🔎 Veille vulnérabilités et correctifs
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B3 — Cybersécurité des services informatiques |
| Module | M3.4 — Disponibilité, intégrité et confidentialité |
| Durée | 7 heures |
| Prérequis | Notions de systèmes d'exploitation, administration Linux et Windows |
🎯 Objectifs
- Comprendre le système de nomenclature CVE et le score CVSS
- Utiliser les bases de données de vulnérabilités (NVD, CERT-FR)
- Mettre en place une veille de sécurité efficace
- Déployer et utiliser des scanners de vulnérabilités (OpenVAS, Nessus)
- Concevoir et mettre en œuvre un processus de patch management
- Prioriser les correctifs selon le risque
📖 CVE — Common Vulnerabilities and Exposures
Qu'est-ce qu'un CVE ?
Un CVE (Common Vulnerabilities and Exposures) est un identifiant unique attribué à une vulnérabilité de sécurité connue. Géré par le MITRE Corporation et financé par le Department of Homeland Security (DHS) américain, le système CVE constitue le référentiel mondial des vulnérabilités.
Format : CVE-AAAA-NNNNN (ex : CVE-2021-44228 — Log4Shell)
Cycle de vie d'un CVE
- Découverte : par un chercheur, un éditeur ou automatiquement
- Signalement responsable (Responsible Disclosure) : notification à l'éditeur avant publication
- Attribution d'un ID CVE par un CNA (CVE Numbering Authority)
- Développement du correctif par l'éditeur
- Publication : CVE divulgué avec détails techniques et correctif disponible
- Intégration dans les bases de données (NVD) et les scanners
📖 CVSS — Common Vulnerability Scoring System
Le CVSS v3.1 est un système standardisé de notation de la sévérité des vulnérabilités, de 0 à 10 :
| Score CVSS | Sévérité | Priorité de traitement |
|---|---|---|
| 9.0 — 10.0 | 🔴 Critique | Patch immédiat (24-48h) |
| 7.0 — 8.9 | 🟠 Élevé | Patch prioritaire (1 semaine) |
| 4.0 — 6.9 | 🟡 Moyen | Patch planifié (1 mois) |
| 0.1 — 3.9 | 🟢 Faible | Patch lors de la prochaine maintenance |
| 0.0 | ⚪ Aucun | Information seulement |
Métriques CVSS v3.1
Le score CVSS est calculé à partir de métriques de base :
- Attack Vector (AV) : Network, Adjacent, Local, Physical
- Attack Complexity (AC) : Low, High
- Privileges Required (PR) : None, Low, High
- User Interaction (UI) : None, Required
- Scope (S) : Unchanged, Changed
- Confidentiality/Integrity/Availability Impact : None, Low, High
💡 CVSS vs risque réel
Un score CVSS élevé ne signifie pas nécessairement que la vulnérabilité est exploitée activement dans votre contexte. Le score CVSS ne tient pas compte du contexte (actif exposé ou non, exploitation active). Compléter l'évaluation avec EPSS (Exploit Prediction Scoring System) et les bulletins CERT-FR pour contextualiser.
📖 Sources de veille cybersécurité
| Source | Type | URL |
|---|---|---|
| CERT-FR (ANSSI) | Alertes FR + recommandations | cert.ssi.gouv.fr |
| NVD (NIST) | Base de données CVE enrichie | nvd.nist.gov |
| CVE.org (MITRE) | Référentiel CVE officiel | cve.org |
| CISA KEV | Vulnérabilités exploitées activement | cisa.gov/known-exploited-vulnerabilities |
| Microsoft MSRC | Mises à jour Microsoft (Patch Tuesday) | msrc.microsoft.com |
| Red Hat / Ubuntu Security | Advisories Linux | access.redhat.com/security/cve |
| Exploit-DB | Base d'exploits publics | exploit-db.com |
📖 Scan de vulnérabilités
OpenVAS / Greenbone
OpenVAS (Open Vulnerability Assessment Scanner) est le scanner de vulnérabilités open source le plus utilisé. Il dispose d'une base de données de plus de 60 000 tests (NVTs — Network Vulnerability Tests) :
# Installation Greenbone Community Edition (Docker)
git clone https://github.com/greenbone/openvas-scanner.git
docker-compose -f openvas-scanner/docker-compose.yml up -d
# Commandes CLI avec gvm-cli
gvm-cli socket --gmp-username admin --gmp-password admin \
--xml "<create_task><name>Scan IRIS</name><config id='daba56c8-73ec-11df-a475-002264764cea'/><target id='TARGET_ID'/></create_task>"Nmap — Découverte et scan de ports
# Scan de découverte du réseau
nmap -sn 10.0.0.0/24
# Scan de vulnérabilités avec scripts NSE
nmap -sV --script vuln 10.0.0.10
# Scan complet avec détection de version et OS
nmap -A -T4 10.0.0.10
# Scan des ports UDP courants
nmap -sU --top-ports 20 10.0.0.10
# Export des résultats
nmap -oA /tmp/scan_iris 10.0.0.0/24📖 Processus de Patch Management
Les étapes du patch management
- Inventaire : connaître exactement quels logiciels/versions tournent sur le parc
- Surveillance : veille continue sur les nouvelles vulnérabilités
- Évaluation : analyser l'impact (CVSS + contexte + exploitabilité)
- Test : valider le correctif en environnement de test avant déploiement
- Déploiement : appliquer le correctif selon la priorité et les fenêtres de maintenance
- Vérification : s'assurer que le correctif a bien été appliqué
- Reporting : documenter et tracer les actions
Outils de déploiement des mises à jour
# Windows — WSUS (Windows Server Update Services)
# Configurer via GPO :
# Configuration ordinateur > Modèles d'administration > Composants Windows
# > Windows Update > Spécifier l'emplacement du service WSUS intranet
# Windows 10/11 — Forcer la mise à jour
UsoClient StartScan
UsoClient StartDownload
UsoClient StartInstall
# Linux — Mise à jour automatique (Debian/Ubuntu)
apt install unattended-upgrades
dpkg-reconfigure unattended-upgrades
# Configuration /etc/apt/apt.conf.d/50unattended-upgrades
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
};
Unattended-Upgrade::AutoFixInterruptedDpkg "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";
Unattended-Upgrade::Automatic-Reboot "false"; # Gérer les redémarrages manuellement
Unattended-Upgrade::Mail "admin@iris.fr";Politiques de déploiement selon la criticité
| Criticité CVE | Délai de déploiement | Procédure |
|---|---|---|
| Critique (9.0+) exploité activement | 24-48h (urgence) | Déploiement d'urgence, test minimal, rétrograde si problème |
| Critique/Élevé (7.0+) | 1 semaine | Test en préprod, déploiement planifié, validation |
| Moyen (4.0-6.9) | 1 mois (Patch Tuesday) | Regroupement mensuel, test complet |
| Faible (<4.0) | Prochain cycle de maintenance | Planifié lors de la prochaine maintenance trimestrielle |
🛠️ Outils / Ressources
- OpenVAS / Greenbone : scanner de vulnérabilités open source
- Nessus Essentials : version gratuite pour 16 IPs
- Qualys VMDR, Rapid7 InsightVM : solutions de VM enterprise
- WSUS / SCCM (Windows) : gestion des mises à jour Microsoft
- Ansible : automatisation du déploiement de patches multi-OS
- CERT-FR : veille et alertes de sécurité française (cert.ssi.gouv.fr)
📝 QCM — Testez vos connaissances
- Qu'est-ce qu'un CVE et qui l'attribue ?
- Quel est le score CVSS minimum pour qu'une vulnérabilité soit considérée "critique" ?
- Qu'est-ce que le "Responsible Disclosure" ?
- Quelle est la différence entre un scanner de vulnérabilités (Nessus) et un scanner de ports (Nmap) ?
- Pourquoi faut-il tester un correctif avant de le déployer en production ?
- Qu'est-ce que CISA KEV et comment l'utiliser dans la priorisation des patches ?
📝 Afficher les corrections
- CVE (Common Vulnerabilities and Exposures) est un identifiant unique de vulnérabilité (format CVE-AAAA-NNNNN). Il est attribué par des CNA (CVE Numbering Authorities) dont le MITRE est le coordinateur central.
- 9.0 — La classification CVSS v3.1 : 0-3.9 = Faible, 4-6.9 = Moyen, 7-8.9 = Élevé, 9-10 = Critique.
- Le chercheur notifie l'éditeur en privé avant toute publication publique, laissant le temps de développer et déployer un correctif. Cela protège les utilisateurs. La publication intervient après un délai convenu (typiquement 90 jours).
- Nmap scanne les ports ouverts et services exposés (découverte) ; Nessus/OpenVAS analyse les vulnérabilités connues sur les services découverts en testant les configurations, versions et CVE applicables. Les deux sont complémentaires.
- Un correctif peut introduire des régressions ou incompatibilités. Les tester en préprod permet de valider la compatibilité avec les applications métier avant de risquer une interruption de service en production.
- CISA KEV (Known Exploited Vulnerabilities) liste les CVE activement exploités dans des cyberattaques réelles. Ces vulnérabilités doivent être traitées en priorité absolue, même si leur score CVSS n'est pas le plus élevé.