Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable

octobre 2008 par Jean-Marc Solleder, ingénieur sécurité chez SCRT

De nombreuses vulnérabilités sont identifiées chaque jour dans des applications courantes. Les outils permettant une détection – et une éradication - de ces vulnérabilités au sein du Système d’Information sont devenus une nécessité pour les entreprises soucieuses de leur sécurité. Toutefois, rien ne peut remplacer un test d’intrusion réalisé par des experts.

Qu’ils soient open sources, sous licences où basé sur un modèle SaaS (Software as a Service), l’objectif de ces logiciels est le même : vous permettre de déterminer la présence d’une série de vulnérabilités voire dans certain cas d’erreurs de configuration basiques afin de prendre rapidement des mesures correctives. Leur principal avantage est de ne pas toucher à l’infrastructure existante. Les tests sont effectués à distance, à travers le réseau et permettent de cibler des vulnérabilités présentes sur une grande variété de système d’exploitation et même d’équipements réseau.

Une alternative à ces outils de scan est le déploiement sur l’ensemble des postes du réseau d’un logiciel agissant comme « scanner local ». Le principal avantage de cette technologie est d’autoriser l’application de patch à la volée relativement simplement. Même si l’on peut imaginer un scanner exploitant la vulnérabilité découverte pour mettre à jour le système ciblé, à la manière des Nématodes, les « gentils vers » développés et présentés il y a quelques années par Dave Aitel d’Immunity (http://www.immunitysec.com/resources-papers.shtml), il n’est pas toujours aisé de prévoir l’incidence qu’aura un exploit sur des systèmes qui semblent identiques mais peuvent différer quant à leur mécanismes internes.

La plupart des outils de scan de vulnérabilités permettent également de valider la conformité à certaines normes et réglementations du secteur (COBIT, ISO, NIST, SoX,…).

Il est clair que ces scanners sont un élément important d’un processus de gestion des vulnérabilités. Il faut cependant garder à l’esprit que ces outils travaillent en mode réactif et ne dispensent pas d’une politique de gestion des mises à jour. En effet, un scan automatisé ne fournit évidemment qu’une image de l’instant exact auquel il est exécuté. L’état du Système d’Information entre deux tests n’est pas analysé. Il est toutefois important de noter que ces outils ne remplacent pas un test d’intrusion. La fonction de ces deux objets est complètement différente : un test d’intrusion servira à simuler une attaque réelle effectuée par des pirates tandis qu’un outil de scan se limitera à lister les vulnérabilités connue de son moteur.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants