Le Yankee Group définit les meilleures pratiques Pour un management dynamique des vulnérabilités

Conférence InfoSec World, Orlando, FL — March 23, 2004 — Le Yankee Group annonce la publication des meilleures pratiques de sécurité dans le management dynamique des vulnérabilités pour aider les entreprises à mieux gérer leurs ressources réseaux et à identifier et éliminer les failles de sécurité très rapidement. Instaurer les meilleures pratiques pour le management dynamique des vulnérabilités est la mesure préventive la plus efficace que les administrateurs réseaux puissent prendre pour se protéger des attaques automatisées et préserver le niveau de sécurité de leurs réseaux.

« Mener des audits réguliers de sécurité est une démarche essentielle que les entreprises doivent obligatoirement intégrer afin de suivre les changements dans l’univers de la sécurité” déclare Eric Ogren, analyste senior au Yankee Group. “Avec les nouvelles menaces de sécurité, il est clair que les meilleures pratiques de sécurisation des infrastructures sécurité doivent être suivies par les entreprises afin d’assurer la sécurité des dispositifs critiques de leurs réseaux. »

Les directives émises par le Yankee Group s’inspirent des résultats de la recherche « les lois sur les vulnérabilités », menée par Gerhard Eschelbeck, CTO de Qualys. Ce rapport est réalisé par le Yankee Group à la demande de Qualys.

«Mener des audits réguliers de sécurité est une démarche essentielle que les entreprises doivent obligatoirement intégrer afin de suivre les changements dans l’univers de la sécurité” déclare Eric Ogren, analyste senior au Yankee Group. “Avec les nouvelles menaces de sécurité, il est clair que les meilleures pratiques de sécurisation des infrastructures sécurité doivent être suivies par les entreprises afin d’assurer la sécurité des dispositifs critiques de leurs réseaux. »

Les meilleures pratiques de gestion dynamique des vulnérabilités sont basées sur les principaux résultats de la recherche sur « les lois sur les vulnérabilités ». Elles garantissent la mise en place d’une solution permettant de mesurer et de contrôler l’efficacité d’un programme de défense d’un réseau.

Les lois sur les vulnérabilités sont tirées de la plus grande base de données sur les vulnérabilités de l’industrie et indiquent la vie moyenne d’une vulnérabilité, la prédominance, la persistance, et les tendances d’exploitation menée par G.Eschelbeck, CTO de Qualys.

S’appuyant sur ces résultats le Yankee Group annonce 4 pratiques à mettre en place pour un management dynamique des vulnérabilités:

1. La classification: Les entreprises doivent identifier et classer toutes les ressources de leur réseau. Elles doivent classifier ces ressources par catégorie et les hiérarchiser en fonction de leur valeur par rapport à l’activité. Les dispositifs critiques doivent être audités tous les 5 à 10 jours pour identifier les vulnérabilités et les protéger contre des exploitations. En fonction de cette classification, les éléments moins critiques peuvent être scannées moins fréquemment et disposer d’un plan d’application des patchs plus souple.

2. L’intégration: Pour améliorer l’efficacité des diverses technologies de sécurité telles que les systèmes de détections de serveur, les systèmes de gestion des patchs ou les services de mise à jour, les entreprises doivent obligatoirement les intégrer avec des technologies de gestion des vulnérabilités. Les technologies mise en place doivent également rendre compte du progrès opérationnel contre les vulnérabilités dans le but d’augmenter la prise de conscience de l’importance de la sécurité dans les équipes de direction.

3. La classification : Les entreprises doivent identifier et classer toutes les ressources de leur réseau. Elles doivent classifier ces ressources par catégorie et les hiérarchiser en fonction de leur valeur par rapport à l’activité. Les dispositifs critiques doivent être audités tous les 5 à 10 jours pour identifier les vulnérabilités et les protéger contre des exploitations. En fonction de cette classification, les éléments moins critiques peuvent être scannées moins fréquemment et disposer d’un plan d’application des patchs plus souple.

4. L’intégration : Pour améliorer l’efficacité des diverses technologies de sécurité telles que les systèmes de détections de serveur, les systèmes de gestion des patchs ou les services de mise à jour, les entreprises doivent obligatoirement les intégrer avec des technologies de gestion des vulnérabilités. Les technologies mise en place doivent également rendre compte du progrès opérationnel contre les vulnérabilités dans le but d’augmenter la prise de conscience de l’importance de la sécurité dans les équipes de direction.

5. La mesure : Les entreprises doivent mesurer leurs réseaux par rapport à la courbe de vie moyenne et aux courbes de persistance des vulnérabilités. Suivre graphiquement le pourcentage des vulnérabilités atténuées dans chaque cycle de 30 jours et le nombre de vulnérabilités qui se prolongent au-delà de 180 jours. Dressez une carte de la performance des équipes de sécurité pour être certains de la mise en place effective d’une réduction des risques en particulier pour les dispositifs critiques.

6. Audit : Les responsables sécurité doivent utiliser les résultats des scans de vulnérabilités pour assurer le maintien du niveau de sécurité du réseau. Employer la métrique pour évaluer les succès et les échecs des différentes politiques pour améliorer les performances de la sécurité globale. Employer les métriques d’audit pour communiquer le niveau de sécurité aux équipes de management senior.

7. La mesure: Les entreprises doivent mesurer leurs réseaux par rapport à la courbe de vie moyenne et aux courbes de persistance des vulnérabilités. Suivre graphiquement le pourcentage des vulnérabilités atténuées dans chaque cycle de 30 jours et le nombre de vulnérabilités qui se prolongent au-delà de 180 jours. Dressez une carte de la performance des équipes de sécurité pour être certains de la mise en place effective d’une réduction des risques en particulier pour les dispositifs critiques.

8. Audit: Les responsables sécurité doivent utiliser les résultats des scans de vulnérabilités pour assurer le maintien du niveau de sécurité du réseau. Employer la métrique pour évaluer les succès et les échecs des différentes politiques pour améliorer les performances de la sécurité globale. Employer les métriques d’audit pour communiquer le niveau de sécurité aux équipes de management senior.

« Les législations telles que HIPAA et Sarbanes-Oxley, couplées aux menaces récentes telles que MyDoom, ont amené les entreprises comme Geisinger à adopter les meilleures pratiques du secteur qui assureront la conformité et la protection proactive de notre réseau” déclare Jaime Chanaga, Responsable de la sécurité de l’information pour le système de santé Geisinger en Pennsylvanie. “ Les meilleures pratiques énoncées par le Yankee Group renforce l’importance des audits de vulnérabilités continus dans le contexte actuel de menaces qui évolue sans cesse et rapidement. »

«Les législations telles que HIPAA et Sarbanes-Oxley, couplées aux menaces récentes telles que MyDoom, ont amené les entreprises comme Geisinger à adopter les meilleures pratiques du secteur qui assureront la conformité et la protection proactive de notre réseau» déclare Jaime Chanaga, Responsable de la sécurité de l’information pour le système de santé Geisinger en Pennsylvanie. « Les meilleures pratiques énoncées par le Yankee Group renforce l’importance des audits de vulnérabilités continus dans le contexte actuel de menaces qui évolue sans cesse et rapidement. »

Le Yankee Group et Qualys ont présenté ce rapport à un groupe de discussion sur le salon InfoSec World . Pour accéder à la totalité des résultats de cette étude merci de vous rendre sur le site de Qualys:https://www.qualys.com/yankee ou demander à notre agence de presse des informations complémentaires.

A propos des lois sur les vulnerabilities

Voici les principaux enseignements de cette étude disponible auprès de l’agence de presse

• Cycle de vie moyen: La moitié de vie des vulnérabilités est 30 jours et elle double en fonction du degré de sévérité. En d’autres termes, même pour les vulnérabilités les plus critiques, cela prend 30 jours aux entreprises pour corriger la moitié des systèmes vulnérables, le laissant donc exposer sur une période importante
• La prévalence La moitié des attaques les plus connues et les plus critiques sont remplacées par de nouvelles vulnérabilités chaque année. La découverte constante des vulnérabilités les plus dangereuses crée une nouvelle fenêtre d’exposition sur les postes de travail et les réseaux
• La persistance La durée de vie de certaines vulnérabilités est illimitée. Certains Les risques en effet perdurent partiellement en raison du nouveau déploiement de PC et/ou de serveurs avec des logiciels non corrigés.
• L’exploitation 80% des vulnérabilités sont exploitées dans les 60 jours suivant leur annonce publique. Une telle rapidité d’exploitation expose dangereusement les entreprises le temps qu’elles rectifient leurs systèmes vulnérables.

A propos du Yankee Group

Le Yankee Group est le leader mondial dans les recherches et le conseil en communication et réseaux. Il aide les entreprises à mieux appréhender les opportunités, les risques et les diverses pressions dans le développement, le déploiement et la consommation des produits et services qui permettent les échanges d’information et de communication. Dans sa quatrième décennie, le Yankee Group est basé à Boston avec des bureaux partout à travers l’Amérique du Nord et l’Europe http://www.yankeegroup.com.

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

Pour toutes informations complémentaires, vous pouvez contacter:

Contact: Nathalie Laurent
SOGOA Cocktail de communication
01 58 60 33 00
01 58 60 10 19
14 rue Baron
75017 Paris, France
pr-fr@qualys.com

For all other matters

Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com