Mardi 12 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Dossier sécurité :
savoir conserver un bon niveau

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 07/10/2003 - indexel.net
 

Une fois les audits terminés et les outils de sécurité déployés et bien administrés, le répit n´est hélas que de courte durée...

 

"En sécurité, une fois qu´on a atteint un niveau donné, on ne le conserve pas : il se produit une érosion avec le temps, due aux mouvements de personnels, à l´installation de nouvelles applications ou la prise en compte de nouvelles tâches. Il suffit d´un mois pour constater une différence notable dans la sécurité d´une entreprise", reconnaît Philippe Launay, responsable marketing des offres sécurité de Sodifrance. Et à moins d´avoir confié la gestion de sa sécurité à un prestataire extérieur (et de lui témoigner une confiance absolue), il est alors nécessaire de savoir mesurer le niveau de sécurité de l´entreprise, afin de procéder à des contrôles réguliers. L´objectif est de pouvoir comparer plusieurs lectures successives afin de déceler au plus tôt une baisse du niveau de sécurité de l´entreprise. Mais qu´est-ce qu´un "niveau de sécurité", sinon une notion floue et souvent arbitraire, qui se prête mal à une mesure objective ?

La solution miracle serait de pouvoir réaliser des audits à répétition. Mais le coût de telles prestations ne le permet pas, même chez les grands comptes. La solution passe alors par des audits de vulnérabilités automatisés. Peu chers et disponibles à volonté, ils constituent un palliatif tout à fait acceptable. Bien sûr, ces audits-là ne vont pas indiquer que le compte de tel utilisateur existe toujours un mois après son départ de l´entreprise, ou que tel mot de passe n´a jamais été changé. Mais, généralement pratiqués depuis Internet, ils permettent d´ausculter le périmètre extérieur de l´entreprise afin d´en dénicher les failles de sécurité connues qui pourraient être exploitées par un pirate. Ils permettent de détecter le changement de configuration que l´on pensait anodin, mais qui ouvre en réalité une brèche de sécurité majeure. Ou le firewall que le technicien, chez le prestataire d´infogérance, a ouvert "provisoirement", le mois dernier...Ces audits s´achètent le plus souvent sur abonnement, et permettent à l´entreprise de réaliser autant de tests qu´elle le souhaite, n´importe quand. Les tests sont lancés depuis internet, et les rapports, souvent très détaillés, sont consultables en ligne. Les services proposent également des tableaux de bord qui permettent de suivre l´évolution du niveau de sécurité (selon des notes calculées avec des barèmes propriétaires parfois un peu obscurs, ou tout simplement en fonction du nombre de vulnérabilités détectées). Cela reste superficiel, mais après tout, c´est du niveau de la grande majorité des pirates que l´on rencontre sur Internet : ils ne font guère plus qu´attendre qu´une vulnérabilité soit publiée pour tenter de l´exploiter sur un maximum de victimes ! Enfin, de tels tests récurrents permettent de conserver l´étanchéité de périmètre extérieur, entre deux vrais audits de sécurité, ce que les experts conseillent de renouveler chaque année.

Le marché

Les audits de vulnérabilités en ligne sont généralement proposés en mode locatif (ASP). En France, on trouve sur ce marché Qualys, Intranode, Vigilante et MonDSI.com (Groupe Risc). Parallèlement, il est possible de se procurer des scanners de vulnérabilités logiciels, capables de scanner aussi bien le réseau interne que la périphérie, mais ils sont d´une utilisation moins évidente que leurs cousins en ligne. Le plus connu d´entre eux est Nessus, un logiciel libre.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages