|
|
Questions-réponses |
Les
tests de vulnérabilité |
Complémentaires des tests d'intrusion, les tests de vulnérabilité scannent le système d'information à la recherche des failles les plus connues. Décryptage. (Mardi 25 mars 2003) |
|
>
En quoi consistent les tests de vulnérabilité ?
Il s'agit avant tout
d'effectuer un diagnostic des failles du système
d'information. Pour cela, tous les éléments
de l'architecture en place sont concernés, que
ce soient les élements réseau (routeurs,
pare-feu), les services applicatifs (services Web, serveurs
de messagerie) ou les applications elles-mêmes.
Le spectre peut parfois être encore plus large et
concerner par exemple les PABX installés dans l'entreprise.
> Est-ce la même chose
que les tests d'intrusion ?
Les tests
de vulnérabilité se contentent de détecter
les failles d'un système sans toutefois les exploiter.
Un test d'intrusion consistera à identifier une
faille et à s'y introduire, dans une démarche
de démonstration de ladite faille, et de mesurer
les conséquences qu'elle peut engendrer.
>
Analyse automatique ou manuelle ?
Les tests de vulnérabilité sont en principe
effectués de manière automatique et périodique
par une solution logicielle dont l'objectif est de scanner
l'intégralité du système à
la recherche de nouvelles failles. On peut programmer
cette recherche aussi souvent que souhaité (une
fois par jour, par semaine, par mois, par an...). Bien
entendu, les analyses peuvent se faire manuellement, par
des ingénieurs sécurité, mais ces
derniers utiliseront de toutes les façons des solutions
spécialisées - soit développées
en interne, soit achetées. La différence
se situe donc dans la présence ou non d'un être
humain derrière le processus de recherche de failles.
> Comment faire pour connaître
toutes les failles ?
Connaître toutes
les failles n'est pas une finalité en soi. Le principe
est prioritairement d'identifier les failles les plus
connues car ces dernières ne sont généralement
pas correctement traitées. Rien ne sert donc de
vouloir traiter toutes les failles, dont les plus pointues
et les plus rares, si les plus largement diffusées
ne sont pas patchées. Pour ce faire, les acteurs
du marché - éditeurs ou prestataires - fonctionnent
en alimentant des bases de connaissances constamment mises
à jour. Elles recensent les vulnérabilités liées
aussi bien aux logiciels et applications qu'aux erreurs
de configurations courantes (login et mots de passe classiques
tels que le nom de la société ou "admin", "password"...)
ou complexes.
>
Comment faire si ma configuration change ?
La configuration en
elle-même est certes importante mais les systèmes
de détection des failles s'adaptent en fonction
des changements survenus dans une architecture globale.
Grâce à leur moteur intelligent, les outils
de tests identifient les différents éléments
d'un système et les rapprochent de la base de connaissance
à laquelle ils sont rattachés. A l'inverse,
même si un système ne change pas, de nouvelles
failles peuvent y être détectées,
en fonction des mises à jour transmises par l'éditeur
de la solution de test ou des communications des éditeurs
de solutions ou constructeurs concernés.
>
Quelles éditeurs sur le marché ?
Plusieurs éditeurs
proposent des solutions permettant de pratiquer les tests
de vulnérabilité. On peut citer, entre autres,
Network Associates, Webtrends (NetIQ), Internet Security
System, Intranode, Qualys, VIGILANTe, World Wide Digital
Security, BindView et, dans le monde Open Source, Nessus
Security Scanner et Sara.
|
|
|