussi dans les flux de tests de vulnérabilités.
Greenbone inclut tous les tests de vulnérabilités de réseau NVT auto-développés dans son flux
de sécurité professionnel (GSF) utilisé par la version GSM, mais pas dans le flux communautaire
(GCF) utilisé par GSE.

Greenbone Community Greenbone Security Feed

Feed (GCF) (GSF)

NVT Les NVT de base Tous les NVT

Mise à jour Quotidiennement (mais Quotidiennement

manuelle)

Support Assuré par la communauté Assuré avec un niveau de

service

Conformité (PCI DSS, ISO Pas assuré Assuré

27001)

Tableau 5: Etude comparative entre GSF et GCF

GCF et GSF partagent le même ensemble de base de NVT et tous deux sont mis à jour
quotidiennement. La base commune comprend la disponibilité immédiate de « Hot NVT » qui
répond aux problèmes de sécurité qui se propagent rapidement sur Internet et dans la presse.

Cependant, le GCF ne reçoit aucun nouveau NVT pour les fonctionnalités des environnements
d'entreprise depuis le 4 septembre 2017. Cette distinction est considérée comme un équilibre
adéquat entre les besoins de la communauté et les besoins commerciaux.

En résumé, Greenbone Source Edition (GCE) est une solution gratuite et open source de
détection des vulnérabilités, adaptée aux utilisateurs individuels et aux petites entreprises. En

LVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

revanche, Greenbone Security Manager (GSM) est une solution plus avancée, payante, conçue
pour les entreprises et les organisations ayant des besoins étendus en matière de gestion des
vulnérabilités, de corrélation des vulnérabilités et de gestion centralisée.

1.8. Choix de la solution retenue et présentation détaillée

En tenant compte des besoins et fonctionnalités énumérés, la possibilité de faire des scans de
conformité (ISO, PCI DSS), la version GSM (Greenbone Security Manager) est plus complet.

Cependant, choisir Greenbone Community Edition est une option judicieuse pour les utilisateurs
ayant des ressources limitées, recherchant une solution de sécurité informatique efficace tout en
réalisant des économies. GCE offre une base solide pour la détection des vulnérabilités, avec une
mise à jour régulière des bases de données et le soutien d'une communauté active.

GCE, basé sur l'outil OpenVAS (Open Vulnerability Assessment System), offre des
fonctionnalités essentielles de détection des vulnérabilités dans les réseaux, les systèmes
d'exploitation, les applications et les services.

La Greenbone Community Edition se compose d'un framework avec plusieurs services. Il est
développé dans le cadre de la gamme de produits commerciaux Greenbone Enterprise.

Greenbone Community Edition a été initialement conçu comme un projet communautaire nommé
OpenVAS et est principalement développé et transmis par Greenbone.

L'architecture de Greenbone Community Edition est regroupée en trois parties principales :

 Applications d'analyse exécutables qui exécutent des tests de vulnérabilité (VT) sur les
systèmes cibles
 Greenbone Vulnerability Manager Daemon (gvmd)
 Greenbone Security Assistant (GSA) avec Greenbone Security Assistant Daemon (gsad)

La figure suivante montre un aperçu de l'architecture de la version 22.4.

LVII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Figure 8: Architecture Greenbone Vulnerability Management

Les principaux composants de GSE :

 Greenbone Vulnerability Manager Daemon (gvmd)

Greenbone Vulnerability Manager (gvmd) est le service central qui consolide l'analyse simple des
vulnérabilités en une solution complète de gestion des vulnérabilités. Gvmd contrôle le scanner
OpenVAS via Open Scanner Protocol (OSP).

Le service lui-même propose le protocole de gestion Greenbone (GMP) sans état, basé sur XML.
Gvmd contrôle également une base de données SQL (PostgreSQL) où toutes les données de
configuration et de résultats d'analyse sont stockées de manière centralisée. De plus, gvmd gère
également la gestion des utilisateurs, y compris le contrôle des autorisations avec les groupes et
les rôles. Et enfin, le service dispose d'un système d'exécution interne pour les tâches planifiées et
autres événements.

LVIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Greenbone Security Assistant (GSA)

Le Greenbone Security Assistant (GSA) est l'interface Web avec laquelle un utilisateur contrôle
les analyses et accède aux informations de vulnérabilité. C'est le principal point de contact pour
un utilisateur. Il se connecte à gvmd via le serveur Web Greenbone Security Assistant Daemon
(gsad) pour fournir une application Web complète pour la gestion des vulnérabilités. La
communication s'effectue à l'aide du Greenbone Management Protocol (GMP) avec lequel
l'utilisateur peut également communiquer directement en utilisant différents outils.

 Scanner OPENVAS

Le scanner principal OpenVAS Scanner est un moteur d'analyse complet qui exécute des tests de
vulnérabilité (VT) sur les systèmes cibles. Pour cela, il utilise des flux complets et mis à jour
quotidiennement : le flux commercial Greenbone Enterprise complet et complet ou le flux
communautaire Greenbone disponible gratuitement.

Le scanner se compose des composants ospd-openvas et openvas-scanner. Le scanner OpenVAS

est contrôlé via OSP. Le démon OSP pour le scanner OpenVAS (ospd-openvas) communique
avec gvmd via OSP : les données VT sont collectées, les analyses sont démarrées et arrêtées et les
résultats de l'analyse sont transférés à gvmd via ospd.

 GSA

Greenbone Security Assistant (GSA) est l’interface Web de GSE. Il se connecte au gvmd pour
fournir une interface utilisateur complete pour la gestion des vulnérabilités.

 Open Scanner Protocol

Le protocole OSP a été concu pour permettre de contrôler divers scanners de vulnérabilité. Ces
scanners doivent soit proposer le protocole OSP seuls, soit être connectés via un adaptateur
(wrapper OSP) qui peut être développé en python.

Il est utile si on veut installer plusieurs scanners de vulnérabilités sur notre plateforme Greenbone
Vulnerability Management.

LIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Après avoir examiné en détail les différents outils de gestion des vulnérabilités, nous allons
passer à l'application pratique en étudiant la mise en place de Greenbone Community Edition
(GCE) dans notre environnement.

LX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Chapitre 5 : Étude de cas, Mise en place de

GCE
Dans ce chapitre, nous entrerons dans la phase pratique de notre étude en définissant nos
objectifs, en décrivant l'environnement que nous avons mis en place. Nous expliquerons
également le processus d'installation de l'outil et les étapes de configuration de Greenbone
Community Edition.

1.1. Objectifs
Le but de cette implémentation est de mettre en place une solution capable de répondre
efficacement aux besoins de gestion des vulnérabilités au sein de notre environnement
informatique, sa fonctionnalité de base étant de réaliser des scan performants, d’identifier les
vulnérabilités, de les classer en fonction des risques et de fournir des rapports exhaustifs avec des
possibilités de remédiation.

1.2. Description de l’environnement mis en place

Afin d’exploiter les différentes fonctionnalités de GCE et de ne pas exposer les failles de sécurité
de COFINA, le déploiement se fera dans un environnement dédié représentatif.

Pour l’implémentation de GCE, nous avons mis en place un serveur Ubuntu dédié 2205 LTS qui
respecte les exigences matérielles suivantes :

 CPU Cores : 4
 Mémoire : 8Gb
 Disque : 60Gb

LXI
Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Figure 9: Architecture de test

Assets Adresses IP
Metasploitable 192.168.1.6
Windows Server 2012 192.168.1.17
Windows 10 192.168.1.2
GCE 192.168.1.4
Ubuntu Server 192.168.1.19

Tableau 6: Liste des différents assets

LXII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

1.3. Installation de l'outil

L’implémentation consistera à mettre en place la solution GCE à partir du code source GSE 16.

Nous avons pris cette décision pour plusieurs raisons :

Dernières Fonctionnalités : En optant pour l'installation à partir du code source, nous avons
accès aux dernières fonctionnalités et correctifs dès leur publication par la communauté
Greenbone. Cela garantit que notre installation est à jour et capable de gérer les vulnérabilités
les plus récentes.

Contrôle des Versions : Nous pouvons choisir les versions spécifiques des composants et des
dépendances qui sont compatibles avec notre infrastructure. Cela évite les conflits de
dépendances et garantit la stabilité de notre installation.

Apprentissage : L'installation à partir du code source nous offre également une opportunité
d'apprentissage précieuse. Nous acquérons des compétences en compilation, en gestion des
dépendances et en résolution de problèmes.

 Mise à jour du système

Pour commencer, nous allons mettre à jour et à niveau les différents packages du système :

Apt-get update

Apt-get upgrade

 Création d’un utilisateur et d’un groupe

sudo useradd -r -M -U -G sudo -s /usr/sbin/nologin gvm

sudo usermod -aG gvm $USER

su $USER
 Installation des dépendances

sudo apt install --no-install-recommends --assume-yes \

build-essential \
16
Voir Webographie, [W8]
curl \

cmake \
LXIII
pkg-config \

python3 \
 python3-pip \

Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel

Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Importation de la clé de signature Greenbone

Pour valider l'intégrité des fichiers sources téléchargés, GnuPG est utilisé. Cela nécessite de
télécharger la clé publique Greenbone Community Signing et de l’importer dans le trousseau de
l’utilisateur actuel.

curl -f -L https://www.greenbone.net/GBCommunitySigningKey.asc -o
/tmp/GBCommunitySigningKey.asc

gpg --import /tmp/GBCommunitySigningKey.asc

echo "8AE4BE429B60A59B311C2E739823FAA60ED1E580:6:" | gpg --import-ownertrust

 Installation des composants

Installation de gvm-libs

export GVM_LIBS_VERSION=22.7.1

curl -f -L
https://github.com/greenbone/gvm-libs/archive/refs/tags/v$GVM_LIBS_VERSION.tar.gz -o
$SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz

curl -f -L https://github.com/greenbone/gvm
libs/releases/download/v$GVM_LIBS_VERSION/gvm-libs-
v$GVM_LIBS_VERSION.tar.gz.asc -o $SOURCE_DIR/gvm-libs-
$GVM_LIBS_VERSION.tar.gz.asc

gpg --verify $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz.asc

$SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION.tar.gz

LXIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

mkdir -p $BUILD_DIR/gvm-libs && cd $BUILD_DIR/gvm-libs

cmake $SOURCE_DIR/gvm-libs-$GVM_LIBS_VERSION \

-DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \

-DCMAKE_BUILD_TYPE=Release \

-DSYSCONFDIR=/etc \

-DLOCALSTATEDIR=/var

make -j$(nproc)

mkdir -p $INSTALL_DIR/gvm-libs

make DESTDIR=$INSTALL_DIR/gvm-libs install

sudo cp -rv $INSTALL_DIR/gvm-libs/* /

Installation de gvmd

export GVMD_VERSION=22.9.0

curl -f -L https://github.com/greenbone/gvmd/archive/refs/tags/v$GVMD_VERSION.tar.gz -o
$SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz

curl -f -L https://github.com/greenbone/gvmd/releases/download/v$GVMD_VERSION/gvmd-
$GVMD_VERSION.tar.gz.asc -o $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz.asc

gpg --verify $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz.asc $SOURCE_DIR/gvmd-

$GVMD_VERSION.tar.gz

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/gvmd-$GVMD_VERSION.tar.gz

mkdir -p $BUILD_DIR/gvmd && cd $BUILD_DIR/gvmd

cmake $SOURCE_DIR/gvmd-$GVMD_VERSION \

-DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \

-DCMAKE_BUILD_TYPE=Release \

-DLOCALSTATEDIR=/var \

-DSYSCONFDIR=/etc \

-DGVM_DATA_DIR=/var \

-DGVMD_RUN_DIR=/run/gvmd \

-DGVMD_RUN_DIR=/run/gvmd \

-DOPENVAS_DEFAULT_SOCKET=/run/ospd/ospd-openvas.sock \

-DGVM_FEED_LOCK_PATH=/var/lib/gvm/feed-update.lock
LXV \

-DSYSTEMD_SERVICE_DIR=/lib/systemd/system \
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

make -j$(nproc)

mkdir -p $INSTALL_DIR/gvmd

make DESTDIR=$INSTALL_DIR/gvmd install

sudo cp -rv $INSTALL_DIR/gvmd/* /

Installation de Greenbone Security Assistant

Les sources de Greenbone Security Assistant (GSA) se composent de deux parties : Serveur Web
gsad et Application Web GSA.

GSA:

export GSA_VERSION=22.7.1

curl -f -L https://github.com/greenbone/gsa/releases/download/v$GSA_VERSION/gsa-dist-
$GSA_VERSION.tar.gz -o $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz

curl -f -L https://github.com/greenbone/gsa/releases/download/v$GSA_VERSION/gsa-dist-
$GSA_VERSION.tar.gz.asc -o $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz.asc

gpg --verify $SOURCE_DIR/gsa-$GSA_VERSION.tar.gz.asc $SOURCE_DIR/gsa-

$GSA_VERSION.tar.gz

mkdir -p $SOURCE_DIR/gsa-$GSA_VERSION

tar -C $SOURCE_DIR/gsa-$GSA_VERSION -xvzf $SOURCE_DIR/gsa-

$GSA_VERSION.tar.gz

sudo mkdir -p $INSTALL_PREFIX/share/gvm/gsad/web/

sudo cp -rv $SOURCE_DIR/gsa-$GSA_VERSION/* $INSTALL_PREFIX/share/gvm/gsad/web/

Gsad:

LXVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

export GSAD_VERSION=22.6.0

sudo apt install -y \

libmicrohttpd-dev \

libxml2-dev \

libglib2.0-dev \

libgnutls28-dev

curl -f -L https://github.com/greenbone/gsad/archive/refs/tags/v$GSAD_VERSION.tar.gz -o
$SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz

curl -f -L https://github.com/greenbone/gsad/releases/download/v$GSAD_VERSION/gsad-
$GSAD_VERSION.tar.gz.asc -o $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz.asc

gpg --verify $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz.asc $SOURCE_DIR/gsad-

$GSAD_VERSION.tar.gz

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/gsad-$GSAD_VERSION.tar.gz

mkdir -p $BUILD_DIR/gsad && cd $BUILD_DIR/gsad

cmake $SOURCE_DIR/gsad-$GSAD_VERSION \

-DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \

-DCMAKE_BUILD_TYPE=Release \

-DSYSCONFDIR=/etc \

-DLOCALSTATEDIR=/var \

-DGVMD_RUN_DIR=/run/gvmd \

-DGSAD_RUN_DIR=/run/gsad \

-DLOGROTATE_DIR=/etc/logrotate.d

make -j$(nproc)

mkdir -p $INSTALL_DIR/gsad

make DESTDIR=$INSTALL_DIR/gsad install

sudo cp -rv $INSTALL_DIR/gsad/* /

Installation de Openvas-smb

LXVII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

export OPENVAS_SMB_VERSION=22.5.3

curl -f -L
https://github.com/greenbone/openvas-smb/archive/refs/tags/v$OPENVAS_SMB_VERSION.tar.
gz -o $SOURCE_DIR/openvas-smb-$OPENVAS_SMB_VERSION.tar.gz

curl -f -L
https://github.com/greenbone/openvas-smb/releases/download/v$OPENVAS_SMB_VERSION/
openvas-smb-v$OPENVAS_SMB_VERSION.tar.gz.asc -o $SOURCE_DIR/openvas-smb-
$OPENVAS_SMB_VERSION.tar.gz.asc

gpg --verify $SOURCE_DIR/openvas-smb-$OPENVAS_SMB_VERSION.tar.gz.asc

$SOURCE_DIR/openvas-smb-$OPENVAS_SMB_VERSION.tar.gz

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/openvas-smb-

$OPENVAS_SMB_VERSION.tar.gz

mkdir -p $BUILD_DIR/openvas-smb && cd $BUILD_DIR/openvas-smb

cmake $SOURCE_DIR/openvas-smb-$OPENVAS_SMB_VERSION \

-DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \

-DCMAKE_BUILD_TYPE=Release

make -j$(nproc)

mkdir -p $INSTALL_DIR/openvas-smb

make DESTDIR=$INSTALL_DIR/openvas-smb install

sudo cp -rv $INSTALL_DIR/openvas-smb/* /

Installation de Openvas-scanner

export OPENVAS_SCANNER_VERSION=22.7.5

sudo apt install -y \

bison \ libglib2.0-dev \ libgnutls28-dev \

LXVIII \ rsync \
libgcrypt20-dev \ libpcap-dev \ libgpgme-dev \ libksba-dev

nmap \ libjson-glib-dev \
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

curl -f -L
https://github.com/greenbone/openvas-scanner/archive/refs/tags/v$OPENVAS_SCANNER_VER
SION.tar.gz -o $SOURCE_DIR/openvas-scanner-$OPENVAS_SCANNER_VERSION.tar.gz

curl -f -L
https://github.com/greenbone/openvas-scanner/releases/download/v$OPENVAS_SCANNER_VE
RSION/openvas-scanner-v$OPENVAS_SCANNER_VERSION.tar.gz.asc -o
$SOURCE_DIR/openvas-scanner-$OPENVAS_SCANNER_VERSION.tar.gz.asc

gpg --verify $SOURCE_DIR/openvas-scanner-$OPENVAS_SCANNER_VERSION.tar.gz.asc

$SOURCE_DIR/openvas-scanner-$OPENVAS_SCANNER_VERSION.tar.gz

tar -C $SOURCE_DIR -xvzf $SOURCE_DIR/openvas-scanner-

$OPENVAS_SCANNER_VERSION.tar.gz

mkdir -p $BUILD_DIR/openvas-scanner && cd $BUILD_DIR/openvas-scanner

cmake $SOURCE_DIR/openvas-scanner-$OPENVAS_SCANNER_VERSION \

-DCMAKE_INSTALL_PREFIX=$INSTALL_PREFIX \

-DCMAKE_BUILD_TYPE=Release \

-DINSTALL_OLD_SYNC_SCRIPT=OFF \

-DSYSCONFDIR=/etc \

-DLOCALSTATEDIR=/var \

-DOPENVAS_FEED_LOCK_PATH=/var/lib/openvas/feed-update.lock \

-DOPENVAS_RUN_DIR=/run/ospd

make -j$(nproc)

mkdir -p $INSTALL_DIR/openvas-scanner

make DESTDIR=$INSTALL_DIR/openvas-scanner install

sudo cp -rv $INSTALL_DIR/openvas-scanner/* /

Installation de Greenbone-feed-sync

LXIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

L'outil greenbone-feed-sync est un script basé sur Python permettant de télécharger toutes les
données de flux du flux communautaire Greenbone sur un ordinateur local. Il s'agit d'une version
améliorée de deux anciens scripts shell.

sudo apt install -y \

python3 \

python3-pip

mkdir -p $INSTALL_DIR/greenbone-feed-sync

python3 -m pip install --root=$INSTALL_DIR/greenbone-feed-sync --no-warn-script-location

greenbone-feed-sync

sudo cp -rv $INSTALL_DIR/greenbone-feed-sync/* /

Installation de Gvm-tools

Les outils de gestion des vulnérabilités Greenbone, ou gvm-tools en abrégé, sont un ensemble
d'outils qui aident à contrôler les installations de Greenbone Community Edition ou les appareils
Greenbone Enterprise à distance.

Essentiellement, les outils facilitent l'accès aux protocoles de communication Greenbone

Management Protocol (GMP) et Open Scanner Protocol (OSP).

Les outils gvm sont facultatifs et ne sont pas requis pour une pile GVM fonctionnelle.

sudo apt install -y \

python3 \

python3-pip \
LXX

python3-venv \
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Exécution du Setup système

Configuration du Data Store Redis

En regardant l'architecture, le stockage clé/valeur Redis est utilisé par le scanner (openvas-
scanner et ospd-openvas) pour gérer les informations VT et les résultats de l'analyse.

sudo apt install -y redis-server

sudo cp $SOURCE_DIR/openvas-scanner-$OPENVAS_SCANNER_VERSION/config/redis-
openvas.conf /etc/redis/

sudo chown redis:redis /etc/redis/redis-openvas.conf

echo "db_address = /run/redis-openvas/redis.sock" | sudo tee -a /etc/openvas/openvas.conf

sudo systemctl start [email protected]

sudo systemctl enable [email protected]

sudo usermod -aG redis gvm

Ajustement des permissions

LXXI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

sudo mkdir -p /var/lib/notus

sudo mkdir -p /run/gvmd

sudo chown -R gvm:gvm /var/lib/gvm

sudo chown -R gvm:gvm /var/lib/openvas

sudo chown -R gvm:gvm /var/lib/notus

sudo chown -R gvm:gvm /var/log/gvm

sudo chown -R gvm:gvm /run/gvmd

sudo chmod -R g+srw /var/lib/gvm

sudo chmod -R g+srw /var/lib/openvas

sudo chmod -R g+srw /var/log/gvm

sudo chown gvm:gvm /usr/local/sbin/gvmd

sudo chmod 6750 /usr/local/sbin/gvmd

Validation du flux

Pour valider le contenu du flux, un trousseau GnuPG avec la clé d'intégrité Greenbone
Community Feed doit être créé.

curl -f -L https://www.greenbone.net/GBCommunitySigningKey.asc -o
/tmp/GBCommunitySigningKey.asc

export GNUPGHOME=/tmp/openvas-gnupg

mkdir -p $GNUPGHOME

gpg --import /tmp/GBCommunitySigningKey.asc

echo "8AE4BE429B60A59B311C2E739823FAA60ED1E580:6:" | gpg --import-ownertrust

export OPENVAS_GNUPG_HOME=/etc/openvas/gnupg

sudo mkdir -p $OPENVAS_GNUPG_HOME

sudo cp -r /tmp/openvas-gnupg/* $OPENVAS_GNUPG_HOME/

sudo chown -R gvm:gvm $OPENVAS_GNUPG_HOME

Configuration de sudo pour la numérisation

LXXII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Pour l'analyse des vulnérabilités, il est nécessaire de disposer de plusieurs fonctionnalités pour
lesquelles seuls les utilisateurs root sont autorisés, par exemple la création de sockets bruts. Par
conséquent, une configuration sera ajoutée pour permettre aux utilisateurs du groupe gvm
d'exécuter l'application openvas-scanner en tant qu'utilisateur root via sudo.

sudo visudo

...

# allow users of the gvm group run openvas

%gvm ALL = NOPASSWD: /usr/local/sbin/openvas

Configuration de PostgreSQL

Le système de gestion de base de données PostgreSQL est utilisé comme stockage central pour
les informations sur les utilisateurs et les analyses. gvmd se connecte à une base de données
PostgreSQL et interroge les données. Cette base de données doit être créée et configurée.

sudo apt install -y postgresql

sudo systemctl start postgresql@14-main

sudo -u postgres bash

cd

createuser -DRS gvm

createdb -O gvm gvmd

psql gvmd -c "create role dba with superuser noinherit; grant dba to gvm;"

exit

Configuration d'un utilisateur administrateur

Pour accéder et configurer les données de vulnérabilité, un utilisateur administrateur doit être
créé. Cet utilisateur peut se connecter via l'interface Web de Greenbone Security Assistant (GSA).
Ils auront accès à toutes les données et seront ensuite configurés pour agir en tant que Feed
Import Owner.

LXXIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

/usr/local/sbin/gvmd --create-user=admin

/usr/local/sbin/gvmd --create-user=admin --password=<password>

Configuration des services pour Systemd

Systemd est utilisé pour démarrer les démons ospd-openvas, gvmd et gsad. Par conséquent, des
fichiers de service sont requis.

cat << EOF > $BUILD_DIR/ospd-openvas.service

[Unit]

Description=OSPd Wrapper for the OpenVAS Scanner (ospd-openvas)

Documentation=man:ospd-openvas(8) man:openvas(8)

After=network.target networking.service [email protected] mosquitto.service

[email protected] mosquitto.service notus-scanner.service

ConditionKernelCommandLine=!recovery

[Service]

Type=exec

User=gvm

Group=gvm

RuntimeDirectory=ospd

RuntimeDirectoryMode=2775

PIDFile=/run/ospd/ospd-openvas.pid

ExecStart=/usr/local/bin/ospd-openvas --foreground --unix-socket /run/ospd/ospd-openvas.sock

--pid-file /run/ospd/ospd-openvas.pid --log-file /var/log/gvm/ospd-openvas.log --lock-file-dir
/var/lib/openvas --socket-mode 0o770 --mqtt-broker-address localhost --mqtt-broker-port 1883 --
notus-feed-dir /var/lib/notus/advisories

SuccessExitStatus=SIGKILL

Restart=always

RestartSec=60

[Install]

WantedBy=multi-user.target

EOF

sudo cp -v $BUILD_DIR/ospd-openvas.service /etc/systemd/system/

LXXIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

cat << EOF > $BUILD_DIR/gvmd.service

[Unit]

Description=Greenbone Vulnerability Manager daemon (gvmd)

After=network.target networking.service postgresql.service ospd-openvas.service

Wants=postgresql.service ospd-openvas.service

Documentation=man:gvmd(8)

ConditionKernelCommandLine=!recovery

[Service]

Type=exec

User=gvm

Group=gvm

PIDFile=/run/gvmd/gvmd.pid

RuntimeDirectory=gvmd

RuntimeDirectoryMode=2775

ExecStart=/usr/local/sbin/gvmd --foreground --osp-vt-update=/run/ospd/ospd-openvas.sock --

listen-group=gvm

Restart=always

TimeoutStopSec=10

[Install]

WantedBy=multi-user.target

EOF

sudo cp -v $BUILD_DIR/gvmd.service /etc/systemd/system/

cat << EOF > $BUILD_DIR/gsad.service

[Unit]

Description=Greenbone Security Assistant daemon (gsad)

Documentation=man:gsad(8) https://www.greenbone.net
LXXV
After=network.target gvmd.service

Wants=gvmd.service
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

sudo systemctl daemon-reload

Synchronisation des flux

Pour l'analyse des vulnérabilités proprement dite, des scripts de test de vulnérabilité, des
informations de sécurité telles que les CVE, les listes de ports et les configurations d'analyse sont
requis. Toutes ces données sont fournies par le Greenbone Community Feed (GCF) et doivent
être téléchargées initialement avant de démarrer les services.

LXXVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Une synchronisation se compose toujours de deux parties: Téléchargement des modifications via
rsync et Chargement des modifications en mémoire et dans une base de données par un deamon.

Ce n'est que si les deux étapes sont terminées que les données synchronisées sont à jour et
peuvent être utilisées.

La première étape se fait via le script greenbone-feed-sync. La deuxième étape se fait

automatiquement au démarrage des deamons.

Téléchargement des données

Les données téléchargées se composent de quatre types de données différents :

 Données VT
 Données SCAP
 Données CERT
 Données GVMD

Les données VT contiennent des fichiers .nasl et .notus pour créer des résultats lors d'une analyse
de vulnérabilité. Les fichiers .nasl sont traités par OpenVAS Scanner et les fichiers .notus par
Notus Scanner.

Les données SCAP contiennent des informations CPE et CVE.

Les données CERT contiennent des informations sur les vulnérabilités provenant des agences
allemandes DFN-CERT et CERT-Bund.

Les données GVMD (ou également appelées « objets de données ») sont des configurations
d'analyse, des politiques de conformité, des listes de ports et des formats de rapport.

sudo /usr/local/bin/greenbone-feed-sync

Démarrage des services Greenbone Community Edition

sudo systemctl start ospd-openvas

sudo systemctl start gvmd

sudo systemctl start gsad

sudo systemctl enable ospd-openvas LXXVII

sudo systemctl enable gvmd
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Données des tests de vulnérabilité

Lorsque gvmd a fini de charger toutes les données, nous avons les messages suivant dans
/var/log/gvm/gvmd.log :

Démarrage de la gestion des vulnérabilités

Une fois les services démarrés et toutes les données chargées, l'interface Web de Greenbone
Security Assistant – GSA – peut être ouverte dans le navigateur.

xdg-open "http://127.0.0.1:9392" 2>/dev/null >/dev/null &

Nous pouvons ainsi accéder à l’interface de connexion avec le port 9392 :

LXXVII
I
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 1: Interface de connexion

1.4. Configuration de Greenbone Community Edition

1.4.1. Scan de vulnérabilité
Sur GCE, il est possible d’effectuer deux types de scans de vulnérabilité : authenticated scans and
unauthenticated scans.

 Authenticated scans : les scans authentifiés consistent à analyser un système ou un hôte en

utilisant des informations d'authentification. Cela signifie que vous fournissez des
identifiants d'utilisateur (par exemple, nom d'utilisateur et mot de passe) qui permettent à
GVM d'accéder au système avec des privilèges d'utilisateur. Ces informations
d'authentification sont utilisées pour se connecter au système cible.
Ils offrent une visibilité plus complète des vulnérabilités potentielles sur un système, car
ils permettent d'accéder à des informations spécifiques qui ne sont généralement
disponibles qu'avec des privilèges d'utilisateur.

LXXIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Ils peuvent identifier des vulnérabilités de configuration, des correctifs manquants et des
problèmes spécifiques à un utilisateur qui sont invisibles pour les scans non authentifiés
 Unauthenticated scans : Les scans non authentifiés sont des scans de vulnérabilité qui
analysent un système ou un hôte sans utiliser d'informations d'authentification. Cela
signifie que le scan ne nécessite pas de fournir des identifiants d'utilisateur ou de mot de
passe pour accéder au système cible. Ils sont utiles pour une évaluation générale de la
sécurité des systèmes et la détection de vulnérabilités visibles depuis l'extérieur du
système.

Avant de créer un scan de vulnérabilité avec Greenbone Vulnerability Management (GVM), il est
essentiel de configurer un ensemble de fonctionnalités (ou "Features" en anglais) pour que le scan
soit efficace et réponde aux besoins de notre environnement.

1.4.1.1. Ajout des Targets

L’ajout des targets représentent une étape importante parce qu’ils représentent les assets sur
lesquels les scans sont faits. Il est possible d’ajouter un Target avec ses credentials pour effectuer
des scans authentifiés ou sans pour effectuer des scans non authentifiés.

Nous pouvons ajouter de nouveaux credentials depuis Configuration puis credentials.

La capture ci-après montre l’ajout de nouvelles données d’identification relatives à notre machine
Windows 10. Il est possible de préciser le type de données (nom d’utilisateur et mot de passe, clé
ssh ou encore certificat) ainsi que leur valeur.

LXXX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 2: Création de credentials

On peut ajouter un target à partir de Configuration puis Targets.

La capture ci-après représente la création d’un Target (notre machine Windows 10). Nous avons
renseigné lors de la création l’adresse IP, la liste des ports qui seront scannés, les credentials
précédemment créés…

LXXXI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 3: Création d’une nouvelle Target

1.4.1.2. Création d’une tâche de scan

Un test de scanning basique a été réalisé dans cette partie où les étapes et résultats sont décrits et
affichés à l’aide de captures d’écran.

L’asset analysé pour ce test est la machine Windows 10 dans notre architecture.

Afin de performer un scan, nous allons créer une nouvelle tâche dans Scans puis Tasks.

Dans ce test nous allons effectuer les deux types de scan décrits plus hauts.

 Création task

LXXXII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Lors de la création de la tâche on précise le target qui doit être scanné. S’il s’agit d’un scan
authentifié on choisit le target avec les identifiants et s’il s’agit d’un scan non authentifié on
choisit le target sans les identifiants.

Capture 4: Création d’une tâche de scan

 Lancement du scan dans le menu ‘Actions’

LXXXII
I
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 5: Liste des différentes tâches créées

Après avoir créé la tâche, elle apparaît dans la liste Tasks. Pour le lancer, on clique sur l’icône
Play à droite.

 Rapports

Au début du scan, le statut de la tâche est à ‘Requested’ et à la fin il est à ‘Done’. Nous voyons
sur la capture qui suit le résultat des deux types de scans effectués sur un même asset.

Capture 6: Liste des différentes tâches créées

Dans l’onglet Severity (Gravité la plus élevée trouvée par une analyse de la tâche), nous avons
deux valeurs différentes.

Une fois le scan terminé, nous pouvons accéder aux résultats en cliquant sur le lien qui mène au
rapport.

Rapport du scan non authentifié :

LXXXI
V
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 7: Résultat du scan non authentifié

Rapport du scan authentifié :

Capture 8: Résultat du scan authentifié

Nous remarquons une nette différence entre les résultats des deux types de scans. Le premier a
réussi à trouver au total 16 vulnérabilités contre 167 pour le second. En parcourant la liste du
second, nous remarquons que nous avons plusieurs types de vulnérabilités, beaucoup étant
relatives aux logiciels installés sur l’asset ainsi qu’aux paramètres définis.

LXXXV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Sur la page Results nous pouvons voir la liste de toutes vulnérabilités trouvées sur l’asset, leur
gravité basé sur le CVSS, leur QoD, l’hôte sur lequel la vulnérabilité a été trouvée ainsi que le
numéro et type de port utilisé pour trouver la vulnérabilité.

La qualité de détection (QoD) est une valeur comprise entre 0 % et 100 % décrivant la fiabilité de
la détection de vulnérabilité ou de la détection de produit exécutée. Par défaut, seuls les résultats
détectés par les VT avec une QoD de 70 % ou plus sont affichés. Le filtre peut être ajusté pour
afficher les résultats avec une QoD inférieure.

Pour interpréter les résultats, il est essentiel de prendre en compte les éléments suivants :

 Faux positifs ou false_positives :

Un faux positif est un résultat qui décrit un problème qui n’existe pas réellement. Les
scanners de vulnérabilité trouvent souvent des preuves indiquant une vulnérabilité, mais
un jugement final ne peut pas être porté. Deux options sont disponibles :
o Signalement d'une vulnérabilité potentiellement inexistante (faux positif).
o Ignorer le signalement d'une vulnérabilité potentiellement existante (faux négatif).
Puisqu’un utilisateur peut identifier, gérer et ainsi traiter les faux positifs par rapport aux
faux négatifs, le scanner de vulnérabilités de l’appliance signale toutes les vulnérabilités
potentiellement existantes. Si l'utilisateur sait qu'il existe des faux positifs, un
remplacement peut être configuré.
 Plusieurs résultats peuvent avoir la même cause :
Si un progiciel particulièrement ancien est installé, plusieurs vulnérabilités existent
souvent. Chacune de ces vulnérabilités est testée par un VT individuel et provoque une
alerte. L'installation d'un package actuel supprimera de nombreuses vulnérabilités à la
fois.
 High (haut) et Medium (moyen) :
Les résultats des niveaux de gravité Élevé et Moyen sont les plus importants et doivent
être traités en priorité. Avant d’aborder les constatations de niveau moyen, il convient
d’aborder les constatations de haut niveau. Ce n'est que dans des cas exceptionnels qu'il
convient de s'écarter de cette approche, par exemple si l'on sait que les résultats de haut
niveau doivent être moins pris en compte parce que le service n'est pas accessible via le
pare-feu.

LXXXV
I
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

 Low (bas) et Log :

Les résultats des niveaux de gravité Low et Log sont surtout intéressants pour la
compréhension détaillée. Ces résultats sont filtrés par défaut mais peuvent contenir des
informations très intéressantes. Les prendre en compte augmentera la sécurité du réseau et
des systèmes. Souvent, une connaissance plus approfondie de l’application est nécessaire
pour leur compréhension. Un résultat typique avec le journal de gravité est qu'un service
utilise une bannière avec son nom et son numéro de version. Cela pourrait être utile pour
un attaquant lorsque cette version présente une vulnérabilité connue.

1.4.2. Configuration des alertes

La configuration des alertes est une étape essentielle de la gestion des vulnérabilités avec
Greenbone Vulnerability Management (GVM). Ces alertes nous aident à être informés des
problèmes de sécurité et des vulnérabilités découvertes lors des analyses.

 Définition des Alertes : Les alertes sont des notifications générées par GVM pour vous
informer des résultats des analyses, des vulnérabilités détectées et des problèmes de
sécurité. Elles vous avertissent lorsque des actions sont nécessaires pour remédier aux
vulnérabilités.
 Personnalisation des Alertes : Bien que les valeurs par défaut des alertes dans l'appliance
GVM soient généralement appropriées pour de nombreux environnements, nous pouvons
personnaliser ces alertes en fonction de vos besoins spécifiques. Les raisons de
personnaliser les alertes incluent : le seuil de Sévérité, la fréquence des Alertes, les
destinataires des Alertes ou encore le canal de livraison des mails.
 Maintenance Préventive : Les alertes vous informent des vulnérabilités, mais il est
essentiel d'adopter des pratiques de maintenance préventive pour résoudre ces
vulnérabilités. Vous pouvez configurer des alertes pour inclure des recommandations de
correctifs et des actions à prendre pour remédier aux vulnérabilités.
 Rapports d'Alertes : Nous pouvons également configurer des rapports d'alertes qui
fournissent un résumé des vulnérabilités détectées sur une base régulière. Ces rapports
sont utiles pour une surveillance continue de la sécurité.

LXXXV
II
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Pour les besoins de ce travail, nous avons configuré le service Postfix sur notre serveur
Greenbone pour la gestion des e-mails générés par les rapports de scans de vulnérabilité. La
configuration de Postfix permet à notre serveur de générer et d'envoyer automatiquement des
rapports par e-mail à l'équipe de sécurité ou aux administrateurs du réseau dès qu'un scan est
terminé.

Le service a été configuré pour envoyer des mails avec le serveur SMTP de gmail à partir de
l’adresse [email protected].

Pour créér des alertes, on se rend dans Configuration puis Alerts.

LXXXV
III
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 9: Création d'une alerte par mail

La capture ci-dessus nous montre la création d’une alerte qui lorsqu’elle est associée à une tâche
envoie un mail depuis [email protected] à une adresse bien définie lorsque le statut de
la tâche passe à Done avec comme pièce jointe le rapport.

LXXXI
X
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Figure 10: Réception des mails d’alerte

1.4.3. Planifications des scans

La planification des scans de vulnérabilité est une étape importante dans le processus de gestion
des vulnérabilités avec Greenbone Vulnerability Management. Elle permet de déterminer quand
et comment les scans doivent être exécutés pour répondre aux besoins de l'organisation.

Pour créer une tâche de planification, on se rend dans Configuration puis Schedules.

La capture ci-dessous montre la création d’une nouvelle tâche de planification qui lorsu’elle sera
liée à notre tâche de scan, s’executera le 14/10/2023 à 19h et se repétera une fois tous les mois.

XC
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 10: Création d’une nouvelle tâche de planification

1.4.4. Comptes utilisateurs et gestion des privilèges

Lors de l’installation de GCE, un utilisateur admin a été créé. Il est possible d’en créer d’autres à
partir de l’interface graphique dans Administration puis users.

Nous avons différents rôles qui définissent les autorisations de l’utilisateur :

Admin : Ce rôle a toutes les autorisations par défaut. Il lui est notamment permis de créer et de
gérer d'autres utilisateurs, rôles et groupes.

Info : Ce rôle a uniquement un accès en lecture aux informations NVT et SCAP

Guest: Ce rôle correspond au rôle 'Info' mais n'est pas autorisé à modifier les paramètres
utilisateur

Monitor : Le rôle a accès aux rapports système

Observer: Ce rôle dispose d'un accès en lecture au système, mais n'est pas autorisé à démarrer ou
à créer de nouveaux scans. Il n'a qu'un accès en lecture aux scans pour lesquelles il a été défini
comme observateur.

User: Ce rôle dispose de toutes les autorisations par défaut, à l'exception de la gestion des
utilisateurs, des rôles et des groupes. Ce rôle n'est pas autorisé à synchroniser et gérer les flux.
Dans l'interface Web, il n'y a pas d'accès à la page 'Administration"

Super Administrateur : Ce rôle a accès à tous les objets de tous les utilisateurs. Il ne peut pas
être configuré dans l'interface Web mais en ligne de commande avec gvmd.

Gvmd - -create-user=magatte - -password=P@ssWay123 - -role=”Super Admin”

XCI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 11: Création d’un nouvel utilisateur

1.4.5. Les tickets de remédiation

On accède à cette section via l’onglet Resilience puis Remediation tickets. La résilience constitue
l’habilité à retourner à un stade normal.

Pour chaque vulnérabilité trouvée sur un rapport, il est possible de l’affecter à un utilisateur sur la
plateforme afin qu’il s’occupe de la résolution : on parle de tickets de rémédiation.

1.4.5.1. La remédiation

Au niveau des rapports générés, en cliquant sur chacune des vulnérabilités nous avons les
informations relatives à cette dernière. On a le CVE associé, la méthode de détection utilisée, le
Software/OS qui est affecté… mais aussi une solution pour éliminer cette vulnérabilité.

XCII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 12: Détails des vulnérabilités trouvées

1.4.5.2. Les tickets remédiation

Avec le grand nombre de vulnérabilités qui est découvert, il est nécessaire de savoir déléguer
chaque remédiation à une personne habilitée. C’est là qu’interviennent les tickets de remédiation.

Pour créer un ticket de remédiation, on se rend dans Scans puis Results puis on clique sur la
vulnérabilité qu’on veut fixer. Sur la page qui se développe, on clique sur l’icône détails et puis
on clique sur l’icône en forme de ticket.

XCIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Un fenêtre s’ouvre et nous permet d’assigner cette vulnérabilité à un utilisateur qui est sur la
plateforme avec un message personnalisé.

Capture 13: Création d’un nouveau ticket de remédiation

Pour vérifier que le ticket a bien été envoyé à l’utilisateur magatte, nous allons nous connecter
avec ce compte et vérifier au niveau de Resilience puis Remediation Tickets.

La capture ci-dessous montre le ticket qui a été assigné à l’utilisateur magatte.

Capture 14: Liste des tickets assignés à l’utilisateur

XCIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Après avoir fixé cette vulnérabilité, l’utilisateur magatte pourra modifier le statut du ticket de
open à fixed avec une note. De ce fait, la personne qui avait assigné ce ticket verra que le ticket a
été résolu.

Capture 15: Changement de statut d’un ticket

1.4.6. Les scans de conformité

Dans le domaine de la sécurité des technologies de l’information, la conformité constitue l’une
des principales approches des organisations pour sécuriser leurs actifs.

Cependant avec la version open source de Greenbone, nous n’avons pas accès à beaucoup de
politiques qui permettent de faire des scans de conformité comme PCI DSS, Windows Server
Hardening… Pour en bénéficier il faudra les créer une par une en autorisant les paramètres
nécessaires.

Pour les besoins de ce travail, nous avons créé une politique qui gére les certitificats SSL/ TLS.
Ces derniers ont une date d’expiration. Après cela, l’intégrité des systèmes ou applications n’est

XCV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

plus assurée. De ce fait, en tant qu’administrateur, il est important d’être averti en cas
d’expiration ou lorsque cette date approche.

 Création de la politique :

Ici nous avons créé une nouvelle politique nommée ‘Cofinaonline Certificates’ à parir de
Resilience puis Compliance Policies.

Capture 16: Création d’une nouvelle politique

Pour pouvoir personnaliser notre politique, on clique sur le bouton Editer à droite de la politique.

Dans la section ‘Edit Network Vulnerability Test Families’, on sélectionne le bouton radio ‘SSL
and TLS’ pour inclure et activer cette famille.

XCVI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 17: Personnalisation de la politique créée

 Réalisation d’un scan de conformité à partir de cette politique :

Dans Resilience puis Compliance Audit, nous allons créer un nouvel audit et l’exécuter en
utilisant la politique précédemment créée.

XCVII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 18: Création d’une nouvelle tâche d’audit

L’exécution de cette politique sur la machine Metasploitable de notre architecture donne les
résultats suivants :

XCVIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Capture 19: Résultats de l’audit sur la machine Metasploitable

Conclusion
La gestion des vulnérabilités est un processus essentiel pour la sécurité des infrastructures de
toute entreprise ou organisation. La menace croissante de cybercriminels tirant parti de
vulnérabilités non corrigées souligne la nécessité d'une procédure efficace pour administrer ces
expositions.

De plus, le fait que la plupart des vulnérabilités exploitées disposent déjà d'un correctif au
moment de l'attaque est une raison indéniable de maintenir tous les systèmes à jour.

Tout au long de ce mémoire, la problématique d'une gestion correcte des vulnérabilités a été
abordée à travers toutes les phases de son cycle de vie, en présentant les défis impliqués et
certaines des meilleures pratiques pour les traiter de manière efficace.

Néanmoins, il est important de souligner que la gestion des vulnérabilités ne se limite pas aux
aspects techniques. Elle doit être complétée par la sensibilisation des employés aux bonnes

XCIX
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

pratiques de sécurité, une gestion proactive des correctifs et des mises à jour, ainsi qu'une
surveillance continue des vulnérabilités et des activités suspectes. Cette approche holistique est
essentielle pour créer un environnement sécurisé et résilient.

En somme, notre mémoire a démontré que la gestion des vulnérabilités n'est pas une simple tâche
technique, mais un processus intégré dans la stratégie globale de gestion des risques de sécurité.
En suivant les recommandations et les bonnes pratiques exposées dans ce mémoire, les
organisations peuvent renforcer leur posture de sécurité, réduire les vulnérabilités et anticiper les
menaces potentielles. La protection des systèmes d'information devient ainsi un objectif
atteignable, garantissant la pérennité et la fiabilité des opérations au sein de l'entreprise.

Dans le cadre de cette étude sur la gestion des vulnérabilités, plusieurs défis ont été rencontrés,
notamment l'installation de Greenbone Community Edition à partir du code source.

Pour faire face à ces défis et ouvrir des perspectives, la prochaine étape consisterait à déployer
complétement cette solution dans un environnement en production. Ce déploiement permettrait
d'exploiter pleinement les fonctionnalités de Greenbone et d'intégrer la gestion des vulnérabilités
dans les processus opérationnels de l'organisation.

BIBLIOGRAPHIE

[B1] <Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques
opérationnels, TOME 1>, (Mai 2014) CLUSIF

[B2] <Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques
opérationnels, TOME 2>, (Janvier 2016) CLUSIF

[B3] <GESTION DES RISQUES ET PLAN DE CONTINUITE DES ACTIVITES (PCA)>,

(Juin 2023) , 101 pages, DRAME El Hadji Lamine

C
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

WEBOGRAPHIE

[W1] Vulnerability Management

https://www.manageengine.com/fr/vulnerability-management/what-is-vulnerability-
management.html , consulté le 29 Juin 2023 ;

[W2] Security Content Automation Protocol https://csrc.nist.gov/projects/security-content-

automation-protocol , consulté le 05 Juillet 2023 ;

[W4] Common Weakness Enumeration https://cve.mitre.org/ , consulté le 15 Juillet ;

CI
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

[W3] Common Platform Enumeration https://nvd.nist.gov/products/cpe , consulté le 29 Juillet

2023 ;

[W5] Common Attack Pattern Enumeration and Classification https://capec.mitre.org/ , consulté

le 10 Août 2023 ;

[W6] MITRE ATTACK https://capec.mitre.org/ , consulté le 14 Août 2023 ;

[W7] National Vulnerability Database https://capec.mitre.org/ , consulté le 16 Août 2023 ;

[W8] Greenbone Documentation https://greenbone.github.io/docs/latest/index.html, consulté le

15 Septembre 2023.

TABLE DES MATIERES

DEDICACE.....................................................................................................................................I

REMERCIEMENTS.....................................................................................................................II

GLOSSAIRE.................................................................................................................................III

LISTE DES FIGURES..................................................................................................................V

LISTE DES CAPTURES..............................................................................................................V

LISTE DES TABLEAUX............................................................................................................VI

SOMMAIRE................................................................................................................................VII

AVANT-PROPOS.....................................................................................................................VIII

Introduction......................................................................................................................................1

CII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Chapitre 1 : Présentation générale....................................................................................................2

1.1. Présentation de l’entreprise d’accueil..........................................................................................2

1.1.1. Présentation de COFINA (Compagnie Financière Africaine).........................................................2

1.1.2. Historique.....................................................................................................................................3

1.1.3. Organisation de COFINA...............................................................................................................4

1.2. Présentation du sujet...................................................................................................................6

1.2.1. Contexte.......................................................................................................................................6

1.2.2. Problématique..............................................................................................................................6

1.3. Objectifs.......................................................................................................................................8

Chapitre 2 : Généralités sur la gestion des risques...........................................................................9

2.1. Généralités sur la Sécurité de l’Information.................................................................................9

2.1.1. Présentation et Objectifs de la sécurité........................................................................................9

2.1.2. Concepts Clés.............................................................................................................................10

2.2. La gestion des risques.................................................................................................................15

2.2.1. Définition et Avantages..............................................................................................................15

2.2.2. Normes et standards..................................................................................................................16

2.2.3. La gestion des risques par ISO 27005.........................................................................................17

2.2.4. L'identification des vulnérabilités dans la gestion des risques....................................................20

Chapitre 3 : La gestion des vulnérabilités......................................................................................21

3.1. Définition de la gestion des vulnérabilités..................................................................................21

3.2. Objectifs et finalités de la gestion des vulnérabilités..................................................................21

3.3. Processus de gestion des vulnérabilités.....................................................................................22

3.3.1. La découverte.............................................................................................................................23

3.3.2. La catégorisation et la priorisation.............................................................................................23

3.3.3. La correction...............................................................................................................................24

3.3.4. La réévaluation...........................................................................................................................25

CIII
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

3.3.5. La production de rapports..........................................................................................................25

3.4. Normes et standards relatifs à la gestion des vulnérabilités......................................................26

3.4.1. Le protocole SCAP (Security Content Automation Protocol)......................................................26

3.4.2. CommonWeakness Enumeration (CWE)....................................................................................30

3.4.3. Common Attack Pattern Enumeration and Classification (CAPEC).............................................31

3.4.4. MITRE ATT&CK...........................................................................................................................33

3.4.5. Data sources: National Vulnerability Database (NVD)................................................................34

3.5. Evaluation et suivi.......................................................................................................................35

Chapitre 4 : Etude comparative d'outils de gestion de vulnérabilités.............................................38

4.1. Etude des différentes solutions de gestion des vulnérabilités....................................................38

4.1.1. Les solutions Greenbone............................................................................................................38

4.1.2. Les différentes gammes de solutions Greenbone.......................................................................40

4.2. Analyse comparative des différentes solutions..........................................................................43

4.2.1. Analyse qualitative.....................................................................................................................43

4.2.2. Analyse quantitative...................................................................................................................45

4.3. Choix de la solution retenue et présentation détaillée...............................................................48

Les principaux composants de GSE :......................................................................................................49

Chapitre 5 : Étude de cas, Mise en place de GCE..........................................................................52

5.1. Objectifs.....................................................................................................................................52

5.2. Description de l’environnement mis en place............................................................................52

5.3. Installation de l'outil...................................................................................................................54

5.4. Configuration de Greenbone Community Edition......................................................................70

5.4.1. Scan de vulnérabilité..................................................................................................................70

5.4.2. Configuration des alertes............................................................................................................78

5.4.3. Planifications des scans..............................................................................................................81

5.4.4. Comptes utilisateurs et gestion des privilèges............................................................................81

CIV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

5.4.5. Les tickets de remédiation..........................................................................................................83

5.4.6. Les scans de conformité.............................................................................................................86

Conclusion......................................................................................................................................90

BIBLIOGRAPHIE........................................................................................................................A

WEBOGRAPHIE..........................................................................................................................B

TABLE DES MATIERES.............................................................................................................C

Ecole Supérieure Multinationale des Télécommunications

Mémoire de fin de formation pour l’obtention du diplôme de :

Master Professionnel en Systèmes d’Information

Spécialité : Sécurité des Systèmes d’Information.

Sujet : Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

Sous la direction : M. El Hadji Mouhamadou Lamine DRAME, Enseignant à l’ESMT

RESUME DU MEMOIRE
L'augmentation continue des cyber-attaques profitant de vulnérabilités non corrigées, pousse les
organisations à mettre en place un cadre de gestion des vulnérabilités pour rester protégées. Ce
mémoire aborde la question d'une gestion correcte des vulnérabilités, en étudiant la

CV
 Mémoire de fin de formation pour l’obtention du diplôme de Master Professionnel
Risques liés à la sécurité de l’information : La gestion des vulnérabilités internes

problématique dans les différentes phases de son cycle de vie et en fournissant les meilleures
pratiques pour réduire les vulnérabilités dans chacune d'elles. Il a été divisé en 5 (cinq) chapitres.

Le premier chapitre offre une présentation de l'entreprise d'accueil et du sujet de recherche, jetant
ainsi les bases de l'ensemble de l'étude. Le deuxième chapitre se penche sur les généralités de la
gestion des risques et de la sécurité de l'information. Il est essentiel de comprendre ces concepts
pour aborder efficacement la gestion des vulnérabilités. Le chapitre trois est dédié à la gestion des
vulnérabilités. Il détaille la définition, les objectifs et le processus de gestion des vulnérabilités,
tout en explorant les normes et standards pertinents. Au niveau du quatrième chapitre, nous avons
effectué une étude comparative d'outils de gestion des vulnérabilités est menée et le choix de la
solution la plus adaptée à notre contexte est discuté. Enfin, le cinquième chapitre met en œuvre
l'étude de cas, en décrivant les objectifs, l'environnement mis en place, l'installation de
Greenbone Community Edition (GCE) et sa configuration.

CVI