Vulnérabilité d'Open SSL : comment déterminer l'exposition au risque de votre tierce partie ?
Le projet Open SSL a récemment annoncé deux failles de haute gravité
dans leur bibliothèque cryptographique open-source utilisée pour chiffrer les canaux de communication et les connexions HTTPS. Si elles ne sont pas corrigées, ces failles peuvent entraîner des débordements de tampon de pile ou l'exécution de code à distance. Les vulnérabilités s'appliquent aux versions 3.0.1-3.0.6 d'Open SSL. En réponse, le projet Open SSL a publié la version 3.0.7 pour corriger les failles de sécurité et a déclaré ne pas avoir connaissance d'une exploitation active de ces vulnérabilités à l'heure actuelle.
Évaluation gratuite visant à déterminer l'exposition de votre organisation à la vulnérabilité Open SSL chez les fournisseurs et vendeurs tiers
Malgré l'assurance donnée par le projet Open SSL, il est essentiel de déterminer l'étendue de l'utilisation d'Open SSL 3.0.1-3.0.6 dans votre base de fournisseurs et de vendeurs tiers afin que votre organisation puisse quantifier son exposition et développer les plans d'atténuation appropriés. Pour vous aider, Prevalent a créé une évaluation en sept questions que nous mettons gratuitement à la disposition de la communauté de la sécurité. L'utilisation de cette évaluation vous permettra de
- Déterminer l'utilisation de la version Open SSL du champ d'application.
- Révéler les plans des tiers pour l'inventaire des systèmes à risque
- Identifier la priorité des correctifs et le point de contact
- Clarifier l'impact commercial
- Exposer les utilisations et les risques des quatrième et neuvième parties.
Note aux clients de Prevalent : Cette évaluation est maintenant disponible dans votre bibliothèque de questionnaires.
| Questions | Choix de réponses |
|---|---|
|
1) L'organisation utilise-t-elle OpenSSL pour sa gestion des clés cryptographiques ? Texte d'aide : OpenSSL est la principale bibliothèque open-source qui met en œuvre les protocoles SSL et TLS, permettant de communiquer de manière sécurisée sur Internet. |
Veuillez choisir l'une des options suivantes : a) Oui, OpenSSL est utilisé pour la gestion des clés cryptographiques. b) Non, OpenSSL n'est pas utilisé pour la gestion des clés cryptographiques. |
|
2) Quelles versions d'OpenSSL l'organisation utilise-t-elle ? Texte d'aide : OpenSSL a fourni une notification concernant une vulnérabilité affectant les versions 3.0.1 à 3.0.6 de sa bibliothèque logicielle OpenSSL. |
Veuillez choisir l'une des options suivantes : a) L'organisation utilise OpenSSL version 1.1.1 ou antérieure. b) L'organisation utilise une combinaison d'OpenSSL version 1.1.1 ou antérieure, et version 3.0.1 ou ultérieure. c) L'organisation utilise OpenSSL version 3.0.1 ou ultérieure. |
|
3) L'organisation a-t-elle donné la priorité à la création d'un inventaire de tous les systèmes comportant des versions vulnérables d'OpenSSL ? |
Veuillez choisir l'une des options suivantes : a) Oui, un inventaire a été créé pour tous les systèmes qui utilisent la version 3 ou une version ultérieure. b) Aucun inventaire n'a été identifié pour les systèmes qui utilisent la version 3 ou ultérieure. |
|
4) L'organisation a-t-elle téléchargé et installé le dernier patch 3.0.7 publié par OpenSSL ? Texte d'aide : Le projet Open SSL a annoncé la publication de la version 3.0.7 d'Open SSL le 1er novembre 2022, qui corrige la vulnérabilité affectant les versions 3.0.1 à 3.0.6. |
Veuillez choisir l'une des options suivantes : a) Oui, le correctif 3.0.7 a été installé et appliqué à tous les systèmes utilisant la version 3.0.1 ou ultérieure. b) Non, le correctif 3.0.7 n'a pas été installé et appliqué à tous les systèmes utilisant la version 3.0.1 ou ultérieure. |
|
5) L'organisation a-t-elle déterminé, sur la base de l'utilisation d'OpenSSL v.3.0.1 ou d'une version ultérieure, le niveau d'impact sur les systèmes et applications critiques ? Texte d'aide : Il faut tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau de l'impact. a) Impact significatif : La vulnérabilité a provoqué une perte de confidentialité ou d'intégrité des données. b) Impact élevé : La disponibilité du système a été périodiquement perdue, et une certaine perte de confidentialité ou d'intégrité des données. c) Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du système. |
Veuillez choisir l'une des options suivantes : a) Il y a eu un impact significatif sur nos systèmes ou applications critiques. b) Il existe un niveau élevé d'impact sur nos systèmes ou applications critiques. c) L'impact sur nos systèmes ou applications critiques a été faible. d) L'attaque de cyber n'a pas eu d'impact sur nos systèmes ou applications critiques. |
|
6) Qui est désigné comme point de contact pouvant répondre à des questions supplémentaires ? |
Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité. Nom : Titre : Courriel : Téléphone : |
|
7) L'organisation a-t-elle vérifié auprès de tiers s'ils utilisent OpenSSL v.3.0.1 ou une version ultérieure ? Si tel est le cas, des plans sont-ils en place pour remédier à la vulnérabilité ? |
Veuillez choisir l'une des options suivantes : a) Oui, l'organisation a identifié nos tiers qui utilisent la version 3.0.1 ou une version ultérieure, et ils ont mis en œuvre les derniers correctifs. b) L'organisation a identifié ses tiers utilisant la version 3.0.1 ou une version ultérieure, mais aucun plan n'est actuellement en place pour remédier à cette vulnérabilité. c) Non, l'organisation n'a pas identifié nos tiers qui utilisent la version 3.0.1 ou ultérieure. |
Quatre meilleures pratiques pour une réponse proactive aux incidents impliquant des tiers
L'annonce d'un incident de sécurité à fort impact n'est pas le bon moment pour s'assurer que votre organisation a mis en place un plan de réponse aux incidents de tiers. Commencez plutôt à vous préparer au prochain incident en élaborant dès maintenant une approche proactive. Voici quatre bonnes pratiques à prendre en compte :
1. Établir un inventaire centralisé de tous les tiers
L'inventaire de vos fournisseurs doit être effectué sur une plateforme centralisée - et non sur des feuilles de calcul - afin que plusieurs équipes internes puissent participer à la gestion des fournisseurs, et que le processus puisse être automatisé pour le bénéfice de tous. Ensuite, effectuez un scoring des risques inhérents pour vous aider à déterminer comment évaluer vos fournisseurs tiers de manière continue en fonction des risques qu'ils représentent pour votre entreprise.
2. Établir une carte des tiers pour déterminer le risque de concentration technologique
La collecte des technologies de quatrième partie déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire permet d'identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies et vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Vous pouvez y parvenir par une évaluation ciblée ou par un balayage passif.
3. Évaluer les plans de résilience et de continuité des activités des tiers.
Engager de manière proactive les fournisseurs concernés par des évaluations simples et ciblées qui s'alignent sur les normes de sécurité de la chaîne d'approvisionnement connues du secteur, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les failles de sécurité potentielles. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler plus rapidement ces lacunes.
4. Surveiller en permanence les vendeurs et fournisseurs concernés pour détecter les attaques de cyber.
Une vigilance permanente à l'égard de la prochaine attaque implique de rechercher les signaux d'un incident de sécurité imminent. Surveillez
les forums criminels, les pages oignons, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les dépôts de code et les bases de données de vulnérabilités et de piratages sont essentiels. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations en une seule solution, afin que tous les risques soient centralisés et visibles pour l'entreprise.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Étapes suivantes : Utilisez l'évaluation et mesurez votre programme de réponse aux incidents impliquant des tiers.
Pour en savoir plus sur la façon dont Prevalent peut simplifier et accélérer la découverte et la réponse aux incidents de tiers cyber , téléchargez notre guide des meilleures pratiques. Ou contactez-nous pour planifier une évaluation de la maturité ou une démonstration dès aujourd'hui.
Tout commence ici
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.
Demandez une démo-
Préparation d'un plan d'intervention en cas d'incident impliquant un tiers
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
-
Violations de données par des tiers : Ce que vous devez savoir
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
-
Réponse à la violation d'une tierce partie : 6 mesures immédiates à prendre
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024
-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo