À mesure que les entreprises déploient des outils de cybersécurité, elles accumulent de multiples alertes et détections de vulnérabilités. Gérer cette montagne de données, intégrant de nombreux faux positifs, pour en extraire les informations réellement pertinentes est devenu une enjeu clef pour la DSI et/ou le département en charge de la cybersécurité. C'est cette structuration de la gestion des vulnérabilités qu'illustre CNP Assurances, groupe spécialisé dans l'assurance-vie gérant 36 Md€ de fonds au travers de 25 filiales dans le monde. Jusqu'à récemment, l'entreprise, membre du groupe CDC, agrégeait les alertes sur Excel. « En juin 2022, nous avons monté un Vulnerability Operation Center, fort de 5 personnes. Mais elles passaient beaucoup de temps à relancer les équipes en charge de la remédiation des vulnérabilités détectées », raconte Estelle Tchigique-Boyer, la RSSI de ce groupe d'environ 5 000 personnes. « Et nous faisions face à un besoin d'étendre cette gestion des vulnérabilités à nos filiales, reprend la responsable, qui s'exprimait lors d'un atelier aux Assises de la sécurité 2023 (Monaco, du 11 au 13 oct.). Autrement dit, nous avions atteint les limites de notre processus en place. »
Pour la RSSI, ce processus existant souffrait en particulier de quatre défauts. Un manque de visibilité tout d'abord, avec des priorités et des formats non harmonisés et une priorisation effectuée uniquement sur des critères techniques. Une implication insuffisante des métiers, ensuite. Une forme de découragement des équipes, face au volume d'informations à traiter issues des programmes de détection, encore. Et, enfin, une absence de capitalisation sur les travaux effectués, du fait de l'absence de tableau de bord et de partage de l'origine des faiblesses dans les logiciels.
Combiner critères techniques et métiers
D'où la volonté de CNP de s'équiper d'un outil permettant de prioriser les vulnérabilités par les risques, en tenant compte de la criticité des applications concernées. « L'objectif était de remonter aux métiers uniquement les plus importantes », indique Estelle Tchigique-Boyer. Pour les équipes en central, cet outil doit aussi permettre de disposer d'une visibilité sur les activités de remédiation des filiales. Pour porter cette ambition, la société s'oriente vers un puit de données, alimenté automatiquement par les alertes des outils de sécurité, offrant à la fois une vision centralisée et temps réel, tout en ayant la capacité à se livrer une approche filiale par filiale. Sur cette base, la société d'assurance-vie opte pour la solution d'Hackuity, un éditeur spécialisé d'origine lyonnaise. « L'outil offrait avant tout de nombreux connecteurs vers des solutions françaises que nous utilisons déjà et permettait de mettre en oeuvre une approche de la criticité combinant critères techniques et métiers », relève la RSSI.
Démarré en juillet 2022, le projet se concentre dans un premier temps sur l'intégration de l'historique, avec un travail de transformation des données consolidées dans Excel. « Nous avons fait face à des problématiques d'informations manquantes, comme des catégories ou des attributs », détaille Sébastien Vaivre, le responsable du Vulnerability Operation Center (VOC). En parallèle, la CNP déploie ses premiers connecteurs permettant de déverser automatiquement des données dans le datalake. S'ensuit une fastidieuse phase d'enrichissement de cet inventaire, permettant de caractériser les applications, avec des profils de risques associés à chacune d'entre elles (comme des critères DIC, pour disponibilité, intégrité et confidentialité), et de calculer les indicateurs True Risk Score associés aux vulnérabilités. Propres à la plateforme Hackuity, ces scores composites mêlent des indicateurs techniques, le renseignement sur les menaces et l'évaluation de la criticité des applications. En parallèle, la CNP s'attaque à la modélisation des périmètres applicatifs, permettant d'associer des règles à des actifs IT et d'adapter les droits d'accès en fonction. Ce n'est qu'à l'issue de ce travail de fond que l'outil peut devenir le canal unique d'échange sur les remédiations et produire des rapports permettant aux équipes en charge de la cybersécurité de suivre les avancées en la matière. « La plateforme a été ouverte aux filiales à l'été 2023 et nous avons pour projet d'y consolider les résultats des tests de pénétration locaux, que mènent ces dernières », précise Sébastien Vaivre.
De 30 000 vulnérabilités à 145
Pour les équipes cyber du groupe, ce déploiement est ainsi l'occasion de rapatrier des données auxquelles elles n'accédaient pas auparavant. « Par exemple, les scans de vulnérabilités d'une filiale qui lui remontent 35 000 vulnérabilités associées à un score CVSS (Common Vulnerability Scoring System, système standardisé de notation des vulnérabilités, NDLR), dont 20 000 prioritaires, illustre le responsable du VOC. Avec le True Risk Score (TRS), ce total descend à 1 500 vulnérabilités prioritaires, sans même tenir compte de la criticité des différentes applications impactées. » Et, comme l'indique Sébastien Vaivre, la plateforme fournit une capacité à agréger des groupes de vulnérabilités par type de remédiation, donc à effectuer un nouveau tri en tenant compte de l'exploitabilité des failles. « Via cette nouvelle étape, on descend à 145 vulnérabilités prioritaires, toujours sans tenir compte de de la criticité des applications et des mesures de sécurisation qui les entourent. »
Cette capacité à ramener le nombre de remédiations à opérer dans des proportions raisonnables s'avère essentiel aux yeux de Estelle Tchigique-Boyer. « 145 vulnérabilités à corriger, c'est communicable aux métiers », observe-t-elle. Même si, pour Stéphane Vaivre, parvenir à ce résultat passe par un gros effort de reprise de l'existant, dont des opérations manuelles. « Et il faut également parvenir à qualifier la criticité métiers des ressources et développer des scripts pour définir les périmètres d'une division ou d'un pays », précise-t-il. Si CNP indique avoir achevé la mise en place du processus de gestion des vulnérabilités et son ouverture aux filiales, les chantiers de constitution du puit de données et de priorisation des risques doivent encore être finalisés.
Commentaire