L’ouverture des entreprises sur internet a des répercussions directes sur la sécurité même du système d’information. Cette connexion permanente facilite en effet les actes de malveillance externes. Mais la phobie envers les hackers et les crackers ne doit pas masquer la réalité. D’après le dernier rapport du CSI/FBI Computer Crime and Security Survey, plus de 70 % des actes de piratage sont commis par des personnes internes à l’entreprise et ayant accès au système d’information. Toutes les sociétés prennent donc des mesures pour limiter au maximum les risques. Aucun système n’est infaillible, mais effectuer un audit complet de la sécurité du système d’information permet de faire le point. Les outils de détection de vulnérabilité s’y prêtent à merveille. Issus du monde des hackers, avec Satan, ces logiciels ont été “récupérés” par des éditeurs spécialisés dans la sécurité.Le laboratoire d’Internet Professionnel a testé 4 logiciels représentatifs du marché. Les solutions open source, qui détiennent encore une part de marché importante, on été écartées. Ce phénomène, surprenant au départ, est directement lié à des pratiques tarifaires depuis trop longtemps en vigueur. Le plus souvent, le prix de l’offre repose sur le nombre d’adresses IP testées. Une telle politique de prix engendre des coûts exorbitants. Soit les grands comptes choisissent de faire l’impasse sur une partie des équipements du système d’information et donc de disposer d’un rapport de vulnérabilité partiel, soit ils augmentent le budget alloué à la sécurité. Conscients de ce frein, les éditeurs modifient leur politique tarifaire et établissent des grilles de prix en fonction des tranches d’adresses. Ainsi, Axent Technologies et WebTrends commercialisent deux versions de leur produit. La première permet de scanner 254 adresses IP, la seconde est proposée en version illimitée. Network Associates, pour sa part, préfère parler en clients scannés. Il a bâti toute sa politique tarifaire sur ce schéma : prix par client scanné pour 1, 2 ou 3 ans.
DES PRODUITS SANS CESSE REMIS EN CAUSE
Les logiciels de détection de vulnérabilité ont le même point faible que les antivirus : leur base de signatures. Celle-ci doit être mise à jour régulièrement, sans quoi le rapport de vulnérabilité risque fort d’être erroné. Historiquement, Internet Security Systems, avec son outil Internet Scanner, disposait de la base de signatures la plus riche. Depuis, il ne cesse de perdre du terrain. De son côté, Network Associates s’enorgueillit de proposer une base de signatures référençant plus de 730 vulnérabilités avérées. Toutefois, pour les mises à jour, seul Internet Security Systems nous a annoncé une périodicité fixe. Les bases de signatures sont disponibles chaque mois sur internet et téléchargeables sur le site web de l’éditeur. Cette périodicité peut éventuellement être modifiée (écourtée notamment) en cas d’événement majeur. Les autres acteurs se sont contentés de nous annoncer des mises à jours régulières, sans spécifier leur fréquence. De plus, l’architecture propre des produits influe directement sur la base de signatures. La solution d’Internet Security Systems se compose, en fait, de trois modules, chacun remplissant une tâche précise. Baptisés Internet Scanner (logiciel testé), System Scanner et Database Scanner, ils détectent respectivement les vulnérabilités réseaux, systèmes et applicatives (bases de données). De leur côté, NetRecon d’Axent Technologies, CyberCop Scanner de Network Associates et Security Analyzer de WebTrends examinent les trois couches qui composent le système d’information.Quant à la détection des vulnérabilités s’effectue via des scénarios. Ces derniers, proposés par les éditeurs, sont modifiables afin de coller aux spécificités de l’entreprise. Tous les logiciels offrent de telles fonctions. Toutefois, les éditeurs ont développé leur produit en adoptant des architectures différentes. Ainsi, WebTrends (Security Analyzer) a opté pour une technologie de type agents/manager/console. Les agents ne sont pas indispensables au fonctionnement du produit, mais vivement recommandés si l’on souhaite obtenir une évaluation exhaustive. Ces agents sont déployés sur les équipements à surveiller. Internet Scanner d’Internet Security Systems et NetRecon d’Axent Technologies reposent sur le principe de scanner classique (installé sur un poste). Les opérations sont menées depuis un point unique. Enfin, à mi-chemin entre les deux approches, CyberCop de Network Associates fonctionne comme un scanner classique.
DES RAPPORTS D’ACTIVITÉ ENCORE TROP COMPLEXES
Quel que soit le produit utilisé, les informations remontées lors de l’analyse du système d’information sont centralisées dans des rapports. Ces documents restent peu lisibles pour les néophytes. Pourtant, Security Analyzer de WebTrends se démarque en proposant des rapports compréhensibles et clairs. Toutefois, une analyse complète et détaillée s’avère nécessaire. Le logiciel est en effet incapable de déterminer l’importance des failles en fonction du niveau critique d’un serveur. Ce travail doit être effectué par les administrateurs sécurité. De plus, ces outils détectent les failles du système mais ne fournissent aucune solution pour y remédier. Le recours à un prestataire extérieur s’avère souvent une excellente solution.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.