Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Détection de vulnérabilités : vous la voudrez payante ou gratuite ? #OSD14

Détection de vulnérabilités : vous la voudrez payante ou gratuite ? #OSD14
2014-04-152014-04-15sécurité applicativefr
Les outils de détection de vulnérabilités sont des outils connus et utilisés par tous. Mais qu’est-ce qui guide le choix entre les outils libres/open source et les outils ou services commerciaux ? Frédéric Malagoli d’Athéos nous donne les réponses. Et ces réponses sont rassurantes :
Publié le 15 Avril 2014 par Jean-François Audenard dans sécurité applicative
détection de vulnérabilités : vous la voudrez payante ou gratuite ? #OSD14

Les outils de détection de vulnérabilités sont des outils connus et utilisés par tous. Mais qu’est-ce qui guide le choix entre les outils libres/open source et les outils ou services commerciaux ? Frédéric Malagoli d’Athéos nous donne les réponses. Et ces réponses sont rassurantes :

Voir la vidéo directement sur Youtube.

open source : des outils tout aussi pointus ?

Le point le plus important est que les outils open source de détection de vulnérabilités sont aussi pointus que leurs cousins commerciaux. Oui, car obtenir des résultats exacts suite à un scan c’est essentiel : des faux négatifs c’est comme jouer à colin-maillard en plein milieu d’un champ de crottes (sic !) et avoir des faux positifs c’est appuyer sur le champignon et demander des mises à jours inutiles alors que tout va bien…

Mais si les résultats entre un outil de détection open source et ceux d’un outil commercial sont quasiment identiques, pourquoi alors dépensez plus ? En fait, la question réside au niveau du maintien en condition opérationnelle des outils de scans. Les versions open source sont généralement plus complexes (et donc couteuses) à maintenir et à utiliser que les versions commerciales.

scanner c'est bien, patcher c'est mieux !

Tout est donc une question de « focus », car « scanner c’est bien, patcher c’est mieux » et certaines organisations l’ont bien compris. A compétences/expertises égales, il vaut mieux souscrire/acheter un service commercial pour ses scans de détection de vulnérabilités et laisser ses équipes se concentrer sur le déploiement des correctifs.

Jean-François (aka Jeff) Audenard

1 Commentaire

  • 24 Avril 2014
    2014-04-24
    par
    Soso42
    Merci pour l'article ! J'ai découvert un outil de gestion des vulnérabilités en OpenSaaS gratuit et limité à 32IP.
    http://www.ikare-monitoring.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage