JDNet
Solutions. Quelle est votre approche des tests de vulnérabilité
?
Laurent Stoffel.
Notre approche est très centrée autour
des contraintes opérationnelles de l'entreprise.
Les tests de vulnérabilité servent à
faire remonter les problèmes liés à
la configuration d'un système d'information,
mais cela est insuffisant si l'on se contente de lister
les failles existantes, dont les sources et le nombre
sont trop importants pour être gérés efficacement avec
les solutions actuelles.
Notre conception est donc de hiérarchiser les
failles en fonction des contraintes opérationnelles
de l'entreprise, ce qui signifie qu'un site web marchand
n'aura par exemple pas les mêmes priorités
qu'un site d'information, en termes notamment de disponibilité
de service, d'intégrité des informations,
de confidentialité des données ou de piratage
(exécution de code à distance), les quatre
principaux critères que nous étudions.
En
quoi cette approche permet-elle de suivre l'évolution
des failles d'un système d'information ?
Nous ne donnons pas une vue unidimensionnelle
des vulnérabilités constatées mais
les mettons en perspective à travers un tableau
de bord personnalisé qui permet une analyse des risques
orientée métier. Sachant que quelques 2700 failles sont
actuellement recensées dans notre base de connaissances
et que de très nombreuses failles sont identifées
lorsque nous pratiquons des tests sur des systèmes
complexes, nous considérons qu'il est nécesaire
de donner à nos clients une vue synthétique
et hiérarchisée de la situation. Il n'est
pas possible de traiter toutes les failles d'un coup,
il faut donc effectuer des choix dans le temps.
Par ailleurs, notre tableau de bord apporte deux dimensions
supplémentaires aux quatre critères que
je mentionnais précédemment. Tout d'abord
l'âge de la vulnérabilité et ensuite
l'expertise technique nécessaire pour l'exploiter. Une
faille ancienne sera donc potentiellement moins dangereuse
qu'une nouvelle faille car le degré d'expertise
pour l'exploiter sera supérieur à une
faille récente qu'un hacker presque débutant
pourra utiliser, et vice versa... Ces six éléments
donnent aux décideurs les moyens de contrôler
et d'administrer leur
système d'information.
Quelles
grandes tendances le marché est-il en train de
suivre actuellement ?
Le marché s'oriente aujourd'hui vers toujours
plus de normalisation. Comme dans toute démarche
qualité qui s'industrialise, des standards commencent
à apparaître. La réglementation évolue
également, des références claires
se créent, tel le modèle Card que nous avons
développé en nous fondant sur l'IRF (Internet
Risk Factor), un indicateur de mesure "maison"
qui permet de bénéficier d'un référentiel sécurité à tous
les niveaux : pour chaque vulnérabilité, pour chaque machine,
pour le système dans son ensemble.
Plus globalement, le secteur de la gestion des risques
est en pleine évolution, en pleine structuration.
On voit des jeux de tests poindre à l'horizon,
fruits d'initiatives isolées telles que SANS Institute
ou bien encore la norme ISO 17.799 qui reste à
spectre très large pour le moment. Enfin, les produits
commencent à interopérer, ce qui permet
une plus grande complémentarité avec d'autres
produits d'infrastructure.
|