État des lieux
La recherche automatisée des vulnérabilités permet des analyses plus fréquentes qu’un test d’intrusion.
L’analyse automatique de vulnérabilités a pour objectif de détecter les vulnérabilités connues afin de les corriger avant qu’elles ne puissent être exploitées par l’attaquant. L’aspect automatisé de ces solutions permet une utilisation beaucoup plus systématique et industrialisée que le test d’intrusion manuel.
Cette approche ne date pas d’hier : les premiers scanners de vulnérabilité sont apparus dès le milieu des années 90, qu’ils soient libres (SATAN, Security Administrator Tool for Analyzing Networks) ou commerciaux (ISS, Internet Security Systems).
L’analyse automatisée de vulnérabilités est aujourd’hui un marché mûr, avec des acteurs de premier plan, des solutions abouties et un périmètre fonctionnel beaucoup plus large qu’à ses débuts. Ce n’était toutefois pas le cas au début des années 2000, où la controverse faisait rage. Les experts étaient alors divisés quant à savoir s’il fallait vraiment offrir aux pirates un outil qui faciliterait leur recherche de failles ! La question a été largement tranchée depuis : les pirates disposaient de ce type d’outil bien avant les entreprises et il est donc important pour ces dernières d’en bénéficier également !
Vers un périmètre plus large
Les solutions en pointe aujourd’hui ne se limitent plus à la seule recherche de vulnérabilités sur les services réseaux exposés. Elles incluent désormais dans leur périmètre également les applications (web notamment, avec la recherche active de vulnérabilités telle l’injection SQL), le poste de travail (y compris les applications installées), les machines virtuelles et les instances Cloud, ou encore les containers de type Docker.
Des données enrichies et contextualisées
Une autre évolution notable de ce marché réside dans la prise en compte de facteurs externes aux systèmes analysés. Les solutions de pointe ne se contentent ainsi plus seulement d’identifier des vulnérabilités connues, mais sont en mesure de s’appuyer sur des sources d’information externes (en s’intégrant à une solution de Threat Intelligence, par exemple) ou internes à l’entreprise (le contexte métier, par exemple via une solution de classification des données ou de gestion des actifs). Dans les deux cas, ces informations complémentaires fournissent un contexte enrichi qui facilite la prioritisation des vulnérabilités détectées.
Rapports, conseils et cycle de vie
Dernière évolution majeure enfin, les solutions d’analyse des vulnérabilités modernes mettent l’accent sur la présentation, avec des rapports clairs à plusieurs niveaux (résumé pour l’encadrement, rapport technique, conseils de correction, tendances…). Elles offrent également de puissantes fonctionnalités de suivi du cycle de vie des vulnérabilités (attribution des tickets, suivi de la correction) et s’interfacent avec les solutions de gestion des tickets d’incidents.
Les fonctionnalités à évaluer
Agent local
Existe-t-il un client pour le poste de travail capable de détecter des vulnérabilités de configuration ou dans les applications installées ?
Confirmation des vulnérabilités
La solution est-elle en mesure de confirmer, par un test, la présence d’une vulnérabilité détectée par une signature ?
Analyse authentifiée, externe et externe
La solution est-elle en mesure d’offrir une vision unifiée des vulnérabilités détectées sur le périmètre externe, le réseau interne, ou derrière une authentification ?
Contrôle de conformité
La solution permet-elle de spécifier une liste de contrôles de configuration personnalisés afin de d’identifier les équipements non-conformes ?
Ouverture aux contextes menace et métier
La solution est-elle capable de prendre en compte des informations contextuelles tierces (issues d’une solution de threat intelligence ou de gestion des actifs) afin d’aider à prioritiser les vulnérabilités ?
Cycle de vie des vulnérabilités
La solution permet-elle de gérer le cycle de vie des vulnérabilités, de la détection à la remédiation, en suivant les responsabilités de sa correction ?