Consulter les vulnérabilités
Les vulnérabilités sont des défauts de maîtrise d’un actif (informatique) qui le rendent vulnérable à une menace et peuvent conduire à un défaut de confidentialité, d’intégrité ou de disponibilité de cet actif.
Elles peuvent être importées à partir de bases de données nationales ou d’outils de gestion des vulnérabilités.
Accéder aux vulnérabilités
Pour accéder aux vulnérabilités :
2. A partir de la page des inventaires, cliquez sur Menaces et vulnérabilités > Toutes les vulnérabilités.
Vous pouvez également accéder aux vulnérabilités par type de vulnérabilité. Voir
"Source".
Créer un type de vulnérabilité
Pour créer un type de vulnérabilité:
1. A partir de la page des inventaires cliquez sur Menaces et vulnérabilités > Vulnérabilités par type de vulnérabilité.
2. Faites un clic droit sur la racine de l’arborescence "Vulnérabilités" et sélectionnez Nouveau > Type de vulnérabilité.
Le type de vulnérabilité apparaît dans l’arborescence.
Caractéristiques des vulnérabilités
Menace
Il s’agit de la menace qui exploite potentiellement la vulnérabilité.
Une vulnérabilité ne peut relever que d’une seule menace.
Type de vulnérabilité
Les types de vulnérabilité regroupent les vulnérabilités en différentes catégories (ex: Logicielle, Organisationnelle, Site (géographique), etc.).
Date de publication initiale
La date de publication est la date à laquelle une vulnérabilité a été décrite pour la première fois.
Cette caractéristique est facultative. Elle peut être utile en cas d’import depuis une source tierce.
Dernière date de modification
La dernière date de modification est la date à laquelle la vulnérabilité a été modifiée.
Cette caractéristique est facultative. Elle peut être utile en cas d’import depuis une source tierce.
Source
Les vulnérabilités sont rendues disponibles et régulièrement mises à jour par des organismes nationaux ou de normalisation, par exemple :
• NIST (National Institute of Standards and Technology)
• CVE (Common Vulnerabilities and Exposures)
• ISO (ISO 27000)
Statut
• Potentiel
• Détecté
• Traité
• Fermé
Score de vulnérabilité
• Faible
• Moyen
• Élevé
Périmètre des vulnérabilités
Le périmètre des vulnérabilités se compose de deux sections :
• actifs
• actifs déployés
En pratique, l’un ou l’autre des liens sont utilisés, selon l’inventaire disponible (types ou déploiements)
Actifs informatiques vulnérables
• Applications
Une application métier est un ensemble de composants logiciels qui constituent un tout cohérent au regard des développements informatiques et des fonctionnalités fournies aux utilisateurs.
• Technologie logicielles
Une technologie logicielle est un composant de base nécessaire au fonctionnement des applications métiers.
Actifs informatiques déployés vulnérables
• Installation logicielle
Une installation logicielle représente le déploiement d’une application en vue de son utilisation sur un site donné.
• Technologie déployée
Une technologie logicielle est un composant de base nécessaire au fonctionnement des applications métiers.
Evaluation CVSS
Common Vulnerability Scoring System est (CVSS) est un système d'évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables.
CVSS est une notation édictée par le NIST (National Institue of Standards and Technology) aux USA et est un standard de fait.
Ces données sont à importer à partir d’outils tiers et ne sont pas saisies dans
HOPEX IT Risk Management.
Exemples de données
Rapports concernant les vulnérabilités
