L’an passé, de nombreuses attaques aux retentissements mondiaux ont occupé le devant de la scène. Cette nouvelle année démarre, elle, en fanfare avec de récentes failles “Meltdown” et “Spectre” identifiées sur les processeurs équipant la grande majorité des ordinateurs.
Le sujet de la protection des systèmes d’information et des données est, plus que jamais, au coeur des préoccupations des entreprises. Bblog s’empare du sujet et vous propose de retrouver au travers des B-Securidays, de janvier à mars, les prises de parole de 6 professionnels aguerris de la sécurité des entreprises.
Aujourd’hui, avis d’expert #01 : Les tests de vulnérabilité, de la théorie à la pratique par Younes Elmountacir, Beyond Security.
Les failles de sécurité sont partout : dans les systèmes d’exploitation, les applications, les machines virtuelles, les protocoles de transport de données. Heureusement des tests existent pour vous évaluer.
Explications et rencontre avec Younès Elmountacir, Sales Engineer pour Beyond Security qui nous dévoile les secrets d’une détection de vulnérabilités efficace et pertinente.
Comment élabore-t-on un test de vulnérabilité standard ?
Younès Elmountacir : Pour bien comprendre ce qu’est un test de vulnérabilité, il faut déjà définir ce que l’on désigne par ce terme. Une vulnérabilité n’est rien de moins qu’une brèche. Il peut s’agir d’un code de mauvaise qualité dans une application, d’une faiblesse dans un algorithme de chiffrement, d’une faille de sécurité dans un protocole de transport de données ou bien souvent d’une erreur humaine… Les vulnérabilités existent dans tous les systèmes d’exploitation, dans tous les logiciels. Lors d’un test, on utilise un script de détection. Ce dernier exploite une base de données internationale qui recense toutes les vulnérabilités connues et identifiées à ce jour. Cette base évolue très fréquemment… à mesure que les vulnérabilités sont découvertes. La solution que nous avons développée et que nous avons baptisée AVDS (Automated Vulnerability Detection System) peut réaliser jusqu’à 50 000 tests différents sur un système connecté.
Comment se déroulent ces tests en pratique ?
Younès Elmountacir : Un test se déroule en plusieurs phases. La première est une phase de découverte qui permet de comprendre le système d’information, les machines utilisées, les OS, les applications et les usages. Cela permet de définir le périmètre du test. On effectue ensuite des tests de base portant sur les ports de communication ouverts ainsi que les services ouverts derrière chaque port. Peut venir en complément le Web Scan qui consiste à passer en revue l’intégralité d’une application Web de l’entreprise. Nous appliquons des tests de détection sur les vulnérabilités fréquentes comme le SQL Injection par exemple. Nos scans de vulnérabilité ne sont pas intrusifs. Nos interventions s’effectuent à distance. En complément des tests classiques nous ajoutons une analyse comportementale qui nous permet d’affiner notre analyse et de réduire les faux positifs. En effet, ce qui apparaît parfois comme une vulnérabilité n’en est pas une ! En règle générale on considère sur le marché que le taux de faux positifs atteint 5%. Grâce à notre méthode, ce taux n’excède pas 0,1% ! Les scans se déroulent sans perturbation des flux de la production et peuvent être exécutés sur les tranches horaires paramétrables (HNO, hors fenêtre de back-up, etc.). De plus, il est possible de définir le nombre d’actifs à scanner simultanément.
« Chaque jour ou presque, de nouvelles vulnérabilités sont identifiées et viennent enrichir la base de données internationale que nous exploitons pour nos tests. »
Quels sont vos principaux critères d’évaluation ?
Younès Elmountacir : AVDS effectue une analyse interne et externe des réseaux quel que soit le nombre de serveurs, services, ports ou adresses IP. Par ailleurs, les scans réseaux peuvent être authentifiés (Windows, Linux/Unix) pour améliorer la détection de vulnérabilités et comparer les configurations systèmes par rapports aux bonnes pratiques préconisées par les standards du marché ainsi que de vérifier les mises à jour de patchs de sécurité. Chaque vulnérabilité est notée en fonction de sa sévérité. L’algorithme ADVS interne croise ces informations pour délivrer un score sur l’infrastructure. Ce score est global, par zone choisie, par host, etc. Il est alors possible de visualiser en un coup d’œil le niveau de sécurité de l’infrastructure et de manager les différentes équipes, zones géographiques, responsabilités fonctionnelles quant au maintien de score cibles au fil du temps.
A quels fréquence ces tests de vulnérabilité doivent-ils être menés ?
Younès Elmountacir : Chaque jour ou presque, de nouvelles vulnérabilités sont identifiées et viennent enrichir la base de données internationale que nous exploitons pour nos tests. S’il n’est pas conseillé d’effectuer des tests quotidiens (ce qui serait un non-sens car détecter ne suffit pas, il faut ensuite corriger le défaut), un test hebdomadaire est réellement efficace. Dans la réalité cependant, on peut considérer qu’un test mensuel, des rapports scrupuleusement analysés et des correctifs appliqués méthodiquement seront déjà une promesse de sécurité améliorée. Les rapports que nous générons permettent aux entreprises de prioriser leurs actions. Nous précisons le degré de criticité des vulnérabilités détectées et depuis combien de temps celles-ci sont présentes sur le système d’information. A partir de ces deux informations, les DSI, RSSI peuvent définir les mesures à prendre prioritairement.