Indicateurs de gestion des vulnérabilités : 20 KPI clés à suivre

Le nombre croissant de risques liés à la sécurité représente une menace importante pour les organisations. Par exemple, 37 902 nouvelles vulnérabilités CVE ont été signalées l'année dernière. C'est pourquoi des mesures structurées et des indicateurs de gestion des vulnérabilités sont nécessaires pour faire face à ces menaces et évaluer le niveau de préparation en matière de sécurité. Si les outils d'analyse peuvent aider à détecter les vulnérabilités, les équipes ont besoin d'informations spécifiques pour comprendre la gravité du problème. A enquête a montré que seuls 14 % des participants ont identifié la source d'une violation comme étant des menaces externes telles que des pirates informatiques ou d'autres organisations compromises. Cette statistique souligne l'importance d'une approche de la sécurité basée sur des indicateurs.

Ces indicateurs garantissent que toutes les vulnérabilités, qu'elles soient nombreuses ou peu nombreuses, sont mesurées et qu'il n'y a pas d'écart significatif dans la mesure du risque. Dans cet article, nous aborderons les concepts de base des indicateurs de reporting en matière de gestion des vulnérabilités et la manière dont ils peuvent être utilisés pour éclairer la prise de décision stratégique.

Que sont les indicateurs de gestion des vulnérabilités ?

Les indicateurs de gestion des vulnérabilités sont des indicateurs mesurables de l'efficacité avec laquelle une organisation détecte, hiérarchise et corrige les failles de sécurité. Elles traduisent les données brutes issues des analyses en chiffres significatifs (par exemple, temps moyen de correction, probabilité d'exploitation) afin d'aider les responsables de la sécurité à déterminer dans quelle mesure les activités de correction sont conformes aux objectifs de gestion des vulnérabilités. Ces indicateurs vont au-delà des simples scores de gravité et prennent en compte des facteurs concrets tels que l'impact sur l'activité ou renseignements sur les menaces. Avec la croissance des réseaux, l'augmentation du nombre de conteneurs et l'expansion des chaînes d'approvisionnement numériques, les indicateurs fournissent un point de référence cohérent pour mesurer les progrès et identifier les lacunes. Ces chiffres peuvent également être suivis à des fins de responsabilisation, d'orientation de l'allocation des ressources et d'amélioration continue. En fin de compte, les bons indicateurs permettent au personnel technique et aux dirigeants de s'accorder sur une compréhension commune des risques et des mesures correctives.

Importance des indicateurs de gestion des vulnérabilités

Gartner prévoit que d'ici la fin de l'année, 45 % des organisations dans le monde pourraient être victimes d'une intrusion dans leur chaîne d'approvisionnement. Ces tendances soulignent l'importance d'adopter une approche transparente et axée sur les données pour l'analyse et l'application de correctifs. Les indicateurs de gestion des vulnérabilités offrent aux équipes un regard objectif sur la rapidité et l'efficacité avec lesquelles elles traitent les menaces. Ci-dessous, nous présentons cinq raisons pour lesquelles ces mesures restent un élément central de la sécurité des entreprises :

1. Orientation des décisions stratégiques : Les indicateurs fournissent des preuves quantifiables des succès ou des problèmes. Un temps moyen de correction élevé, par exemple, peut indiquer que le processus de correction doit être repensé. En comparant les indicateurs clés de gestion des vulnérabilités d'un trimestre à l'autre, les dirigeants peuvent justifier l'augmentation des effectifs, l'adoption de nouvelles solutions d'analyse ou la révision des processus. Les décisions fondées sur les données éliminent les conjectures et garantissent que les mises à niveau de sécurité répondent réellement aux problèmes existants.
2. Aligner les équipes sur les priorités : Le personnel DevOps, les équipes de sécurité et les dirigeants parlent souvent des " langages " différents. Ils sont unifiés par des indicateurs qui définissent des objectifs communs, tels que la réduction du délai moyen de correction de 30 à 10 jours. Cela crée une responsabilité : chaque groupe peut voir comment son rôle influe sur l'indicateur global. En se concentrant sur les mêmes mesures au fil du temps, cette synergie permet un déploiement plus fluide des correctifs et réduit le nombre de failles critiques non corrigées.
3. Mettre en avant le retour sur investissement des investissements en matière de sécurité : L'acquisition de nouveaux outils d'automatisation de la gestion des vulnérabilités ou l'extension de l'analyse à d'autres réseaux peut s'avérer coûteuse. Les équipes peuvent vérifier la valeur de l'investissement en démontrant comment ces changements réduisent les fenêtres d'exploitation moyennes ou déciment le volume des vulnérabilités critiques en suspens. Un argument commercial plus solide en faveur de nouvelles expansions est également étayé par des mesures montrant une fréquence moindre des violations ou une réponse plus rapide aux incidents. En bref, les données mettent en évidence le lien entre les dépenses et l'amélioration de la sécurité dans le monde réel.
4. Suivi des tendances à long terme : Un simple instantané permet rarement de déterminer l'efficacité d'une stratégie de mesures de gestion des vulnérabilités sur plusieurs mois ou années. Une perspective historique est fournie par le suivi de points de données tels que les vulnérabilités nouvellement introduites, le délai de correction ou les taux de conformité des correctifs sur différents intervalles. Lorsque les mêmes vulnérabilités réapparaissent, les mesures indiquent les causes profondes, telles que les erreurs DevOps ou les configurations incorrectes répétées. Cette prise de conscience cyclique ouvre la voie à des améliorations itératives.
5. Répondre aux attentes des régulateurs et des auditeurs : De nombreuses réglementations exigent la preuve que les vulnérabilités découvertes ne sont pas laissées sans solution. La conformité est démontrée à l'aide de mesures détaillées, telles que le ratio entre les failles corrigées et non corrigées ou le temps nécessaire pour résoudre les problèmes critiques. Ces journaux peuvent être vérifiés par les auditeurs afin de s'assurer que l'organisation respecte les délais imposés pour l'application des correctifs. Ce processus permet de faciliter les audits, de réduire le risque d'amendes et d'accroître la confiance dans la posture de sécurité de l'organisation.

Indicateurs de gestion des vulnérabilités : les 20 principaux KPI

En matière d'opérations de sécurité quotidiennes, se concentrer sur quelques KPI stratégiques peut multiplier par dix la rapidité et l'efficacité avec lesquelles vos équipes peuvent remédier aux faiblesses. Nous présentons ci-dessous 20 indicateurs de vulnérabilité qui figurent couramment dans les tableaux de bord des entreprises. Chacun d'entre eux reflète une dimension différente, telle que la vitesse de détection, la vitesse d'application des correctifs ou la faisabilité des exploits, qui est essentielle pour développer des processus robustes. Tous les indicateurs clés de performance ne conviennent pas à toutes les entreprises, mais leur évaluation peut vous aider à déterminer quels chiffres représentent le mieux la situation de votre organisation.

1. Temps moyen de détection (MTTD) : Le MTTD mesure la rapidité avec laquelle votre équipe peut réagir aux vulnérabilités nouvellement découvertes, depuis leur divulgation ou leur création jusqu'à leur première détection. Plus le MTTD est faible, plus vos analyses ou votre fonction de veille sur les menaces sont efficaces. Les attaquants peuvent exploiter les failles avant même que vous ne vous rendiez compte du problème, grâce à des délais de détection plus longs. Les mesures de réponse aux incidents sont souvent associées au MTTD, reliant les résultats des analyses à la détection en temps réel. Les organisations réduisent la fenêtre pendant laquelle les problèmes non corrigés restent invisibles en réduisant le MTTD.
2. Temps moyen de correction (MTTR) : Le MTTR mesure le temps nécessaire entre la détection d'une vulnérabilité et sa correction ou son patch. Un MTTR faible signifie que votre pipeline de correctifs est efficace, que vos approbations sont rapides et que vous disposez d'un bon calendrier de déploiement. Les contraintes de test, le personnel limité ou les dépendances de code complexes peuvent entraîner des retards importants. En analysant le MTTR, vous pouvez identifier les goulots d'étranglement dans le cycle de correction et mettre en œuvre des solutions telles que l'automatisation partielle ou la restructuration des intervalles de correctifs. À mesure que le MTTR s'améliore au fil du temps, cela tend à réduire le nombre d'exploits réussis.
3. Taux de détection des vulnérabilités : Le taux de détection est la proportion de failles potentielles détectées par analyse ou examen manuel. Un taux de détection élevé indique une bonne couverture des réseaux, des serveurs ou des conteneurs. La recherche de points aveugles ou de configurations qui empêchent des vérifications approfondies indique que certaines failles ont été négligées. Lorsqu'elle est appliquée dans des environnements conteneurisés, l'analyse des vulnérabilités des conteneurs peut être combinée à des méthodes standard pour améliorer la détection globale. La documentation du taux de détection permet d'affiner les outils ou les intervalles d'analyse afin de minimiser les erreurs.
4. Score d'exploitabilité : Une mesure d'exploitabilité est une mesure de la disponibilité des exploits ou de l'intérêt des attaquants, car toutes les vulnérabilités ne sont pas activement exploitées dans la nature. Les failles graves peuvent ne pas avoir d'exploit connu, tandis que les failles modérées peuvent apparaître dans des kits d'exploits populaires. Cela permet une hiérarchisation plus précise basée sur les risques en combinant la gravité et le potentiel d'exploitation. Le suivi du nombre de failles " hautement exploitables " permet aux responsables de la sécurité d'orienter les ressources vers les problèmes que les criminels sont le plus susceptibles d'exploiter.
5. Taux de conformité des correctifs : Cet indicateur de performance clé est calculé en mesurant le nombre de problèmes découverts qui ont été corrigés dans un délai déterminé. Par exemple, quel pourcentage de toutes les vulnérabilités critiques découvertes au cours d'un mois ont été corrigées dans les 15 jours suivants ? Un cycle de correctifs agile se caractérise par un taux de conformité élevé. Des taux faibles révèlent des obstacles dans les processus ou des frictions entre les services. Au fil du temps, la corrélation entre les taux de conformité et la fréquence des incidents peut démontrer comment l'application rapide de correctifs atténue les attaques dans le monde réel.
6. Nombre de vulnérabilités ouvertes : Une partie des failles identifiées reste non résolue à un moment donné. En suivant ce nombre brut ou la tendance au fil du temps, nous pouvons voir si le retard s'amenuise ou s'accroît. Après des analyses importantes ou de nouveaux déploiements, des fluctuations importantes peuvent se produire. De plus, ce nombre est lié à la logique qui sous-tend la gestion des vulnérabilités, car une évaluation peut ne révéler les failles ouvertes qu'une seule fois, tandis que la gestion tente de les réduire au fil du temps. Garder un œil sur le retard accumulé vous aide à rester responsable.
7. Indicateurs de priorisation basés sur les risques : Bien qu'il existe des niveaux de gravité, de nombreuses organisations choisissent de mettre en pratique la synergie entre la gestion des vulnérabilités et la gestion des risques. Cela implique de classer les vulnérabilités en fonction de leur impact sur l'activité, de l'utilisation des exploits ou de l'exposition potentielle des données. Si l'approche basée sur les risques fonctionne, vous pouvez suivre le nombre d'éléments considérés comme " à haut risque " ou la rapidité avec laquelle ils sont corrigés. Si les failles urgentes ne sont pas résolues dans un délai raisonnable, cela peut être le signe de lacunes au niveau du personnel ou des processus.
8. Pourcentage de vulnérabilités critiques traitées : Une version plus spécifique de la conformité des correctifs axée uniquement sur les failles les plus graves. Elle établit un point de référence : dans quel délai les problèmes critiques doivent-ils être corrigés (dans les 24 heures, dans la semaine ou dans le mois) ? La direction peut vérifier si les meilleures pratiques en matière de gestion des vulnérabilités sont respectées en quantifiant le nombre de correctifs appliqués dans ce délai. Des taux élevés indiquent un programme mature qui réagit rapidement aux voies d'intrusion potentielles, tandis que des taux faibles indiquent des contraintes potentielles en matière de ressources.
9. Exposition des actifs et scores de risque : Certaines solutions fournissent un score de risque par actif ou sous-réseau, y compris le pourcentage de vulnérabilités ouvertes, leur gravité et les données d'exploitation. En surveillant les scores de risque moyens ou maximaux dans les principales unités commerciales, vous pouvez voir quels domaines sont les moins sécurisés. Un scan régulier associé à des scores de risque plus faibles s'avère être une approche efficace à long terme. En attendant, si certains segments présentent systématiquement un risque plus élevé, la direction peut y consacrer des ressources supplémentaires ou organiser des formations à la sécurité.
10. Temps moyen entre la récurrence des vulnérabilités : Il s'agit du moment où une faille identique ou similaire réapparaît (peut-être en réinstallant une ancienne version ou une image de conteneur défectueuse). Cet indicateur clé de performance montre dans quelle mesure les équipes sont efficaces pour mettre en œuvre des correctifs permanents ou gérer les pipelines DevOps qui réintroduisent accidentellement des problèmes déjà connus. De courts intervalles de récurrence indiquent la nécessité d'affiner les processus sous-jacents (tels que la gestion des images). La récurrence peut être considérablement réduite si les équipes DevOps prennent l'habitude d'intégrer les meilleures pratiques en matière d'analyse des vulnérabilités des conteneurs.
11. Délai d'atténuation et délai de correction : Parfois, un correctif n'est pas immédiatement disponible, ou son application perturberait la production. Jusqu'à ce qu'un correctif stable soit testé, des mesures d'atténuation (telles que la désactivation d'un service vulnérable ou l'utilisation d'une modification de configuration temporaire) peuvent bloquer l'exploitation. En suivant la rapidité avec laquelle ces mesures provisoires sont mises en place par rapport au calendrier final de correction, nous pouvons voir si les mesures de limitation des risques à court terme sont utilisées efficacement. Cet indicateur souligne que les solutions partielles restent importantes pour prévenir toute compromission immédiate.
12. Taux de couverture de l'analyse : Ce chiffre indique le pourcentage d'actifs connus analysés à chaque cycle. Si la couverture n'est pas complète, cela signifie qu'il existe des failles inconnues. Pour obtenir un taux de couverture élevé, il est nécessaire de disposer d'inventaires d'actifs et de calendriers d'analyse cohérents. Dans le contexte DevOps, les conteneurs peuvent apparaître et disparaître rapidement, ce sont des conteneurs éphémères, et les outils d'analyse des vulnérabilités des images de conteneurs doivent s'adapter. La mesure de la couverture permet de réduire au minimum le risque de systèmes non analysés.
13. Indicateurs de vieillissement des vulnérabilités : Cet ensemble d'indicateurs mesure la durée pendant laquelle les vulnérabilités restent ouvertes, parfois ventilées par niveaux de gravité (critique, élevé, moyen, faible). Un signal d'alerte est émis lorsque des failles critiques restent ouvertes au-delà d'un seuil standard. En observant ces tendances de vieillissement, vous pouvez voir si le retard s'accumule ou diminue. Les équipes peuvent surveiller en permanence les données de vieillissement afin d'identifier les goulots d'étranglement qui empêchent l'application de correctifs en temps opportun.
14. Taux de faux positifs vs faux négatifs : Les faux positifs des scanners peuvent faire perdre du temps au personnel de sécurité sur des problèmes inexistants. Le pire, c'est que les faux négatifs passent à côté de vulnérabilités réelles. Cet indicateur montre la précision du scan et permet de savoir si une solution est suffisamment bien réglée ou si certains modules doivent être améliorés. Les deux types diminuent avec le temps, ce qui se traduit par un scan efficace, et le personnel peut se fier davantage aux résultats lors de l'évaluation des vulnérabilités.
15. Conformité au SLA en matière de correction des vulnérabilités : Cet indicateur mesure la conformité si une organisation définit des SLA internes ou externes (par exemple, les vulnérabilités critiques doivent être corrigées dans les 48 heures). Le manque de personnel ou la complexité des processus de correction sont généralement à l'origine du non-respect systématique des SLA. À l'inverse, le respect de ces accords contribue à instaurer la confiance auprès des clients et des autres parties prenantes, car il montre que les failles critiques ne restent pas non détectées. Cela est conforme aux politiques de risque plus larges et aux objectifs de gestion des vulnérabilités.
16. Vitesse de correction : Cet indicateur clé de performance mesure la rapidité avec laquelle les équipes peuvent passer de la détection à la correction, généralement en quelques heures ou quelques jours. Il est similaire au MTTR, mais à un niveau plus granulaire, pour la vitesse de chaque étape du cycle de correction. Une analyse plus approfondie peut révéler la cause profonde (par exemple, l'absence d'outils de correction automatisés ou la complexité du pipeline DevOps) si la vitesse stagne fréquemment. La vitesse s'améliore avec le temps, réduisant ainsi le risque d'exploits réussis.
17. Taux de réussite des correctifs : Certains correctifs peuvent échouer ou ne pas corriger la faille sous-jacente s'ils sont mal appliqués. Cet indicateur clé de performance nous montre le nombre de vulnérabilités découvertes qui sont réellement résolues par des correctifs. Un contrôle qualité approfondi ou des conflits système minimaux se traduisent par des taux de réussite élevés, tandis que des échecs répétés indiquent des incohérences dans l'environnement ou les processus. De meilleurs tests et une meilleure coordination des correctifs au fil du temps peuvent augmenter les taux de réussite.
18. Ratio entre corrections automatisées et manuelles : Les outils d'automatisation de la gestion des vulnérabilités sont souvent utilisés dans les configurations modernes pour accélérer les tâches de correctifs. Connaître le nombre de corrections automatiques par rapport aux processus manuels est un bon indicateur de maturité. Un ratio d'automatisation plus élevé implique des frais généraux moins élevés et une résolution plus rapide. Cependant, certains systèmes peuvent nécessiter des vérifications manuelles approfondies. En observant l'évolution de ce ratio, nous pouvons voir les effets des nouvelles solutions d'automatisation ou de l'intégration DevOps.
19. Incidents liés à des failles non corrigées : Il n'est pas rare de constater qu'après une violation, une vulnérabilité qui n'avait pas été corrigée était à l'origine de l'incident. Cet indicateur indique le nombre d'incidents de sécurité pouvant être liés à des vulnérabilités connues qui n'ont pas été corrigées. Si ce nombre est élevé, il est temps soit d'effectuer des analyses plus fréquentes, soit de mieux organiser les correctifs. Le réduire signifie que le programme traite efficacement les principales expositions afin de réduire le potentiel d'exploits dans le monde réel.
20. Réduction globale du risque au fil du temps : En fin de compte, il est utile d'avoir une vue d'ensemble pour déterminer si l'exposition globale au risque de l'organisation augmente ou diminue. De cette façon, les vulnérabilités peuvent être classées par ordre de gravité et d'importance pour les actifs, puis résumées dans un " score de risque " cumulatif, qui peut être suivi mensuellement ou trimestriellement. Ces changements peuvent se produire simultanément avec la mise en œuvre de nouveaux outils d'analyse des conteneurs ou des modifications des politiques de correctifs. À long terme, la baisse régulière des risques prouve que chaque étape du processus de gestion des vulnérabilités apporte une réelle amélioration de la sécurité.

Conclusion

La gestion des risques ne consiste plus à effectuer une analyse, à croiser les doigts et à espérer ne trouver que quelques vulnérabilités. En utilisant des indicateurs de gestion des vulnérabilités ou des mesures cohérentes, les organisations quantifient la rapidité avec laquelle elles sont capables d'identifier les vulnérabilités, de les corriger et d'en valider les résultats. Lorsque ces indicateurs clés de performance sont alignés sur les données d'exploitation réelles, les équipes de sécurité obtiennent une image claire des points forts et des points faibles des processus. Avec des milliers de nouvelles CVE chaque année, toute information susceptible de réduire la fenêtre temporelle des vulnérabilités exploitables est inestimable. De plus, l'intégration de ces indicateurs à d'autres cadres de sécurité permet de relier les analyses quotidiennes aux normes de gestion des vulnérabilités à long terme. À long terme, un suivi approprié renforce la responsabilité, favorise la cohésion entre les services et minimise les risques récurrents.

"

FAQs