Engageant sa responsabilité en cas de piratage par le biais d'une vulnérabilité
connue, Agarik doit être en mesure d'identifier les failles des systèmes qu'il
gère et de proposer des solutions correctives à ses clients.
|
|
Rapport de vulnérabilité édité
Qualys
|
|
"Nous ne pouvions pas être juge et partie. Un tiers neutre, garant de l'impartialité
de l'évaluation des vulnérabilités était nécessaire. Ainsi, si sur la base de
l'audit d'un tiers, il est prouvé que nous n'avons pas agi, notre responsabilité
est engagée. Le SLA s'applique et des pénalités sont dues", détaille le directeur
opérationnel d'Agarik, Laurent Seror.
Sont d'abord testées des solutions Open Source et commerciales comme Nessus
et ISS, sans toutefois qu'il ne soit possible de les qualifier de tiers de confiance.
En outre, l'application d'audit de vulnérabilité doit s'intégrer à un workflow
propriétaire basé sur des services Web (SOAP et XML).
Le choix se porte ainsi en 2003 sur l'offre en ASP de Qualys. Le mode software
as a service (SaaS) en matière d'audit de vulnérabilités consiste donc à acheter des
adresses IP qui seront scannées - 1 000 au total. L'audit se fait jusqu'en 2007
depuis un SOC (Security Operating Center) implanté aux Etats-Unis. Les rapports
d'audit sont depuis effectués et stockés dans le SOC allemand de Qualys.