Gestion des vulnérabilités et patchs
Définition
La gestion des vulnérabilités est un processus continu qui consiste à identifier, évaluer, prioriser et corriger les failles de sécurité dans les logiciels, les systèmes d'exploitation et les firmwares des équipements réseau. Le patch management est la sous-discipline qui traite spécifiquement de l'application des correctifs (patchs) publiés par les éditeurs.
Contexte
La majorité des cyberattaques exploitent des vulnérabilités connues pour lesquelles un correctif existe déjà mais n'a pas été appliqué. Une gestion rigoureuse des vulnérabilités est un pilier de la sécurité réseau. La certification CCST attend du candidat qu'il comprenne les concepts de CVE, les niveaux de criticité et les principes de correction.
Détails techniques
Cycle de vie de la gestion des vulnérabilités
| Phase | Description |
|---|---|
| 1. Découverte | Scanner le réseau et les systèmes pour identifier les actifs et leurs versions |
| 2. Évaluation | Identifier les vulnérabilités connues (CVE) et leur criticité (CVSS) |
| 3. Priorisation | Classer par risque (criticité × exposition × impact métier) |
| 4. Remédiation | Appliquer le patch, reconfigurer, ou mettre en place un contournement (workaround) |
| 5. Vérification | Re-scanner pour confirmer la correction |
| 6. Reporting | Documenter les résultats, tendances et métriques |
CVE et CVSS
CVE (Common Vulnerabilities and Exposures) : système d'identification standard des vulnérabilités. Chaque vulnérabilité reçoit un identifiant unique (ex : CVE-2024-12345).
CVSS (Common Vulnerability Scoring System) : score de 0 à 10 mesurant la gravité :
| Score CVSS | Sévérité | Action recommandée |
|---|---|---|
| 0.0 | Aucune | — |
| 0.1 – 3.9 | Faible (Low) | Planifier la correction |
| 4.0 – 6.9 | Moyenne (Medium) | Corriger dans le cycle normal |
| 7.0 – 8.9 | Haute (High) | Corriger rapidement (< 30 jours) |
| 9.0 – 10.0 | Critique (Critical) | Corriger immédiatement (< 72 h) |
Outils de scan de vulnérabilités
| Outil | Type | Usage |
|---|---|---|
| Nessus | Commercial | Scan réseau et applicatif, rapports détaillés |
| Qualys | Cloud SaaS | Scan continu, compliance, asset inventory |
| OpenVAS | Open-source | Alternative gratuite à Nessus |
| Cisco PSIRT | Avis de sécurité | Vulnérabilités spécifiques aux produits Cisco |
Patch management — processus
1. Veille : surveiller les bulletins de sécurité (Cisco PSIRT, Microsoft Patch Tuesday, CVE feeds)
2. Test : appliquer le patch en environnement de test (lab)
3. Planification : fenêtre de maintenance, plan de rollback
4. Déploiement : appliquer par vagues (pilot → production)
5. Validation : vérifier le fonctionnement post-patch
6. Documentation : enregistrer le changement dans le change log
Cas spécifique des équipements réseau (Cisco IOS)
| Action | Commande / procédure |
|---|---|
| Vérifier la version actuelle | show version |
| Consulter les advisories | Cisco Security Advisories |
| Sauvegarder avant patch | copy running-config tftp: + copy flash: tftp: |
| Installer la nouvelle image | copy tftp: flash: puis boot system flash:<image> |
| Vérifier après reboot | show version, tests de connectivité |
Quand un patch n'est pas disponible
| Stratégie | Description |
|---|---|
| Workaround | Contournement temporaire (désactiver la fonction vulnérable, ACL de blocage) |
| Virtual patching | Règle IPS/WAF qui bloque l'exploitation de la vulnérabilité |
| Isolation | Placer le système vulnérable dans un segment isolé |
| Acceptation du risque | Documentée et validée par la direction si le risque est faible |
Exemple concret
Scénario : Cisco publie un advisory critique (CVSS 9.8) sur une vulnérabilité d'exécution de code à distance dans IOS-XE.
- Découverte : l'équipe sécurité reçoit l'alerte Cisco PSIRT et identifie 12 routeurs ISR 4000 affectés dans l'inventaire.
- Évaluation : CVSS 9.8, exploit public disponible → criticité maximale.
- Priorisation : les 4 routeurs exposés sur Internet sont prioritaires.
- Remédiation immédiate : en attendant le patch, application du workaround recommandé (désactivation de la fonctionnalité web server :
no ip http server/no ip http secure-server). - Patch : téléchargement de l'image IOS-XE corrigée, test en lab, déploiement sur les 4 routeurs Internet dans la nuit, puis sur les 8 restants la semaine suivante.
- Vérification : re-scan Nessus → la vulnérabilité n'est plus détectée.
- Documentation : mise à jour du change log et du rapport de vulnérabilités.