Retour d’expérience sur les campagnes de signalement de vulnérabilités

 Retour d’expérience sur les campagnes de signalement de vulnérabilités

 

محتويات التنبيه:

1. – جدول معلومات
2. – المخاطر
3. – الأنظمة المثأثرة
4. – ملخص حول الثغرة
5. – الحلول
6. – المصادر

معلومات :

المرجع	CERTFR-2021-ACT-022
العنوان	Retour d’expérience sur les campagnes de signalement de vulnérabilités
تاريخ الاصدار الأول	28 mai 2021
تاريخ أخر تحديث	28 mai 2021
المصادر
المرفقات	Aucune(s)

المخاطر:

• les informations d’enregistrement des noms de domaine doivent être maintenues à jour auprès du registraire ;
• les certificats x509 utilisés doivent mentionner les bonnes informations concernant le propriétaire (il est déconseillé d’utiliser des certificats auto-signés tout comme les certificats proposés par défaut lors de l’installation du logiciel ou du matériel) ;
• les adresses de contact doivent être consultées régulièrement par leurs propriétaires ;
• le destinataire doit être à même de juger de l’importance de la communication.

الأنظمة المثأثرة:

• Les entités ayant mis en place un système de gestion de la sécurité (équipe opérationnelle de sécurité, CSIRT, …) prennent en compte le signalement en fonction de leur propre analyse de risques. Lorsque le signalement concerne des équipements exposés sur Internet, le plan d’actions est rapidement défini et est même parfois déjà en cours pour les équipes les plus réactives.
• Les entités ayant sous-traité l’infogérance et la gestion de la sécurité de ses systèmes informatiques sont fortement tributaires des prestations souscrites. Dans bien des cas, les clauses établissant les prestations de maintien en condition de sécurité ne sont pas suffisamment claires et le plan d’actions est difficile à mettre en œuvre.

ملخص الثغرة:

L’ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d’information, effectue régulièrement des campagnes de signalement auprès des entités exposant un équipement vulnérable sur Internet dans le but de les aider à se prémunir d’une possible exploitation par un attaquant.

الحلول من هده الثغرة:

Ces campagnes sont lancées lorsqu’une vulnérabilité est considérée comme critique, lorsqu’elle affecte un produit particulièrement répandu ou encore lorsqu’une exploitation est imminente voire déjà en cours.
Afin d’identifier les équipements vulnérables sur son périmètre, l’ANSSI peut s’appuyer sur ses partenaires ainsi que sur des informations communiquées par des chercheurs en sécurité, grâce notamment aux dispositions de l’article 47 de la loi pour une république numérique n°2016-1321 du 7 octobre 2016 [1].

المصادر:

• [1] https://www.ssi.gouv.fr/en-cas-dincident/vous-souhaitez-declarer-une-faille-de-securite-ou-une-vulnerabilite/
• [2] https://www.ssi.gouv.fr/entreprise/principales-menaces/exposition-menace/