Test de vulnérabilités, solution visant à détecter les vulnérabilités
Réalisez le test de vulnérabilités aux niveaux applicatif, réseau ou système, en utilisant les réseaux internes ou externes.
Objectifs du test de vulnérabilités
- Evaluer l’efficacité des dispositifs de sécurité logique.
- Identifier les vulnérabilités.
- Permettre de minimiser votre surface d’attaque et de réduire les risques.
- Prévenir les attaques dues à des logiciels mal configurés dans services, les systèmes d’exploitation et les appareils réseau.
- Identifier les correctifs de sécurité manquants.
- Identifier les logiciels obsolètes par des analyses du système.
Forme du test de vulnérabilités
Tests logiques effectués en interne et en externe avec des outils spécialisés.
Les failles de sécurité étant très souvent spécifiques aux OS, évitez de dévoiler les OS des serveurs. Cependant, les extensions de fichiers .asp, l’utilisation de .htm au lieu de .html, et les pages d’accueil baptisées default.htm permettent à un pirate d’identifier un serveur IIS par exemple. De plus, beaucoup d’outils aident les pirates à déterminer l’OS d’un système et ne nécessitent, pour être utilisés, que l’adresse IP du serveur.
Le test de vulnérabilités
Un bilan complet
Il établit un bilan complet et exhaustif des vulnérabilités, c’est à dire des failles potentielles.
Il est important à ce stade de bien comprendre qu’une vulnérabilité n’est pas une faille. Dans le cadre du test de vulnérabilités, l’auditeur cherche à révéler l’ensemble des vulnérabilités possibles, mais sans les exploiter.
Des recommandations détaillées
Le test de vulnérabilité fournit un rapport détaillé.
Ce rapport comprend des recommandations et les détails techniques permettant de comprendre, reproduire et faire corriger les problèmes détectés.
Contexte
Selon le Rapport sur la cybercriminalité de McAfee et du CSIS, le coût mondial des atteintes à la cybersécurité atteindra 600 milliards de dollars d’ici 2021. Selon l’institut Gartner, 99 % des vulnérabilités exploitées étaient connues des professionnels de la sécurité/informatiques depuis au moins un an.
Les vulnérabilités se nichent absolument partout : systèmes d’exploitation, machines virtuelles, applications métiers, protocoles de transports de données. Le risque est omniprésent !
Mieux vaut mettre régulièrement votre infrastructure IT à l’épreuve afin d’en détecter les faiblesses éventuelles. Les tests de vulnérabilités mettront en lumière les lacunes de votre système d’information. Mais attention, pour réussir un tel test, il faut agir avec méthode…
Un protocole précis
Cartographiez
Tous les tests de vulnérabilité débutent par une première phase d’exploration. Cette phase permet de cartographier les arcanes du systèmes d’information. Cet audit préliminaire permet d’identifier les machines utilisées, les systèmes d’exploitation qui coexistent sur l’infrastructure, les applications métiers ou encore les usages des utilisateurs.
Détectez
Rechercher les vulnérabilités publiées par les autorités (CERT-FR NVD…), et présentes dans votre parc informatique.
Priorisez
Evaluer vos vulnérabilités en fonction, de l’existence d’un exploit, et du contexte métier de la machine affectée.
Prendre les bonnes décisions
A l’issue d’un test de vulnérabilité, les défaillances détectées sont scorées en fonction de leur criticité.
Par conséquent il devient alors très simple de décider des corrections à apporter en priorité !
Corrigez
Les limites à ne pas franchir…
Les évolutions, les mutations, les changements d’une infrastructure IT sont permanents.
Tester la vulnérabilité doit être répétée plusieurs fois par an (une fois par mois est une fréquence appropriée). Les analyses doivent se dérouler en perturbant le moins possible les flux de production. Il est donc préférable de les exécuter sur les tranches horaires adaptées (HNO, hors fenêtre de back-up, etc.). Les tests peuvent également être menés de manière ciblée. Dans ce cas, il s’agira de définir le nombre d’actifs à scanner simultanément.
Les recommandations Pérenne’IT
La réussite d’un test de vulnérabilité repose sur la mise en place de certaines recommandations :
- Tester les réseaux internes et externes,
- Recourir à un consultant spécialisé pour l’interprétation des tests tout au moins les premières fois.
L’idée est ainsi d’allier la rapidité des tests de vulnérabilité et l’expérience d’un consultant qui saura mieux interpréter les résultats et creuser là où cela a réellement du sens.
Et dans un second temps, d’affiner le processus : Par des tests ciblés exclusivement sur les applicatifs métiers les plus sensibles, comme les serveurs web ou les têtes de pont VPN (réseau privé virtuel, etc…). Cette approche permet de maîtriser ses dépenses en les ventilant intelligemment sur un budget annuel.
- Mettre régulièrement votre infrastructure IT à l’épreuve,
- Agir avec méthode.
Les « tests de Vulnérabilité » sont souvent inclus dans l’Audit du système d’information.