Cybersécurité
Gestion des vulnérabilités : le pilier de la sécurité des SI
28 septembre 2025

Gestion des vulnérabilités : le pilier de la sécurité des SI

Comme disait Stéphane De Groodt « Vous le savez peut-être, et si c’est « peut-être » c’est que vous n’en êtes pas sûr. Alors pour en être sûr il vaut mieux que vous le dise », mais la gestion des vulnérabilités est un des piliers de la sécurité des systèmes d’information!

Le « Vuln Management », comme disent nos amis « anglo », c’est la pratique cyclique consistant à identifier, classer, hiérarchiser, remettre en état et atténuer les vulnérabilités des logiciels. La gestion de la vulnérabilité fait partie intégrante de la sécurité informatique et de la sécurité des réseaux et ne doit pas être confondue avec l’évaluation de la vulnérabilité, dit Wikipedia.

Comme vous l’avez compris, c’est important! Sérieux? Oui.

Mais par ou commencez ?

Le processus commence par l’identification des vulnérabilités à travers des scans de vulnérabilité (OpenVAS, Tenable Nessus, Nikto, même Nmap avec des scripts prévus à cet effet), des audits de sécurité et l’analyse des rapports de diverses sources. L’évaluation de ces vulnérabilités permet de prioriser les risques en fonction de leur criticité et de l’impact potentiel sur l’organisation.

Une fois les vulnérabilités identifiées et évaluées, l’étape suivante consiste à élaborer des stratégies de remédiation. Cela peut inclure la mise à jour des logiciels, la modification des configurations système, ou l’application de correctifs de sécurité. La rapidité et l’efficacité de cette phase déterminent la résilience de l’organisation face aux attaques potentielles.

Bien que les solutions propriétaires et payantes assurent efficacement cette gestion, nous avons choisi d’utiliser un outil entièrement gratuit et open source pour mener à bien cette tâche.

Il s’appelle DefectDojo, un projet d’OWASP.

Lien officiel: https://www.defectdojo.org/

Lien OWASP: https://owasp.org/www-project-defectdojo/

Caractéristiques principales de DefectDojo

  • Intégration multi-source : DefectDojo peut ingérer des données provenant de divers scanners de vulnérabilités, outils de gestion de tests de sécurité, et sources externes, facilitant ainsi une vue d’ensemble consolidée.
  • Gestion des flux de travail : L’outil permet de définir des workflows personnalisés pour la gestion des vulnérabilités, incluant des étapes de validation, de triage et de remédiation.
  • Rapports et tableaux de bord : DefectDojo offre des capacités avancées de reporting, permettant de générer des rapports détaillés et des tableaux de bord interactifs pour le suivi des métriques de sécurité.
  • Automatisation : Grâce à ses API robustes, DefectDojo peut être intégré dans des pipelines DevOps, automatisant ainsi le processus de gestion des vulnérabilités et réduisant les délais de réaction.

Avantages de l’utilisation de DefectDojo

L’adoption de DefectDojo présente plusieurs avantages significatifs, notamment une meilleure visibilité sur l’état de sécurité des systèmes, une réduction des temps de réponse face aux vulnérabilités, et une amélioration de la collaboration entre les équipes de sécurité et de développement. De plus, en tant qu’outil open-source, DefectDojo bénéficie d’une communauté active contribuant à son évolution et à sa robustesse.

Installation de DefectDojo : recommandations techniques

L’installation de DefectDojo c’est ce qu’il y a de plus simple.

Étapes d’Installation

  1. Installez un serveur Ubuntu 22.04 LTS (ou un autre serveur linux de votre choix)
  2. Faites un snapshot sur votre hyperviseur (au cas où)
  3. Installez le Docker et le docker Compose
  4. Et passez ces 4 commandes et ça roule tout seul : https://github.com/DefectDojo/django-DefectDojo
 git clone https://github.com/DefectDojo/django-DefectDojo
cd django-DefectDojo

./dc-build.sh

./dc-up-d.sh postgres-redis

# Obtain admin credentials. The initializer can take up to 3 minutes to run.
# Use docker compose logs -f initializer to track its progress.

docker compose logs initializer | grep "Admin password:"

C’est tout ! En on arrive sur cette jolie page web: adresseip:8080

Contenu de l’article

Exemple

Nous allons, pour exemple, importer un fichier de scan de Tenable Nessus et voir comment visualiser nos vulnérabilités dans DefectDojo.

Après avoir créé notre contexte dans « Products » nous allons dans « Findings » et importer notre fichier ***.nessus.

Contenu de l’article
Contenu de l’article
Import de scan d’une machine de test « Metasploitable » volontairement vulnérable
Contenu de l’article

Désormais, nous avons un œil sur toutes nos vulnérabilités et nous pouvons commencer à les gérer avec un grand G. 🙂


Contenu de l’article

Vous pouvez également modifier la politique de gestion dans « SLA Configuration » si vous le souhaitez.

Contenu de l’article


N’oubliez pas, la gestion des vulnérabilités, c’est un peu comme le ménage : ce n’est pas parce que vous avez passé l’aspirateur une fois que la poussière ne reviendra plus.

Le suivi constant des failles, l’analyse des tendances et l’ajustement de vos stratégies de sécurité, c’est votre trio gagnant pour garder votre organisation sur le chemin de la résilience. Et face aux cybermenaces modernes, souvenez-vous : mieux vaut une vigilance permanente qu’un patch de dernière minute.

Bref, restez sur vos gardes, car dans la cybersécurité, on ne dort jamais sur ses lauriers…

Florian Dudaev
0

" Le savoir est la seule richesse que l'on puisse entièrement dépenser sans en rien la diminuer. "

A. Hampaté Bà

Articles récents

Catégories

Commentaires récents

Archives