Christophe Delauré, Qualys : Prenez les vulnérabilités issues des configurations systèmes au sérieux !
avril 2013 par Marc Jacob
Pour Christophe Delauré, Director of Product Management, Policy Compliance de Qualys, rencontré sur Infosecurity UK, si toutes les vulnérabilités sont à considérer, celles concernant les configurations systèmes sànt souvent le parent pauvre. Pourtant, elles sont un vecteur de fuite d’information important. Pour lui, ces vulnérabilités doivent être prises au sérieux d’autant qu’elles sont très simples à traiter directement par les équipes IT.
GS Mag : Quelles sont les types de vulnérabilités que vous rencontrez le plus souvent ?
Christophe Delauré : Il y a trois types de vulnérabilités :
– Les vulnérabilités contenues dans les OS pour lesquels on a des patchs,
– Les vulnérabilités liées aux applications web qui de même sont gérables via des logiciels d’analyses et des patchs,
– Les vulnérabilités liées à la configuration des systèmes.
Je voudrais plutôt m’attarder sur les vulnérabilités liées aux configurations qui demandent bien plus que des outils pour les circonscrire. En effet, les deux autres sont liées au process de patching et aux développements des systèmes. Pour celle-ci le problème vient de la configuration des systèmes et peut-être remédié très facilement par les équipes IT. Dans ce cas se sont les administrateurs qui sont en première ligne.
GS Mag : Quels sont les problèmes liés aux vulnérabilités de configuration ?
Christophe Delauré : Cette année l’étude de Verizon montre que l’on peut rentrer sur les réseaux en quelques minutes du fait de mauvaise configuration des systèmes. La personne malveillante peut accéder à l’information et l’envoyer à l’extérieur en quelques minutes, voir quelques jours ou mois. C’est-à-dire que le ventre des réseaux est « tout mou ». De plus, ces individus ne sont souvent découverts que bien après leurs méfaits, et souvent cette mise en lumière se compte en semaines ou en mois.
Il faut donc rendre plus difficile l’accès à l’information en configurant mieux les systèmes et en même temps agir pour découvrir plus rapidement ces intrusions. De plus, une bonne configuration des systèmes va permettre de mieux détecter ces intrusions via les logs.
GS Mag : Quels sont les approches pour améliorer les processus de gestion des systèmes ?
Christophe Delauré : Le premier est d’utiliser un des outils du marché comme Qualys Guard Policy Compliance qui permet d’automatiser la gestion des configurations de manière fréquente et avec une couverture quasi-totale. Il faut arrêter de faire de l’échantillonnage car cela prend trop de ressource et de temps et au final coûte cher à l’entreprise.
L’autre outil est la sensibilisation des équipes en présentant ces informations le plus largement possibles. L’idée est de présenter les résultats obtenus lors des analyses afin de motiver les équipes de façon publique en interne. Généralement le Manager qui n’est pas bien placer dans ce classement est encore plus motivé et cela se ressent sur le court terme. Je peux citer plusieurs exemples où cette présentation des informations a permis de réduire d’environ 90% le niveau de risque en douze mois.
GS Mag : Quel est votre message à nos lecteurs ?
Christophe Delauré : Mon conseil serait : « quelques soit le projet, il faut rester simple, c’est le secret de la réussite ! »
Articles connexes:
- Marc-Henri Guy, AlgoSec : AlgoSec Suite 6.4 réconcilie le monde applicatif et le monde du réseau
- Olivier Détour, Netheos : eKeynox pour déployer de nouveaux services sur tablettes et Smartphones sans concession en termes de sécurité
- Roy Adar, Cyber-Ark : Les comptes à privilège sont la cible de 50% des attaques !
- Sylvain Pilette, Co-fondateur, Lineon : Si l’aventure Lineon vous tente venez nous rejoindre !
- Alex Lanstein, FireEye : nous débusquons les malwares inconnus
- Michel Tiberini, CEO, Quotium : Les RSSI doivent faire prendre conscience à leur management des risques grandissants autour des données
- Grégoire Lepoutre, Vade Retro : Vos utilisateurs ne veulent plus voir de spams dans leurs boites de réception !
- Philippe Saadé, Fondateur de Picviz Labs : Nous souhaitons devenir un éditeur de référence dans notre domaine sur le marché européen
- Stéphane Saad, Pradeo Networks : l’avenir de notre entreprise passe par son développement à l’international
- Philippe Humeau, NBS System : Le marché britannique est une terre d’expansion pour notre entreprise !
- Jean-Nicolas Piotrowski, directeur d’Itrust : Nous souhaitons conquérir le marché européen avec Ikare
- Michel Gérard, PDG de Conscio Technologies : Avec RapidAwarness la senibilisation est à la portée de tout le monde
- Jean Vinegla, Navista : Le marché britannique reste très dynamique !
- Florian Malecki, Dell SonicWall : Dell Sécurité est devenu un acteur de référence du marché de la sécurité
- Laurent Noé, CEO, Oveliane : Il est dangereux d’occulter la sécurité des parcs de serveurs !
- Infosecurity UK 2013 : Une édition en demi-teinte