Retour à la liste

Scanner de vulnérabilités : l'outil indispensable pour vous aider à protéger votre entreprise

Actualités

Malgré une stabilisation du nombre d’intrusions dans les systèmes, le niveau général des menaces se maintient à un niveau très élevé.

Il est fréquent que les entreprises tardent à appliquer les correctifs de sécurité fournis par les éditeurs de logiciels, exposant ainsi leurs systèmes à des vulnérabilités connues. Cette négligence peut être due à une méconnaissance des systèmes d'information des entreprises concernés.

Dès qu'une méthode d'exploitation est disponible, en quelques jours, voire quelques heures, l'exploitation des vulnérabilités peut être industrialisée, notamment par l'identification des instances vulnérables à l'aide de scans massifs, et servir des objectifs variés, de l'espionnage informatique aux attaques à but lucratif. L'exploitation de vulnérabilités sur des équipements réseau est courante et permet régulièrement des cyberattaques par ransomware.

 

Qu’est-ce qu’un scanner de vulnérabilités ?

Pour remédier à ceci, il est possible de mettre en place un scanner de vulnérabilités. Il s’agit d’un logiciel qui permet de prendre connaissance de la composition de son système d’information puis d’en détecter les faiblesses de sécurité.

Celles-ci sont identifiées grâce à une base de données interne au scanner qui contient les vulnérabilités connues et les problèmes de sécurité courants. Ceux-ci sont remontés directement par les fournisseurs logiciels ainsi que par les organisations ou agences gouvernementales.

 

Principe de fonctionnement d’un scanner de vulnérabilités

De nombreuses techniques sont utilisées pour identifier ces vulnérabilités. Des algorithmes sont utilisés pour chercher les faiblesses potentielles, telles que les ports ouverts, les configurations non sécurisées ou encore les logiciels et packages obsolètes.

Les scans sont automatiques. Un système d'information entier peut facilement être testé en quelques heures ou jours, selon sa taille. Il est également possible de programmer des scans à des moments précis comme en dehors des heures de travail.

La base de données du scanner est mise à jour quotidiennement avec les dernières vulnérabilités publiées. C'est un bon avantage pour remédier rapidement aux dernières menaces, par rapport à un test d’intrusion qui est généralement réalisé une ou deux fois par an.

 

Les différents types de scans

Il existe de nombreuses méthodes de scan permettant de remonter un panel très varié de vulnérabilités. Voici les différents types de scans pouvant exister :

  • Scan de sécurité du système : conçu pour analyser les systèmes d’exploitation afin de détecter les vulnérabilités présentes sur les logiciels et packages obsolètes. Ce type de scan peut également être exécuté sur les applications conteneurisées ou hébergées sur le cloud.
  • Scan de défauts de configuration : examine la configuration des systèmes et des réseaux pour détecter des défauts de conformité pouvant être exploités par des attaquants. Cela peut inclure, par exemple, les mots de passe faibles, les protocoles obsolètes ou les erreurs de configuration.
  • Scan de site web : analyse les applications web pour détecter des vulnérabilités telles que des injections SQL ou XSS.
  • Scan de projet cloud : identifie les problèmes de sécurité dans un environnement cloud. Cela inclut des vérifications de configurations de sécurité, de la protection de données sensibles ou des autorisations d’accès.
  • Scan de contrôle d’accès : permet de vérifier les autorisations d'accès aux systèmes, réseaux ou applications. Cela peut inclure la vérification des politiques de contrôle d'accès, des autorisations d'accès spécifiques ou des droits d'utilisateurs.

 

Ces scans peuvent être exécutés via différentes manières :

  • De manière authentifiée, fonctionnant généralement grâce à un agent, un logiciel installé sur les actifs à surveiller, remontant les informations nécessaires au scan. Il est aussi possible de réaliser un scan authentifié sans agent grâce à une connexion SSH ou WinRM via un compte utilisateur possédant les droits adéquats.
  • De façon non authentifiée, fonctionnant via le réseau, et ne nécessitant aucun droit d’accès sur les actifs à surveiller. Les actifs sont analysés directement par le scanner et ne remontent pas d’informations d’eux-mêmes contrairement au mode authentifié.

Un scan authentifié permet de remonter toutes les informations du système, incluant les packages et applications installées, le système d’exploitation, les utilisateurs, les groupes ou les logs.

Tandis qu’un scan non authentifié permet d’avoir une vue d’attaquant externe sur le système d’information et de se concentrer sur les vulnérabilités exploitables par le grand public. En effet, il fonctionne en scannant les services directement exposés sur le réseau.

 

La gestion des corrections

Lorsqu'un scanner détecte un problème de sécurité, il fournit une description de la vulnérabilité. Les entreprises peuvent utiliser ces informations pour développer des plans de correction et mettre en œuvre les mesures nécessaires pour protéger leurs systèmes.

Les scanners de vulnérabilités peuvent également fournir des mesures détaillées à prendre pour corriger les vulnérabilités détectées. Plusieurs solutions peuvent exister comprenant par exemple une mise en place de correctifs logiciels, la modification de certains paramètres de sécurité ou la mise en place d’une politique de sécurité plus stricte.

 

Avantages et limites d’un scanner de vulnérabilités

Les besoins en personnel pour la mise en place d’un scan sont généralement moins importants que pour un test d’intrusion. Cependant, l’analyse des résultats nécessite plus de temps puisqu’elle n’est pas automatisée et nécessite une confirmation par l’équipe technique. En effet, des faux positifs peuvent être inclus dans le rapport compilé à la fin du scan.

De plus, les scanners ne testent que les vulnérabilités contenues dans leur base de données. Ils ne détectent pas les vulnérabilités non répertoriées ou les failles logiques spécifiques à une situation.

Cependant, malgré leurs limites, les scanners de vulnérabilités sont un outil utile pour les entreprises qui cherchent à renforcer leur sécurité informatique. Ils fournissent en effet un système de surveillance continu afin d’empêcher les attaques des acteurs malveillants exploitant les dernières vulnérabilités.

 

Choisir son scanner de vulnérabilités

Il est important de choisir un scanner de vulnérabilités qui convient à la taille et à la complexité de son entreprise car certaines solutions peuvent être coûteuses, complexes et non adaptées à votre besoin.

Aujourd’hui, il existe de nombreuses solutions de scanners de vulnérabilités sur le marché. Parmi les outils disponibles, on peut mentionner Cyberwatch, Qualys, InsightVM, Nessus, OpenVAS, Wazuh, sans prétendre à une liste exhaustive. Chacun de ces scanners de vulnérabilités offre des fonctionnalités uniques pour aider les entreprises à mieux comprendre les menaces et à prendre les mesures nécessaires pour les corriger.

 

Lucas Soursou, Consultant Avangarde Consulting

 

Si vous voulez en savoir plus, notamment quel scanner serait le plus adapté à votre organisation, n’hésitez pas à contacter Lucas Soursou, de la société Avangarde Consulting, auteur de cet article & spécialiste de ce domaine.