Le projet Open SSL a récemment annoncé deux failles de haute gravité
dans leur bibliothèque cryptographique open-source utilisée pour chiffrer les canaux de communication et les connexions HTTPS. Si elles ne sont pas corrigées, ces failles peuvent entraîner des débordements de tampon de pile ou l'exécution de code à distance. Les vulnérabilités s'appliquent aux versions 3.0.1-3.0.6 d'Open SSL. En réponse, le projet Open SSL a publié la version 3.0.7 pour corriger les failles de sécurité et a déclaré ne pas avoir connaissance d'une exploitation active de ces vulnérabilités à l'heure actuelle.
Malgré l'assurance donnée par le projet Open SSL, il est essentiel de déterminer l'étendue de l'utilisation d'Open SSL 3.0.1-3.0.6 dans votre base de fournisseurs et de vendeurs tiers afin que votre organisation puisse quantifier son exposition et développer les plans d'atténuation appropriés. Pour vous aider, Prevalent a créé une évaluation en sept questions que nous mettons gratuitement à la disposition de la communauté de la sécurité. L'utilisation de cette évaluation vous permettra de
Note aux clients de Prevalent : Cette évaluation est maintenant disponible dans votre bibliothèque de questionnaires.
Questions | Choix de réponses |
---|---|
1) L'organisation utilise-t-elle OpenSSL pour sa gestion des clés cryptographiques ? Texte d'aide : OpenSSL est la principale bibliothèque open-source qui met en œuvre les protocoles SSL et TLS, permettant de communiquer de manière sécurisée sur Internet. |
Veuillez choisir l'une des options suivantes : a) Oui, OpenSSL est utilisé pour la gestion des clés cryptographiques. b) Non, OpenSSL n'est pas utilisé pour la gestion des clés cryptographiques. |
2) Quelles versions d'OpenSSL l'organisation utilise-t-elle ? Texte d'aide : OpenSSL a fourni une notification concernant une vulnérabilité affectant les versions 3.0.1 à 3.0.6 de sa bibliothèque logicielle OpenSSL. |
Veuillez choisir l'une des options suivantes : a) L'organisation utilise OpenSSL version 1.1.1 ou antérieure. b) L'organisation utilise une combinaison d'OpenSSL version 1.1.1 ou antérieure, et version 3.0.1 ou ultérieure. c) L'organisation utilise OpenSSL version 3.0.1 ou ultérieure. |
3) L'organisation a-t-elle donné la priorité à la création d'un inventaire de tous les systèmes comportant des versions vulnérables d'OpenSSL ? |
Veuillez choisir l'une des options suivantes : a) Oui, un inventaire a été créé pour tous les systèmes qui utilisent la version 3 ou une version ultérieure. b) Aucun inventaire n'a été identifié pour les systèmes qui utilisent la version 3 ou ultérieure. |
4) L'organisation a-t-elle téléchargé et installé le dernier patch 3.0.7 publié par OpenSSL ? Texte d'aide : Le projet Open SSL a annoncé la publication de la version 3.0.7 d'Open SSL le 1er novembre 2022, qui corrige la vulnérabilité affectant les versions 3.0.1 à 3.0.6. |
Veuillez choisir l'une des options suivantes : a) Oui, le correctif 3.0.7 a été installé et appliqué à tous les systèmes utilisant la version 3.0.1 ou ultérieure. b) Non, le correctif 3.0.7 n'a pas été installé et appliqué à tous les systèmes utilisant la version 3.0.1 ou ultérieure. |
5) L'organisation a-t-elle déterminé, sur la base de l'utilisation d'OpenSSL v.3.0.1 ou d'une version ultérieure, le niveau d'impact sur les systèmes et applications critiques ? Texte d'aide : Il faut tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau de l'impact. a) Impact significatif : La vulnérabilité a provoqué une perte de confidentialité ou d'intégrité des données. b) Impact élevé : La disponibilité du système a été périodiquement perdue, et une certaine perte de confidentialité ou d'intégrité des données. c) Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du système. |
Veuillez choisir l'une des options suivantes : a) Il y a eu un impact significatif sur nos systèmes ou applications critiques. b) Il existe un niveau élevé d'impact sur nos systèmes ou applications critiques. c) L'impact sur nos systèmes ou applications critiques a été faible. d) L'attaque de cyber n'a pas eu d'impact sur nos systèmes ou applications critiques. |
6) Qui est désigné comme point de contact pouvant répondre à des questions supplémentaires ? |
Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité. Nom : Titre : Courriel : Téléphone : |
7) L'organisation a-t-elle vérifié auprès de tiers s'ils utilisent OpenSSL v.3.0.1 ou une version ultérieure ? Si tel est le cas, des plans sont-ils en place pour remédier à la vulnérabilité ? |
Veuillez choisir l'une des options suivantes : a) Oui, l'organisation a identifié nos tiers qui utilisent la version 3.0.1 ou une version ultérieure, et ils ont mis en œuvre les derniers correctifs. b) L'organisation a identifié ses tiers utilisant la version 3.0.1 ou une version ultérieure, mais aucun plan n'est actuellement en place pour remédier à cette vulnérabilité. c) Non, l'organisation n'a pas identifié nos tiers qui utilisent la version 3.0.1 ou ultérieure. |
L'annonce d'un incident de sécurité à fort impact n'est pas le bon moment pour s'assurer que votre organisation a mis en place un plan de réponse aux incidents de tiers. Commencez plutôt à vous préparer au prochain incident en élaborant dès maintenant une approche proactive. Voici quatre bonnes pratiques à prendre en compte :
L'inventaire de vos fournisseurs doit être effectué sur une plateforme centralisée - et non sur des feuilles de calcul - afin que plusieurs équipes internes puissent participer à la gestion des fournisseurs, et que le processus puisse être automatisé pour le bénéfice de tous. Ensuite, effectuez un scoring des risques inhérents pour vous aider à déterminer comment évaluer vos fournisseurs tiers de manière continue en fonction des risques qu'ils représentent pour votre entreprise.
La collecte des technologies de quatrième partie déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire permet d'identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies et vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Vous pouvez y parvenir par une évaluation ciblée ou par un balayage passif.
Engager de manière proactive les fournisseurs concernés par des évaluations simples et ciblées qui s'alignent sur les normes de sécurité de la chaîne d'approvisionnement connues du secteur, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les failles de sécurité potentielles. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler plus rapidement ces lacunes.
Une vigilance permanente à l'égard de la prochaine attaque implique de rechercher les signaux d'un incident de sécurité imminent. Surveillez
les forums criminels, les pages oignons, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les dépôts de code et les bases de données de vulnérabilités et de piratages sont essentiels. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations en une seule solution, afin que tous les risques soient centralisés et visibles pour l'entreprise.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Pour en savoir plus sur la façon dont Prevalent peut simplifier et accélérer la découverte et la réponse aux incidents de tiers cyber , téléchargez notre guide des meilleures pratiques. Ou contactez-nous pour planifier une évaluation de la maturité ou une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024