Analyse des

vulnérabilités
[Link]
2024-2025
 01
Concept
d’analyse de
vulnérabilités
 Définitions
❑ Menace - Un incident potentiellement dangereux (tsunami, tremblement de
terre, virus, ...)

❑ Vulnérabilité - Une faiblesse qui peut permettre à la menace de faire du mal.

Avoir un centre de données dans la zone inondée par le tsunami, ne pas résister
aux tremblements de terre, ne pas appliquer de correctifs et d'antivirus,

❑ Risque = Menace x Vulnérabilité.

❑ Impact - Peut parfois être ajouté pour donner une image plus complète. Risque
= Menace x Vulnérabilité x Impact (Quelle est la gravité ?).

❑ Risque total = Menace x Vulnérabilité x Valeur de l’actif.

❑ Risque résiduel = Risque total – Contre-mesures.

 Recherche de vulnérabilités

❑ Le processus d'analyse des protocoles, des services et des configurations pour

découvrir les vulnérabilités et les défauts de conception qui exposeront un
système d'exploitation et ses applications à une exploitation, une attaque ou
une utilisation abusive.

❑ Les vulnérabilités sont classées en fonction du niveau de gravité (faible, moyen

ou élevé) et de la portée de l'exploitation (locale ou distante)
 Recherche de vulnérabilités

❑ Un administrateur a besoin d'une recherche de vulnérabilité :

❑ Recueillir des informations sur les tendances en matière de sécurité, les
menaces, les surfaces d'attaque, les vecteurs et les techniques d'attaque

❑ Pour découvrir les faiblesses du système d'exploitation et des applications,

et alerter l'administrateur réseau avant une attaque réseau

❑ Recueillir des informations pour aider à la prévention des problèmes de

sécurité

❑ Savoir comment se remettre d'une attaque réseau

Ressources pour rechercher les
vulnérabilités
 Évaluation des vulnérabilités
❑ L'évaluation de la vulnérabilité est un examen approfondi de la capacité d'un
système ou d'une application, y compris les procédures et contrôles de sécurité
actuels, à résister à l'exploitation.

❑ Identifie, mesure et classe les vulnérabilités de sécurité dans un système

informatique, un réseau et des canaux de communication

❑ Une évaluation de la vulnérabilité peut être utilisée pour :

❑ Identifier les faiblesses qui pourraient être exploitées
❑ Prédire l'efficacité des mesures de sécurité supplémentaires pour protéger
les ressources d'information contre les attaques

❑ Les informations obtenues à partir du scanner de vulnérabilité comprennent :

❑ Vulnérabilités du réseau
❑ Ports ouverts et services en cours d'exécution
❑ Vulnérabilités des applications et des services
❑ Erreurs de configuration des applications et des services
 systèmes et bases de données de
notation des vulnérabilités
Système • CVSS fournit un cadre ouvert pour communiquer les caractéristiques et les impacts
commun de des vulnérabilités informatiques
notation des • Son modèle quantitatif garantit une mesure précise et répétable, tout en permettant
vulnérabilités aux utilisateurs de visualiser les caractéristiques de vulnérabilité sous-jacentes
(CVSS) utilisées pour générer les scores
 systèmes et bases de données de
notation des vulnérabilités
❑ Vulnérabilités et
expositions
courantes (CVE)
❑ Une liste ou un
dictionnaire
accessible au public
et gratuit
d'identifiants
normalisés pour les
vulnérabilités et
expositions
logicielles courantes
 systèmes et bases de données de
notation des vulnérabilités
❑ Base de données nationale sur la
vulnérabilité (NVD)

❑ Un référentiel du gouvernement américain

de données de gestion des vulnérabilités
basées sur des normes représentées à
l'aide du protocole d'automatisation du
contenu de sécurité (SCAP)
❑ Ces données permettent l'automatisation
de la gestion des vulnérabilités, des
mesures de sécurité et de la conformité
❑ Le NVD comprend des bases de données
de références de listes de contrôle de
sécurité, de failles logicielles liées à la
sécurité, de mauvaises configurations, de
noms de produits et de mesures d'impact
Cycle de vie de la gestion des
vulnérabilités
Identifier les
actifs et créer
une base de
référence

Analyse de
Surveiller
vulnérabilité

L'évaluation
Vérification
des risques

Remédiation
 Phase de pré-évaluation

❑ modifier les actifs et créer une base de référence

❑ Identifier et comprendre les processus métiers
❑ Identifier les applications, les données et les services qui prennent en charge les processus
métier et effectuer des revues de code
❑ Identifier les logiciels approuvés, les pilotes et la configuration de base de chaque système
❑ Créez un inventaire de tous les actifs et hiérarchisez/classez les actifs critiques
❑ Comprendre l'architecture du réseau et cartographier l'infrastructure du réseau
❑ Identifier les contrôles déjà en place
❑ Comprendre la mise en œuvre des politiques et la conformité aux normes
❑ Définir la portée de l'évaluation
❑ Créer des procédures de protection des informations pour soutenir une planification, une
programmation, une coordination et une logistique efficaces
 Phase d’évaluation de la
vulnérabilité

❑ Examiner et évaluer la sécurité physique

❑ Vérifiez les erreurs de configuration et les erreurs humaines
❑ Exécuter des analyses de vulnérabilité
❑ Sélectionnez le type d'analyse en fonction des exigences de l'organisation ou de la
conformité
❑ Identifier et hiérarchiser les vulnérabilités
❑ Identifier les faux positifs et les faux négatifs
❑ Appliquer le contexte commercial et technologique aux résultats du scanner
❑ Effectuer la collecte d'informations OSINT pour valider les vulnérabilités
❑ Créer un rapport d'analyse des vulnérabilités
 Phase de poste évaluation

❑ Évaluation des risques

❑ Effectuer une catégorisation des risques
❑ Évaluer le niveau d’impact
❑ Identifier la menace et le niveau de risque
❑ Remédiation
❑ Prioriser les mesures correctives en fonction du classement des risques
❑ Élaborer un plan d’action pour mettre en œuvre la recommandation/mesure corrective
❑ Effectuer une analyse des causes profondes
❑ Appliquer des correctifs/correctifs
❑ Capturer les leçons apprises
❑ Réaliser des formations de sensibilisation
❑ Sélectionnez le type d'analyse en fonction des exigences de l'organisation ou de la
conformité
 Phase de poste évaluation

❑ Vérification
❑ Rescanner le système pour verifier si les correctifs appliqués ont corrigé les
vulnérabilités
❑ Effectuer une analyse dynamique
❑ Examen de la surface d'attaque
❑ Monitoring
❑ Scan et Évaluation périodique des vulnérabilités
❑ Correction rapide des vulnérabilités identifiées
❑ Journaux de détection et de prévention des intrusions
❑ Mise en œuvre de politiques, de procédures et de contrôles
 02
classification et
types d’évaluation
de vulnérabilités
Classification de vulnérabilités
Types d’évaluations de
vulnérabilités
Types d’évaluations de
vulnérabilités
 02
Solutions et outils
d'évaluation de la
vulnérabilité
 Comparaison des approches
d'évaluation de la vulnérabilité
 Comparaison des approches
d'évaluation de la vulnérabilité
 caractéristiques d'une bonne solution
d'évaluation de la vulnérabilité

❑ Assure des résultats corrects en testant le réseau, les ressources réseau, les ports, les
protocoles et les systèmes d'exploitation
❑ Utilise une approche bien organisée basée sur l'inférence pour les tests
❑ Analyse automatiquement les bases de données continuellement mises à jour
❑ Crée des rapports brefs, exploitables et personnalisables, y compris les vulnérabilités, par
niveau de gravité et une analyse des tendances
❑ Prend en charge plusieurs réseaux
❑ Suggère des remèdes et des solutions de contournement appropriés pour corriger les
vulnérabilités
❑ Imite la vue extérieure des attaquants
Fonctionnement d’une solution de
scan de vulnérabilités
types d'outils d'évaluation de la
vulnérabilité
 choisir un outil d'évaluation de la
vulnérabilité
❑ Les outils d'évaluation des vulnérabilités sont utilisés pour tester les vulnérabilités d'un hôte
ou d'une application.
❑ Choisissez les outils qui répondent le mieux aux exigences suivantes :
❑ Peut tester de dizaines à 30 000 vulnérabilités différentes, selon le produit
❑ Contient plusieurs centaines de signatures d'attaques différentes
❑ Adapté à votre environnement et à votre expertise
❑ Dispose d'un réseau précis, d'une cartographie des applications et de tests de
pénétration
❑ Dispose d'un certain nombre de scripts de vulnérabilité régulièrement mis à jour
pour les plates-formes que vous analysez
❑ Génère des rapports
❑ Vérifie différents niveaux de pénétration afin d'éviter les blocages
 Qualis vulnerability management
❑ Un service basé sur le
cloud qui offre une
visibilité immédiate et
globale sur les parties du
système informatique
pouvant être vulnérables
aux dernières menaces
sur Internet, ainsi que
sur les moyens de les
protéger.

❑ Il aide à l'identification
continue des menaces et
à la surveillance des
changements inattendus
dans un réseau avant
qu'ils ne deviennent des
failles de sécurité.
 Nessus professional

❑ Solution
professionnell
e d’évaluation
pour
l’identification
des
vulnérabilités,
des problèmes
de
configuration
et des
malwares
 Nikto

❑ Outil
d’évaluation
des serveurs
web qui
permet
d’examiner les
serveurs web
afin de
découvrir des
problèmes
potentiels et
des
vulnérabilités
de sécurité
Autres outils d’évaluation de la
sécurité
 03
Rapport
d’évaluation de
vulnérabilités
 Rapport d’évaluation de vulnérabilités
❑ Le rapport d'évaluation des vulnérabilités révèle les risques détectés après l'analyse d'un
réseau.

❑ Il alerte l'organisation sur les attaques potentielles et propose des contre-mesures.

❑ Les informations disponibles dans le rapport sont utilisées pour corriger les failles de
sécurité.
Rapport
d’évaluation de
vulnérabilités

Aperçu de Évaluation des

Résumé exécutif Les découvertes Recommandations
l’évaluation risques
 Contenu du Rapport

Résumé exécutif Les découvertes Recommandations

Portée et objectifs de l’évaluation Les hôtes scannés Priorisation des mesures
Récit de test Types de vulnérabilités identifiées correctives en fonction du
Résumé des découvertes Informations détaillées sur les vuln classement des risques
Résumé de la remédiation identifiées Plan d’action pour implémenter les
Notes décrivant des details recommandations pour chaque
supplémentaires sur le résultat des vulnérabilité identifiée
scans L’analyse des causes racines
Application de patche/ correctifs
Aperçu des évaluations Évaluation des risques
Leçons retenues
Méthodologie d’évaluation Classification des vuln basée sur le
Formations de sensibilisation
Informations de scan niveau de risque
Implémentation d’analyse de
Informations sur la cible Les vulnérabilités potentielles
vulnérabilité périodique
pouvant compromettre le système
Implémentation de politiques,
ou les applications
procédures et contrôles
Hôtes critiques avec vulnérabilités
sévère
THANKS!
Do you have any questions?
M1SSI@[Link]
[Link]

CREDITS: This presentation template was created

Slidesgo Flaticon

by Slidesgo, including icons by Flaticon, and

Freepik

infographics & images by Freepik