Pourquoi il est important de vérifier régulièrement les bases de données publiques ?
Les CVEs, ou Common Vulnerabilities and Exposures (Vulnérabilités et Expositions Communes, en français) est un dictionnaire d’informations publiques qui recense et attribue un identifiant à chaque menace ou vulnérabilité de cybersécurité découverte. L’accès, l’utilisation et le téléchargement de son contenu est gratuit. Il est maintenu par l’organisme à but non lucratif américain MITRE(1).
En renseignant le nom de vos applications, logiciels, etc., dans le moteur de recherche du site, vous pourrez voir apparaitre la liste avec les menaces ou/et vulnérabilités qui lui sont affiliées, leur numéro de référencement, ainsi qu’une courte description pour chacune. En cliquant sur l’une d’elles, vous pourrez accéder à sa fiche personnelle pour de plus amples informations.
Il est important, pour un particulier, et encore plus pour une entreprise, de vérifier régulièrement ces bases de données afin de se tenir au courant des menaces et failles existantes, et découvertes; dans le but de pouvoir les corriger au plus tôt, et ainsi, sécuriser au mieux son infrastructure et ses données.
Une fois les menaces et vulnérabilités dévoilées, il ne faut pas beaucoup de temps pour qu’elles soient exploitées à des fins malveillantes.
Dans la même optique de sécurité, il est également important de bien procéder aux mises à jour de ses applications, systèmes d’exploitation, etc., le plus tôt possible après leur sortie. En effet, des menaces et/ou vulnérabilités peuvent avoir été découvertes (répertoriées ou pas encore dans les CVEs). L’éditeur du logiciel aura donc fait éditer une mise à jour pour la/les corriger plus ou moins rapidement après cette découverte. Tout va très vite, et il peut paraître impossible de se tenir au courant de toutes les vulnérabilités découvertes, et surtout en temps réel. Si vous ne le saviez pas, des solutions existent pour faciliter l’accomplissement de cette tâche. Côté payant, Nessus(2) et InsightVM(3) par exemple, permettent de scanner votre réseau (systèmes d’exploitation, bases de données, applications, etc.) et de lister les vulnérabilités présentes, en précisant le niveau de criticité, la solution pour y remédier et en donnant les références CVE lorsqu’il y en a. Une version gratuite est disponible pour que vous puissiez tester leurs performances. Vous pouvez aussi utiliser OpenVAS qui est l’équivalent mais en version totalement gratuite. Côté application et ses dépendances, Owasp propose le plugin Dependency-Check qui va aller vérifier dans la base de donné des CVE, si une librairie présente des vulnérabilités connues.
Vous vous posez des questions sur la sécurité de vos applications ? De vos installations ? Vous vous sentez perdus face à autant d'éléments à prendre en compte pour une sécurité optimum ? N'hésitez pas à faire appel à Cybersecura. Une équipe de professionnels est à votre disposition pour répondre à vos questions.
Sources : (1) https://cve.mitre.org
Les articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !
コメント