Ces recommandations s’appuient sur les résultats de la recherche de G.Eschelbeck et considèrent, comme une priorité, les audits hebdomadaires menés sur les dispositifs critiques
Conférence InfoSec World, Orlando, FL — March 23, 2004 — Le Yankee Group annonce la publication des meilleures pratiques de sécurité dans le management dynamique des vulnérabilités pour aider les entreprises à mieux gérer leurs ressources réseaux et à identifier et éliminer les failles de sécurité très rapidement. Instaurer les meilleures pratiques pour le management dynamique des vulnérabilités est la mesure préventive la plus efficace que les administrateurs réseaux puissent prendre pour se protéger des attaques automatisées et préserver le niveau de sécurité de leurs réseaux.
« Mener des audits réguliers de sécurité est une démarche essentielle que les entreprises doivent obligatoirement intégrer afin de suivre les changements dans l’univers de la sécurité” déclare Eric Ogren, analyste senior au Yankee Group. “Avec les nouvelles menaces de sécurité, il est clair que les meilleures pratiques de sécurisation des infrastructures sécurité doivent être suivies par les entreprises afin d’assurer la sécurité des dispositifs critiques de leurs réseaux. »
Les directives émises par le Yankee Group s’inspirent des résultats de la recherche « les lois sur les vulnérabilités », menée par Gerhard Eschelbeck, CTO de Qualys. Ce rapport est réalisé par le Yankee Group à la demande de Qualys.
«Mener des audits réguliers de sécurité est une démarche essentielle que les entreprises doivent obligatoirement intégrer afin de suivre les changements dans l’univers de la sécurité” déclare Eric Ogren, analyste senior au Yankee Group. “Avec les nouvelles menaces de sécurité, il est clair que les meilleures pratiques de sécurisation des infrastructures sécurité doivent être suivies par les entreprises afin d’assurer la sécurité des dispositifs critiques de leurs réseaux. »
Les meilleures pratiques de gestion dynamique des vulnérabilités sont basées sur les principaux résultats de la recherche sur « les lois sur les vulnérabilités ». Elles garantissent la mise en place d’une solution permettant de mesurer et de contrôler l’efficacité d’un programme de défense d’un réseau.
Les lois sur les vulnérabilités sont tirées de la plus grande base de données sur les vulnérabilités de l’industrie et indiquent la vie moyenne d’une vulnérabilité, la prédominance, la persistance, et les tendances d’exploitation menée par G.Eschelbeck, CTO de Qualys.
La classification: Les entreprises doivent identifier et classer toutes les ressources de leur réseau. Elles doivent classifier ces ressources par catégorie et les hiérarchiser en fonction de leur valeur par rapport à l’activité. Les dispositifs critiques doivent être audités tous les 5 à 10 jours pour identifier les vulnérabilités et les protéger contre des exploitations. En fonction de cette classification, les éléments moins critiques peuvent être scannées moins fréquemment et disposer d’un plan d’application des patchs plus souple.
L’intégration: Pour améliorer l’efficacité des diverses technologies de sécurité telles que les systèmes de détections de serveur, les systèmes de gestion des patchs ou les services de mise à jour, les entreprises doivent obligatoirement les intégrer avec des technologies de gestion des vulnérabilités. Les technologies mise en place doivent également rendre compte du progrès opérationnel contre les vulnérabilités dans le but d’augmenter la prise de conscience de l’importance de la sécurité dans les équipes de direction.
La classification : Les entreprises doivent identifier et classer toutes les ressources de leur réseau. Elles doivent classifier ces ressources par catégorie et les hiérarchiser en fonction de leur valeur par rapport à l’activité. Les dispositifs critiques doivent être audités tous les 5 à 10 jours pour identifier les vulnérabilités et les protéger contre des exploitations. En fonction de cette classification, les éléments moins critiques peuvent être scannées moins fréquemment et disposer d’un plan d’application des patchs plus souple.
L’intégration : Pour améliorer l’efficacité des diverses technologies de sécurité telles que les systèmes de détections de serveur, les systèmes de gestion des patchs ou les services de mise à jour, les entreprises doivent obligatoirement les intégrer avec des technologies de gestion des vulnérabilités. Les technologies mise en place doivent également rendre compte du progrès opérationnel contre les vulnérabilités dans le but d’augmenter la prise de conscience de l’importance de la sécurité dans les équipes de direction.
