Réagir aux vulnérabilités “n-day” dans les systèmes d’information

N-day vulnerabilities are public, recently disclosed, but not well-known software and hardware vulnerabilities. Past n-day vulnerabilities such as Heartbleed, Shellshock, and EternalBlue already had important real-world impact on thousands of information systems and organizations across the world. One difficulty for proper defense against n-day vulnerabilities is that during the first days after a vulnerability disclosure, preliminary information about the vulnerability is not available in a machine readable format, delaying the use of automated vulnerability management processes. This situation creates a period of time when only expensive manual analysis can be used to react to new vulnerabilities because no data is available for cheaper automated analysis yet. We propose several contributions to automatically analyze newly disclosed vulnerabilities to predict inherent properties such as the software or hardware they affect, and automatically evaluate the risk they pose in the context of a specific information system. We highlight how our contributions take part in a greater end-to-end strategy aiming at mitigating the risk faced by information system because of n-day vulnerabilities.Les vulnérabilités n-day sont des vulnérabilités logicielles et matérielles publiques, récemment divulguées, mais pas encore bien connues. Des vulnérabilités n-day passées comme Heartbleed, Shellshock et EternalBlue ont déjà eu un impact important sur des milliers de systèmes d'information et organisations autour du globe. Durant les premiers jours après la divulgation d'une vulnérabilité, les informations préliminaire à propos de celle ci ne sont pas disponibles dans un format lisible automatiquement, ce qui retarde l'usage de processus automatisés de gestion de vulnérabilité. Cette situation créée une période de temps où seule une coûteuse analyse manuelle peut être utilisée pour réagir à une nouvelle vulnérabilité car aucune donnée n'est disponible pour des analyses automatisées moins coûteuses. Nous proposons plusieurs contributions visant d'une part à automatiquement analyser les vulnérabilités récemment divulguées pour prédire leurs propriétés inhérentes (comme le logiciel ou matériel qu'elles affectent, ou leur sévérité), et d'autre part à automatiquement évaluer le risque qu'elles posent à un système d'information donné. Nos contributions prennent place dans une stratégie complète de mitigation du risque posé par les vulnérabilités pour les systèmes d'information