Laurent Stoffel
(Intranode) :
"Il faut hiérarchiser les failles pour mieux les traiter !"
Par JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/itws/030325_it_stoffel.shtml
Intranode est un éditeur de solutions de
détection automatisée des vulnérabilités des systèmes d'information.
Son PDG revient sur l'approche "métier" développée
par ses équipes, ou encore sur la nécessité de se construire
un tableau de bord dédié pour piloter le système d'information
de manière optimale.
Propos recueillis par Fabrice Deblock le 25/03/2003
JDNet Solutions. Quelle
est votre approche des tests de vulnérabilité ?
Laurent Stoffel.
Notre approche est très centrée autour des contraintes opérationnelles
de l'entreprise. Les tests de vulnérabilité servent à
faire remonter les problèmes liés à la configuration
d'un système d'information, mais cela est insuffisant si l'on se
contente de lister les failles existantes, dont les sources et le nombre
sont trop importants pour être gérés efficacement avec les solutions actuelles.
Notre conception est donc de hiérarchiser les failles en fonction
des contraintes opérationnelles de l'entreprise, ce qui signifie
qu'un site web marchand n'aura par exemple pas les mêmes priorités
qu'un site d'information, en termes notamment de disponibilité
de service, d'intégrité des informations, de confidentialité
des données ou de piratage (exécution de code à distance),
les quatre principaux critères que nous étudions.
En
quoi cette approche permet-elle de suivre l'évolution des failles
d'un système d'information ?
Nous ne donnons pas une vue unidimensionnelle des vulnérabilités
constatées mais les mettons en perspective à travers un
tableau de bord personnalisé qui permet une analyse des risques orientée
métier. Sachant que quelques 2700 failles sont actuellement recensées
dans notre base de connaissances et que de très nombreuses failles
sont identifées lorsque nous pratiquons des tests sur des systèmes
complexes, nous considérons qu'il est nécesaire de donner
à nos clients une vue synthétique et hiérarchisée
de la situation. Il n'est pas possible de traiter toutes les failles d'un
coup, il faut donc effectuer des choix dans le temps.
Par ailleurs, notre tableau de bord apporte deux dimensions supplémentaires
aux quatre critères que je mentionnais précédemment.
Tout d'abord l'âge de la vulnérabilité et ensuite
l'expertise technique nécessaire pour l'exploiter. Une faille ancienne
sera donc potentiellement moins dangereuse qu'une nouvelle faille car
le degré d'expertise pour l'exploiter sera supérieur à
une faille récente qu'un hacker presque débutant pourra
utiliser, et vice versa... Ces six éléments donnent aux
décideurs les moyens de contrôler et d'administrer
leur système d'information.
Quelles grandes tendances
le marché est-il en train de suivre actuellement ?
Le marché s'oriente aujourd'hui vers toujours plus de normalisation.
Comme dans toute démarche qualité qui s'industrialise, des
standards commencent à apparaître. La réglementation
évolue également, des références claires se
créent, tel le modèle Card que nous avons développé
en nous fondant sur l'IRF (Internet Risk Factor), un indicateur de mesure
"maison" qui permet de bénéficier d'un référentiel sécurité à
tous les niveaux : pour chaque vulnérabilité, pour chaque machine, pour
le système dans son ensemble.
Plus globalement, le secteur de la gestion des risques est en pleine évolution,
en pleine structuration. On voit des jeux de tests poindre à l'horizon,
fruits d'initiatives isolées telles que SANS Institute ou bien encore
la norme ISO 17.799 qui reste à spectre très large pour le
moment. Enfin, les produits commencent à interopérer, ce qui
permet une plus grande complémentarité avec d'autres produits
d'infrastructure.
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|