Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
octobre 2008 par Jean-Marc Solleder, ingénieur sécurité chez SCRT
De nombreuses vulnérabilités sont identifiées chaque jour dans des applications courantes. Les outils permettant une détection – et une éradication - de ces vulnérabilités au sein du Système d’Information sont devenus une nécessité pour les entreprises soucieuses de leur sécurité. Toutefois, rien ne peut remplacer un test d’intrusion réalisé par des experts.
Qu’ils soient open sources, sous licences où basé sur un modèle SaaS (Software as a Service), l’objectif de ces logiciels est le même : vous permettre de déterminer la présence d’une série de vulnérabilités voire dans certain cas d’erreurs de configuration basiques afin de prendre rapidement des mesures correctives. Leur principal avantage est de ne pas toucher à l’infrastructure existante. Les tests sont effectués à distance, à travers le réseau et permettent de cibler des vulnérabilités présentes sur une grande variété de système d’exploitation et même d’équipements réseau.
Une alternative à ces outils de scan est le déploiement sur l’ensemble des postes du réseau d’un logiciel agissant comme « scanner local ». Le principal avantage de cette technologie est d’autoriser l’application de patch à la volée relativement simplement. Même si l’on peut imaginer un scanner exploitant la vulnérabilité découverte pour mettre à jour le système ciblé, à la manière des Nématodes, les « gentils vers » développés et présentés il y a quelques années par Dave Aitel d’Immunity (http://www.immunitysec.com/resources-papers.shtml), il n’est pas toujours aisé de prévoir l’incidence qu’aura un exploit sur des systèmes qui semblent identiques mais peuvent différer quant à leur mécanismes internes.
La plupart des outils de scan de vulnérabilités permettent également de valider la conformité à certaines normes et réglementations du secteur (COBIT, ISO, NIST, SoX,…).
Il est clair que ces scanners sont un élément important d’un processus de gestion des vulnérabilités. Il faut cependant garder à l’esprit que ces outils travaillent en mode réactif et ne dispensent pas d’une politique de gestion des mises à jour. En effet, un scan automatisé ne fournit évidemment qu’une image de l’instant exact auquel il est exécuté. L’état du Système d’Information entre deux tests n’est pas analysé.
Il est toutefois important de noter que ces outils ne remplacent pas un test d’intrusion. La fonction de ces deux objets est complètement différente : un test d’intrusion servira à simuler une attaque réelle effectuée par des pirates tandis qu’un outil de scan se limitera à lister les vulnérabilités connue de son moteur.
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?