les 5 mins du professeur Audenard - épisode 15 : la détection de vulnérabilité dans le Cloud

Regardez la vidéo directement sur Dailymotion ici.

Un attaquant ou source de menace exploite une vulnérabilité pour compromettre un système (prise de contrôle, copie ou destruction des données...) ce qui aura un impact pour l'entreprise. Pour une piqûre de rappel sur ces 3 notions clefs, je vous invite à revoir l'épisode 14 des 5 mins du professeur Audenard "menace, vulnérabilité et impact".

Mais comment connaitre ses vulnérabilités et en quoi le Cloud peut-il nous donner un coup de pouce ? 

la détection de vulnérabilités

La détection de vulnérabilités consiste justement à identifier les faiblesses ou failles qui pourraient être présentes sur un système informatique ou un équipement.

En connaissant les vulnérabilités présentes il sera possible de combler les failles - on dit aussi "corriger les vulnérabilités". C’est une activité essentielle de maintien en condition opérationnelle de sécurité. Les patchs ou correctifs de sécurité sont le moyen classique de corriger une vulnérabilité.

des logiciels spécifiques pour identifier les vulnérabilités

Mais pour être en mesure de corriger une vulnérabilité, il faut savoir qu'il y en a une. Cela n'est pas évident : surtout quand une société possède des centaines de machines gérées par des entités différentes... afin de faciliter la détection des vulnérabilités, on utilise des programmes spéciaux appelés "scanneurs de vulnérabilités" (en anglais "vulnerabilities scanners").

Ces scanneurs de vulnérabilités sont des logiciels qui vont envoyer via le réseau des requêtes afin de détecter si des vulnérabilités sont présentes ou non sur un système cible.  

... pas toujours très pratiques à utiliser 

Si les logiciels à installer sur une machine sont tout à fait utilisables, ils ont des inconvénients par rapport à des solutions dans le Cloud.

  1. il faut que la machine à scanner soit accessible via le réseau
  2. il faut protéger la machine sur laquelle le logiciel est installé (car elle contient tous les résultats des scans)
  3. mais surtout ces logiciels ne sont généralement faits que pour être utilisés par une personne à la fois... en plus, il faut les mettre à jour (corrections de bugs, nouvelles fonctionnalités...) et mettre à jour leurs "plugins" pour détecter les toutes dernières vulnérabilités

Tout cela fait que des services de détection de vulnérabilités dans le Cloud sont apparus. 

des services dans le Cloud pour plus d'efficacité

Les services Cloud permettant de détecter des vulnérabilités appartiennent à la catégorie des services dits "SecaaS" (pour "Security as a Service").

Ils offrent simultanément les bénéfices des services Cloud (self-service, accès à distance via réseau, grande capacité des ressources disponibles, redimensionnement rapide, facturation à l'usage) et permettent de scanner aussi bien des serveurs sur Internet que des serveurs cachés derrière des firewalls.

Dans ce dernier cas, il est nécessaire d’installer des sondes en local (sur un serveur physique ou sous la forme d’une machine virtuelle). Cette sonde allant être pilotée à distance depuis le Cloud.

Avec un service dans le Cloud, la détection des vulnérabilités est rapide et aisée et son coût est optimisé pour l'organisation (coût au scan ou à l’adresse IP scannée).

des logiciels à installer sur une machine

Parmi les grands scanneurs de détection de vulnérabilités, il y a Nessus, OpenVAS (OpenSource), Rapid7 ou encore SAINT pour ne citer que ceux-ci.

Dans le cas d'un OpenVAS, on l'installe sur un serveur ou un ordinateur portable pour ensuite lancer les scans. Bien qu'un OpenVAS soit très bien, il reste assez "brut" et ne bénéficie pas de fonctionnalités qui intéressent les entreprises (rapports évolués, documentation & supports de formation, mises à jour fréquentes, ergonomie de l'interface, workflow de suivi des corrections...).

Il reste qu'un OpenVAS c'est très pratique et donne des résultats pertinents : il ne faut pas se priver de l'utiliser. :-)

... scanner ne doit pas être un cache-sexe

Les outils de détection de vulnérabilités avec leurs beaux rapports ne doivent pas être des cache-sexes sécurité. Scanner rapidement et efficacement ses systèmes c'est bien mais corriger rapidement les failles découvertes c'est mieux

J'ai trop souvent vu des organisations (et j'en vois encore - juré craché) bien outillées pour scanner mais qui ont les plus grandes difficultés à déployer les contre-mesures qui vont avec... Certaines personnes se prétendant "responsables sécurité de ceci ou de cela" en font une finalité vis-à-vis de leur hiérarchie car celle-ci ne comprends pas grand-chose au sujet.

à répéter 10 fois avant de scanner  

Scanner n'est pas patcher, scanner ne protège en rien. Scanner donne de la visibilité sur ce qui va et sur ce qui ne va pas (et qui doit donc être corrigé). Un service de détection de vulnérabilités dans le Cloud n'est donc pas une "solution sécurité magique"... 

Si vous avez besoin (ou envie) d'une piqûre de rappel sur comment gérer une vulnérabilité, je vous invite à relire le super article de Guillaume BAZIRE intitulé "la course aux mises à jour de sécurité".

Et vous, quels sont vos outils ou services Cloud de scan préférés ?

Jean-François Audenard (aka Jeff)

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens