Vulnérabilités zero-day : comment se préparer à l’inattendu ?

Par Dan Raywood • 21 Janvier 2025

Les avertissements des agences mondiales de cybersécurité ont montré que les vulnérabilités sont souvent exploitées sous forme de zero-day. Face à une attaque aussi imprévisible, comment être sûr de disposer d'un niveau de protection adéquat et de savoir si les cadres existants sont suffisants ?

Comprendre la menace zero-day

Cela fait presque dix ans que le conférencier et chercheur en cybersécurité « The Grugq » A déclaré« Donnez à un homme un zero-day et il y aura accès pendant une journée ; apprenez à un homme à hameçonner et il y aura accès à vie. »

Cette ligne est arrivée au milieu d'une décennie qui avait commencé avec la Virus Stuxnet et a utilisé plusieurs vulnérabilités zero-day. Cela a conduit à la crainte de ces vulnérabilités inconnues, que les attaquants utilisent pour une attaque ponctuelle sur l'infrastructure ou le logiciel et pour laquelle la préparation était apparemment impossible.

Une vulnérabilité zero-day est une vulnérabilité pour laquelle aucun correctif n'est disponible et, souvent, le fournisseur du logiciel n'est pas au courant de la faille. Cependant, une fois utilisée, la faille est connue et peut être corrigée, ce qui donne à l'attaquant une seule chance de l'exploiter.

L'évolution des attaques zero-day

Alors que la sophistication des attaques a diminué à la fin des années 2010 et que les ransomwares, les attaques de vol d'identifiants et les tentatives de phishing ont été utilisés plus fréquemment, on peut avoir l'impression que l'ère du zero-day est révolue.

Cependant, ce n'est pas le moment de négliger les vulnérabilités zero-day. Les statistiques montrent que 97 vulnérabilités zero-day ont été exploitées dans la nature en 2023, soit plus de 50 % de plus qu'en 2022. C'était le moment idéal pour les agences nationales de cybersécurité de émettre un avertissement à propos des zero-day exploités.

En novembre, le Centre national de cybersécurité du Royaume-Uni (NCSC) – en collaboration avec des agences d'Australie, du Canada, de Nouvelle-Zélande et des États-Unis – a partagé une liste des 15 vulnérabilités les plus fréquemment exploitées en 2023.

Pourquoi les vulnérabilités zero-day sont toujours importantes

En 2023, la majorité de ces vulnérabilités ont été initialement exploitées comme des zero-days, soit une augmentation significative par rapport à 2022, lorsque moins de la moitié des principales vulnérabilités ont été exploitées précocement.

Stefan Tanase, expert en cyber-renseignement au CSIS, déclare : « Les zero-days ne sont plus seulement des outils d’espionnage ; ils alimentent la cybercriminalité à grande échelle. » Il cite l’exploitation des zero-days dans Solutions de transfert de fichiers Cleo par le gang de ransomware Clop pour pénétrer dans les réseaux d'entreprise et voler des données, comme l'un des exemples les plus récents.

Que peuvent faire les organisations pour se protéger contre les zero-days ?

Nous savons donc quel est le problème. Comment le résoudre ? L’avis du NCSC encourage vivement les défenseurs des réseaux d’entreprise à maintenir la vigilance dans leurs processus de gestion des vulnérabilités, notamment en appliquant rapidement toutes les mises à jour de sécurité et en s’assurant d’avoir identifié tous les actifs de leur parc.

Ollie Whitehouse, directeur technique du NCSC, a déclaré que pour réduire le risque de compromission, les organisations doivent « rester à l'avant-garde » en appliquant rapidement les correctifs, en insistant sur des produits sécurisés dès la conception et en étant vigilantes en matière de gestion des vulnérabilités.

Par conséquent, pour se défendre contre une attaque utilisant une vulnérabilité zero-day, il faut un cadre de gouvernance fiable qui combine ces facteurs de protection. Si vous avez confiance en votre posture de gestion des risques, pouvez-vous être sûr de survivre à une telle attaque ?

Le rôle de la norme ISO 27001 dans la lutte contre les risques zero-day

La norme ISO 27001 offre la possibilité de garantir votre niveau de sécurité et de résilience. L'annexe A. 12.6, « Gestion des vulnérabilités techniques », stipule que les informations sur les vulnérabilités technologiques des systèmes d'information utilisés doivent être obtenues rapidement pour évaluer l'exposition de l'organisation aux risques liés à ces vulnérabilités. L'entreprise doit également prendre des mesures pour atténuer ce risque.

Bien que la norme ISO 27001 ne puisse pas prédire l’utilisation des vulnérabilités zero-day ou empêcher une attaque les utilisant, Tanase affirme que son approche globale de la gestion des risques et de la préparation à la sécurité permet aux organisations de mieux résister aux défis posés par ces menaces inconnues.

Comment la norme ISO 27001 contribue à renforcer la cyber-résilience

La norme ISO 27001 vous donne les bases de la gestion des risques et des processus de sécurité qui devraient vous préparer aux attaques les plus graves. Andrew Rose, ancien RSSI et analyste, aujourd'hui responsable de la sécurité chez SoSafe, a mis en œuvre la norme 27001 dans trois organisations et déclare : « Elle ne garantit pas que vous êtes en sécurité, mais elle garantit que vous disposez des processus adéquats pour assurer votre sécurité. »

En l’appelant « un moteur d’amélioration continue », Rose explique qu’il fonctionne en boucle : vous recherchez les vulnérabilités, recueillez des renseignements sur les menaces, les inscrivez dans un registre des risques et utilisez ce registre pour créer un plan d’amélioration de la sécurité. Ensuite, vous transmettez ces informations aux dirigeants et prenez des mesures pour corriger les problèmes ou accepter les risques.

« Il met en place toute la bonne gouvernance dont vous avez besoin pour assurer votre sécurité ou obtenir des contrôles, ainsi que l'évaluation et l'analyse des risques. Tous ces éléments sont en place, c'est donc un excellent modèle à mettre en place », a-t-il déclaré.

Suivre les directives de la norme ISO 27001 et travailler avec un auditeur tel qu'ISMS pour garantir que les lacunes sont comblées et que vos processus sont solides est le meilleur moyen de garantir que vous êtes le mieux préparé.

Préparez votre organisation à la prochaine attaque zero-day

Christian Toon, fondateur et principal stratège en sécurité chez Alvearium Associates, a déclaré que la norme ISO 27001 est un cadre pour construire votre système de gestion de la sécurité, en l'utilisant comme guide.

« Vous pouvez vous aligner sur la norme et faire et choisir les éléments que vous souhaitez faire », a-t-il déclaré. « Il s'agit de définir ce qui convient à votre entreprise dans le cadre de cette norme. »

Existe-t-il un élément de conformité à la norme ISO 27001 qui puisse aider à gérer les zero-days ? Toon affirme que la défense contre une faille zero-day exploitée relève du hasard. Cependant, une étape doit impliquer que l'organisation soit derrière l'initiative de conformité.

Il dit que si une entreprise n'a jamais eu de gros problèmes de cybersécurité dans le passé et que « les plus gros problèmes que vous avez probablement eu sont quelques prises de contrôle de comptes », alors se préparer à un élément « important » - comme la correction d'une faille zero-day - fera comprendre à l'entreprise qu'elle doit faire plus.

Selon Toon, cela incite les entreprises à investir davantage dans la conformité et la résilience, et des cadres tels que la norme ISO 27001 font partie des « organisations qui assument le risque ». Il ajoute : « Elles sont très heureuses de voir cela comme une question de conformité de bas niveau », ce qui se traduit par des investissements.

Tanase a déclaré qu'une partie de la norme ISO 27001 exige que les organisations effectuent des évaluations régulières des risques, notamment en identifiant les vulnérabilités, même celles inconnues ou émergentes, et en mettant en œuvre des contrôles pour réduire l'exposition.

« La norme impose des plans de réponse aux incidents et de continuité des activités robustes », a-t-il déclaré. « Ces processus garantissent que si une vulnérabilité zero-day est exploitée, l'organisation peut réagir rapidement, contenir l'attaque et minimiser les dommages. »

La norme ISO 27001 contient des conseils pour garantir qu'une entreprise soit proactive. La meilleure mesure à prendre est d'être prêt à faire face à un incident, de savoir quels logiciels sont exécutés et où, et d'avoir une bonne maîtrise de la gouvernance.

Dan Raywood

Dan Raywood écrit sur la sécurité informatique depuis 2008 et est un ancien analyste de la pratique de sécurité de l'information chez 451 Research. Il a pris la parole lors de salons tels que 44CON, SecuriTay, SteelCon, Irisscon et Infosecurity Europe, et a également écrit pour un certain nombre de blogs de fournisseurs et présenté des émissions sur le Web.

Lire la suite de Dan Raywood

La cyber-sécurité 30 septembre 2025

La violation de Grok créera-t-elle des problèmes de sécurité généraux ? Bannière

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Un incident récent a soulevé des inquiétudes quant à la gestion des données par les outils GenAI. Est-il temps de vous assurer que vos données ne finissent pas dans leurs bases de données ?

Dan Raywood

La cyber-sécurité 29 mai 2025

Le cadre de cybersécurité et de confidentialité du NIST fait peau neuve

Cybersécurité et confidentialité : le cadre du NIST fait peau neuve

Le NIST a récemment annoncé son intention de moderniser son cadre de protection de la vie privée pour en faire une offre plus organique et moins statique. Cela profite-t-il aux praticiens ?

Dan Raywood

Confidentialité des données 8 Août 2024

la négociation est-elle votre meilleure stratégie en matière de bannière de ransomware

La négociation est-elle votre meilleure stratégie en matière de ransomware ?

Plutôt que de simplement payer pour vous sortir d'une situation délicate liée à un rançongiciel, pourriez-vous négocier votre sortie en suivant les étapes et les compétences appropriées ? Dan Raywoo…

Dan Raywood