La mesure : Les entreprises doivent mesurer leurs réseaux par rapport à la courbe de vie moyenne et aux courbes de persistance des vulnérabilités. Suivre graphiquement le pourcentage des vulnérabilités atténuées dans chaque cycle de 30 jours et le nombre de vulnérabilités qui se prolongent au-delà de 180 jours. Dressez une carte de la performance des équipes de sécurité pour être certains de la mise en place effective d’une réduction des risques en particulier pour les dispositifs critiques.
Audit : Les responsables sécurité doivent utiliser les résultats des scans de vulnérabilités pour assurer le maintien du niveau de sécurité du réseau. Employer la métrique pour évaluer les succès et les échecs des différentes politiques pour améliorer les performances de la sécurité globale. Employer les métriques d’audit pour communiquer le niveau de sécurité aux équipes de management senior.
La mesure: Les entreprises doivent mesurer leurs réseaux par rapport à la courbe de vie moyenne et aux courbes de persistance des vulnérabilités. Suivre graphiquement le pourcentage des vulnérabilités atténuées dans chaque cycle de 30 jours et le nombre de vulnérabilités qui se prolongent au-delà de 180 jours. Dressez une carte de la performance des équipes de sécurité pour être certains de la mise en place effective d’une réduction des risques en particulier pour les dispositifs critiques.
Audit: Les responsables sécurité doivent utiliser les résultats des scans de vulnérabilités pour assurer le maintien du niveau de sécurité du réseau. Employer la métrique pour évaluer les succès et les échecs des différentes politiques pour améliorer les performances de la sécurité globale. Employer les métriques d’audit pour communiquer le niveau de sécurité aux équipes de management senior.
« Les législations telles que HIPAA et Sarbanes-Oxley, couplées aux menaces récentes telles que MyDoom, ont amené les entreprises comme Geisinger à adopter les meilleures pratiques du secteur qui assureront la conformité et la protection proactive de notre réseau” déclare Jaime Chanaga, Responsable de la sécurité de l’information pour le système de santé Geisinger en Pennsylvanie. “ Les meilleures pratiques énoncées par le Yankee Group renforce l’importance des audits de vulnérabilités continus dans le contexte actuel de menaces qui évolue sans cesse et rapidement. »
«Les législations telles que HIPAA et Sarbanes-Oxley, couplées aux menaces récentes telles que MyDoom, ont amené les entreprises comme Geisinger à adopter les meilleures pratiques du secteur qui assureront la conformité et la protection proactive de notre réseau» déclare Jaime Chanaga, Responsable de la sécurité de l’information pour le système de santé Geisinger en Pennsylvanie. « Les meilleures pratiques énoncées par le Yankee Group renforce l’importance des audits de vulnérabilités continus dans le contexte actuel de menaces qui évolue sans cesse et rapidement. »
Le Yankee Group et Qualys ont présenté ce rapport à un groupe de discussion sur le salon InfoSec World . Pour accéder à la totalité des résultats de cette étude merci de vous rendre sur le site de Qualys:https://www.qualys.com/yankee ou demander à notre agence de presse des informations complémentaires.
Voici les principaux enseignements de cette étude disponible auprès de l’agence de presse
Le Yankee Group est le leader mondial dans les recherches et le conseil en communication et réseaux. Il aide les entreprises à mieux appréhender les opportunités, les risques et les diverses pressions dans le développement, le déploiement et la consommation des produits et services qui permettent les échanges d’information et de communication. Dans sa quatrième décennie, le Yankee Group est basé à Boston avec des bureaux partout à travers l’Amérique du Nord et l’Europe http://www.yankeegroup.com.
Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.
Pour toutes informations complémentaires, vous pouvez contacter:
Contact: Nathalie Laurent
SOGOA Cocktail de communication
01 58 60 33 00
01 58 60 10 19
14 rue Baron
75017 Paris, France
pr-fr@qualys.com
For all other matters
Contact: pr@qualys.com
Media Contact:
Tami Casey
Qualys
media@qualys.com