Vulnérabilité d'Open SSL : comment déterminer l'exposition au risque de votre tierce partie ?

Utilisez cette évaluation gratuite en sept questions pour découvrir les risques auxquels votre organisation est exposée du fait de l'exposition des fournisseurs tiers à la vulnérabilité Open SSL. Ensuite, suivez nos quatre meilleures pratiques pour améliorer la réponse aux incidents impliquant des tiers.
Par :
Alastair Parr
,
Vice-président principal, Produits et services mondiaux
04 novembre 2022
Partager :
Blogue vulnérabilité ssl 1122

Le projet Open SSL a récemment annoncé deux failles de haute gravité dans leur bibliothèque cryptographique open-source utilisée pour chiffrer les canaux de communication et les connexions HTTPS. Si elles ne sont pas corrigées, ces failles peuvent entraîner des débordements de tampon de pile ou l'exécution de code à distance. Les vulnérabilités s'appliquent aux versions 3.0.1-3.0.6 d'Open SSL. En réponse, le projet Open SSL a publié la version 3.0.7 pour corriger les failles de sécurité et a déclaré ne pas avoir connaissance d'une exploitation active de ces vulnérabilités à l'heure actuelle.

Évaluation gratuite visant à déterminer l'exposition de votre organisation à la vulnérabilité Open SSL chez les fournisseurs et vendeurs tiers

Malgré l'assurance donnée par le projet Open SSL, il est essentiel de déterminer l'étendue de l'utilisation d'Open SSL 3.0.1-3.0.6 dans votre base de fournisseurs et de vendeurs tiers afin que votre organisation puisse quantifier son exposition et développer les plans d'atténuation appropriés. Pour vous aider, Prevalent a créé une évaluation en sept questions que nous mettons gratuitement à la disposition de la communauté de la sécurité. L'utilisation de cette évaluation vous permettra de

  • Déterminer l'utilisation de la version Open SSL du champ d'application.
  • Révéler les plans des tiers pour l'inventaire des systèmes à risque
  • Identifier la priorité des correctifs et le point de contact
  • Clarifier l'impact commercial
  • Exposer les utilisations et les risques des quatrième et neuvième parties.

Note aux clients de Prevalent : Cette évaluation est maintenant disponible dans votre bibliothèque de questionnaires.

Questions Choix de réponses

1) L'organisation utilise-t-elle OpenSSL pour sa gestion des clés cryptographiques ?

Texte d'aide : OpenSSL est la principale bibliothèque open-source qui met en œuvre les protocoles SSL et TLS, permettant de communiquer de manière sécurisée sur Internet.

Veuillez choisir l'une des options suivantes :

a) Oui, OpenSSL est utilisé pour la gestion des clés cryptographiques.

b) Non, OpenSSL n'est pas utilisé pour la gestion des clés cryptographiques.

2) Quelles versions d'OpenSSL l'organisation utilise-t-elle ?

Texte d'aide : OpenSSL a fourni une notification concernant une vulnérabilité affectant les versions 3.0.1 à 3.0.6 de sa bibliothèque logicielle OpenSSL.

Veuillez choisir l'une des options suivantes :

a) L'organisation utilise OpenSSL version 1.1.1 ou antérieure.

b) L'organisation utilise une combinaison d'OpenSSL version 1.1.1 ou antérieure, et version 3.0.1 ou ultérieure.

c) L'organisation utilise OpenSSL version 3.0.1 ou ultérieure.

3) L'organisation a-t-elle donné la priorité à la création d'un inventaire de tous les systèmes comportant des versions vulnérables d'OpenSSL ?

Veuillez choisir l'une des options suivantes :

a) Oui, un inventaire a été créé pour tous les systèmes qui utilisent la version 3 ou une version ultérieure.

b) Aucun inventaire n'a été identifié pour les systèmes qui utilisent la version 3 ou ultérieure.

4) L'organisation a-t-elle téléchargé et installé le dernier patch 3.0.7 publié par OpenSSL ?

Texte d'aide : Le projet Open SSL a annoncé la publication de la version 3.0.7 d'Open SSL le 1er novembre 2022, qui corrige la vulnérabilité affectant les versions 3.0.1 à 3.0.6.

Veuillez choisir l'une des options suivantes :

a) Oui, le correctif 3.0.7 a été installé et appliqué à tous les systèmes utilisant la version 3.0.1 ou ultérieure.

b) Non, le correctif 3.0.7 n'a pas été installé et appliqué à tous les systèmes utilisant la version 3.0.1 ou ultérieure.

5) L'organisation a-t-elle déterminé, sur la base de l'utilisation d'OpenSSL v.3.0.1 ou d'une version ultérieure, le niveau d'impact sur les systèmes et applications critiques ?

Texte d'aide : Il faut tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau de l'impact.

a) Impact significatif : La vulnérabilité a provoqué une perte de confidentialité ou d'intégrité des données.

b) Impact élevé : La disponibilité du système a été périodiquement perdue, et une certaine perte de confidentialité ou d'intégrité des données.

c) Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du système.

Veuillez choisir l'une des options suivantes :

a) Il y a eu un impact significatif sur nos systèmes ou applications critiques.

b) Il existe un niveau élevé d'impact sur nos systèmes ou applications critiques.

c) L'impact sur nos systèmes ou applications critiques a été faible.

d) L'attaque de cyber n'a pas eu d'impact sur nos systèmes ou applications critiques.

6) Qui est désigné comme point de contact pouvant répondre à des questions supplémentaires ?

Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité.

Nom :

Titre :

Courriel :

Téléphone :

7) L'organisation a-t-elle vérifié auprès de tiers s'ils utilisent OpenSSL v.3.0.1 ou une version ultérieure ? Si tel est le cas, des plans sont-ils en place pour remédier à la vulnérabilité ?

Veuillez choisir l'une des options suivantes :

a) Oui, l'organisation a identifié nos tiers qui utilisent la version 3.0.1 ou une version ultérieure, et ils ont mis en œuvre les derniers correctifs.

b) L'organisation a identifié ses tiers utilisant la version 3.0.1 ou une version ultérieure, mais aucun plan n'est actuellement en place pour remédier à cette vulnérabilité.

c) Non, l'organisation n'a pas identifié nos tiers qui utilisent la version 3.0.1 ou ultérieure.

Quatre meilleures pratiques pour une réponse proactive aux incidents impliquant des tiers

L'annonce d'un incident de sécurité à fort impact n'est pas le bon moment pour s'assurer que votre organisation a mis en place un plan de réponse aux incidents de tiers. Commencez plutôt à vous préparer au prochain incident en élaborant dès maintenant une approche proactive. Voici quatre bonnes pratiques à prendre en compte :

1. Établir un inventaire centralisé de tous les tiers

L'inventaire de vos fournisseurs doit être effectué sur une plateforme centralisée - et non sur des feuilles de calcul - afin que plusieurs équipes internes puissent participer à la gestion des fournisseurs, et que le processus puisse être automatisé pour le bénéfice de tous. Ensuite, effectuez un scoring des risques inhérents pour vous aider à déterminer comment évaluer vos fournisseurs tiers de manière continue en fonction des risques qu'ils représentent pour votre entreprise.

2. Établir une carte des tiers pour déterminer le risque de concentration technologique

La collecte des technologies de quatrième partie déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire permet d'identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies et vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Vous pouvez y parvenir par une évaluation ciblée ou par un balayage passif.

3. Évaluer les plans de résilience et de continuité des activités des tiers.

Engager de manière proactive les fournisseurs concernés par des évaluations simples et ciblées qui s'alignent sur les normes de sécurité de la chaîne d'approvisionnement connues du secteur, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les failles de sécurité potentielles. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler plus rapidement ces lacunes.

4. Surveiller en permanence les vendeurs et fournisseurs concernés pour détecter les attaques de cyber.

Une vigilance permanente à l'égard de la prochaine attaque implique de rechercher les signaux d'un incident de sécurité imminent. Surveillez les forums criminels, les pages oignons, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les dépôts de code et les bases de données de vulnérabilités et de piratages sont essentiels. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations en une seule solution, afin que tous les risques soient centralisés et visibles pour l'entreprise.

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Étapes suivantes : Utilisez l'évaluation et mesurez votre programme de réponse aux incidents impliquant des tiers.

Pour en savoir plus sur la façon dont Prevalent peut simplifier et accélérer la découverte et la réponse aux incidents de tiers cyber , téléchargez notre guide des meilleures pratiques. Ou contactez-nous pour planifier une évaluation de la maturité ou une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership alastair parr
Alastair Parr
Vice-président principal, Produits et services mondiaux

Alastair Parr est chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille Prevalent . Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il est issu du monde de la gouvernance, du risque et de la conformité, et a développé et mis en œuvre des solutions dans le domaine toujours plus complexe de la gestion des risques. Il apporte plus de 15 ans d'expérience dans la gestion de produits, le conseil et les livrables opérationnels.

Plus tôt dans sa carrière, il a occupé le poste de directeur des opérations pour un fournisseur mondial de services gérés, InteliSecure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour les clients. Alastair est titulaire d'un diplôme universitaire en politique et relations internationales, ainsi que de plusieurs certifications en sécurité de l'information.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo