Les outils de détection de vulnérabilités sont des outils connus et utilisés par tous. Mais qu’est-ce qui guide le choix entre les outils libres/open source et les outils ou services commerciaux ? Frédéric Malagoli d’Athéos nous donne les réponses. Et ces réponses sont rassurantes :
Voir la vidéo directement sur Youtube.
open source : des outils tout aussi pointus ?
Le point le plus important est que les outils open source de détection de vulnérabilités sont aussi pointus que leurs cousins commerciaux. Oui, car obtenir des résultats exacts suite à un scan c’est essentiel : des faux négatifs c’est comme jouer à colin-maillard en plein milieu d’un champ de crottes (sic !) et avoir des faux positifs c’est appuyer sur le champignon et demander des mises à jours inutiles alors que tout va bien…
Mais si les résultats entre un outil de détection open source et ceux d’un outil commercial sont quasiment identiques, pourquoi alors dépensez plus ? En fait, la question réside au niveau du maintien en condition opérationnelle des outils de scans. Les versions open source sont généralement plus complexes (et donc couteuses) à maintenir et à utiliser que les versions commerciales.
scanner c'est bien, patcher c'est mieux !
Tout est donc une question de « focus », car « scanner c’est bien, patcher c’est mieux » et certaines organisations l’ont bien compris. A compétences/expertises égales, il vaut mieux souscrire/acheter un service commercial pour ses scans de détection de vulnérabilités et laisser ses équipes se concentrer sur le déploiement des correctifs.
Jean-François (aka Jeff) Audenard
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens