Les Meilleures Pratiques Pour Sélectionner Une Solution De Gestion

Les meilleures pratiques pour sélectionner une
solution de gestion des vulnérabilités (VM)
Face à des pirates qui utilisent des moyens de plus en plus sophistiqués pour s’introduire sur les systèmes,
localiser et inspecter manuellement les équipements sur votre réseau ne suffit plus. Une solution de gestion
des vulnérabilités (VM) efficace vous permet de surveiller votre environnement et de : découvrir les
équipements actifs sur votre réseau, déterminer leur vulnérabilité aux attaques, trouver des correctifs aux
problèmes sous-jacents et vous protéger pendant le déploiement de ces mêmes correctifs. Grâce aux
nouvelles technologies VM dans le Cloud, vous pouvez tester automatiquement et avec précision votre
périmètre et vos systèmes Cloud, vos appliances DMZ, vos postes de travail ainsi que vos équipements
mobiles. Cette liste de meilleures pratiques vous fera gagner du temps et vous indiquera les critères
majeurs à rechercher pour sélectionner une solution de VM, que vous ayez une dizaine ou un million de
systèmes.
émergentes ou les problèmes répertoriés dans le « Patch
Tuesday » sans imposer de nouvelles analyses.
Architecture
 La solution de VM est-elle un produit logiciel ou un
 La solution de VM peut-elle analyser les systèmes
service Cloud ?
périmétriques, internes et dans le Cloud ?
Les solutions de VM que vous installez sur votre réseau exigent
Les solutions de VM modernes permettent de vérifier les
d’investir dans des serveurs que vous devrez : configurer,
systèmes partout où ils se trouvent : sur Internet, à l’intérieur
administrer, sauvegarder et remédier avec les patchs adéquats. A
de votre réseau privé ou dans le Cloud. Recherchez des
contrario, les solutions modernes de VM dans le Cloud (parfois
solutions qui vous permettent d’utiliser un seul outil chaque
appelées logiciels fournis en mode SaaS) :
fois que nécessaire et qui offrent une vue consolidée de votre
• Ne vous imposent pas d’investir dans des équipements.
sécurité.
• N’exigent aucune mise à jour ni sauvegarde de base de
 Comment la solution de VM gère-t-elle de nombreux
données, etc.
sites ?
• Peuvent immédiatement analyser vos systèmes
C’est l’une des grandes différences de l’approche des solutions
périmétriques.
de VM :
• S’utilisent directement via votre navigateur Web.
• S’adaptent facilement pour gérer de nouveaux
• Produits sur site : les solutions logicielles de VM que
équipements, utilisateurs et sites.
vous installez vous-mêmes utilisent votre réseau
• Présentent des coûts plus prévisibles.
d’entreprise internes pour analyser chacun des
• Permettent de stocker les résultats de manière objective
équipements. Ceci peut créer des goulots d’étranglement
et non falsifiable pour les audits.
sur des zones plus lentes et saturées de votre réseau ou
lorsque le scanner traverse des firewalls pour analyser
 La solution de VM est-elle une solution de surveillance
des systèmes sur Internet.
complète ou un simple scanner ?
• Logiciels fournis sous la forme de services de base :
Les produits de VM plus anciens se content d’analyser votre
certains services de VM limités peuvent uniquement
réseau et de formater les données qu’ils collectent dans les
analyser des équipements accessibles via Internet et
rapports. Des solutions plus récentes suivent l’état de vos
externes.
systèmes pour fournir une vue permanente de votre sécurité. Ils
• Services dans le Cloud : les solutions de VM modernes
font également des prévisions sur les vulnérabilités « Zero Day »
COPYRIGHT © 2013, QUALYS, INC.
1
JULY 3, 2013
LES MEILLEURES PRATIQUES POUR SÉLECTIONNER UNE SOLUTION DE GESTION DES VULNÉRABILITÉS (VM)
fournies via le Cloud sont spécifiquement conçues pour
analyser des systèmes sur plusieurs sites en même
temps. Ces solutions utilisent des appliances de scanner
sécurisées et administrées à distance (sous forme de
boîtiers physiques ou de machines virtuelles) qui peuvent
être installées sur différentes zones de votre réseau pour
une analyse interne efficace et un impact minimum sur
votre infrastructure.
•
 La solution de VM peut-elle analyser tous vos
systèmes ?
Avec les réseaux contemporains qui sont en permanence
sous pression, la solution de VM doit être capable d’analyser
vos systèmes, même lorsqu’ils arrivent sur ou quittent votre
réseau. Assurez-vous que votre solution de VM gère les
équipements Cloud, périmétriques et internes de manière
cohérente.
 Y a-t-il des failles dans mon firewall ?
Vous ne devriez jamais compromettre votre sécurité en
ouvrant des ports spéciaux sur votre firewall d’entreprise.
 La solution de VM s’intègre-t-elle à d’autres systèmes ?
Les scanners de vulnérabilités peuvent être une source
cruciale d’informations de Security Intelligence pour d’autres
systèmes de sécurité et de conformité. Intéressez-vous à des
solutions de VM qui offrent de puissantes API pour faciliter
leur intégration à vos solutions de gestion des événements et
des informations de sécurité (SIEM), de gestion des risques
(ERM) ou de gouvernance (GRC).
 La solution de VM peut-elle découvrir ce qui se trouve
vraiment sur votre réseau ?
Des équipements peuvent être installés sur votre réseau par
presque tout le monde au sein de l’entreprise et tomber tout
aussi facilement dans les oubliettes... Intéressez-vous à des
solutions de VM qui pourront lancer des recherches sur votre
périmètre, vos réseaux internes et dans les environnements
Cloud tels qu’Amazon EC2. Ceci permettra de découvrir et de
cataloguer les équipements qui sont vraiment exécutés.
Analyse
 La solution de VM peut-elle organiser les équipements
de manière dynamique ?
De nombreuses solutions de VM vous permettent d’organiser
vos équipements par groupes à des fins d’analyse et de
reporting. Les meilleurs systèmes de VM procèdent de
manière dynamique en s’appuyant ce qui est découvert sur
les équipements (système d’exploitation, réseau, logiciels,
etc.). Contrairement à des systèmes plus anciens et qui sont
laborieux à utiliser, les solutions de VM de pointe utilisent des
techniques modernes telles que le « tagging » pour marquer
de manière programmée chaque équipement que vous
rencontrez.
 Quelles sont les fonctionnalités indispensables à une
analyse des vulnérabilités ?
La puissance des solutions de gestion des vulnérabilités est
tributaire des données qu’elles peuvent collecter. Optez pour
des solutions de VM qui :
•
•
•
•
•
•
•
•
•
•
Peuvent surveiller vos systèmes périmétriques, internes
et dans le Cloud ?
Découvrent les équipements perdus ou cachés sur votre
réseau.
Organisent les équipements automatiquement à l’aide de
règles personnalisables.
Gèrent sans peine jusqu’à plusieurs millions
d’équipements.
S’authentifient auprès des équipements pour procéder à
une analyse détaillée.
Analysent efficacement les réseaux internes et externes.
Identifient les vulnérabilités d’après les recommandations
CVE.
Identifient les vulnérabilités qui peuvent être résolues et à
quel moment.
Offrent une précision d’analyse d’au moins Six Sigma.
Peuvent être utilisées par différentes personnes sans
COPYRIGHT © 2013, QUALYS, INC.
créer de perturbation.
Protègent les données d’analyse contre l’écoute et la
falsification.
 La solution de VM peut-elle analyser efficacement un
grand nombre d’équipements ?
Les solutions de VM modernes sont évolutives et vous
permettent d’analyser des zones de votre réseau de manière
parallèle et de consolider automatiquement les résultats dans
un rapport unique. Ceci permet d’accélérer l’analyse sans
surcharger votre réseau.
 Les analyses peuvent-elles être exécutées
automatiquement, voire en permanence ?
La véritable puissance des solutions de VM réside dans
l’automatisation. Vous devriez pouvoir programmer des
2
26 JUIN 2013
LES MEILLEURES PRATIQUES POUR SÉLECTIONNER UNE SOLUTION DE GESTION DES VULNÉRABILITÉS (VM)
 Plusieurs personnes peuvent-elles utiliser la solution de
analyses à tout moment, notamment lors les phases de
maintenance et pouvoir les répéter sans interruption.
VM en même temps ?
Recherchez des solutions de VM qui autorisent plusieurs
personnes à analyser et créer des rapports simultanément
sans se gêner mutuellement.
 Quelles sont les vulnérabilités recherchées par la
solution de VM ?
Les meilleures solutions de VM associent des données de
vulnérabilités provenant de sources normalisées telles que le
CERT, d’éditeurs de logiciels comme Microsoft et
d’informations reçues par des réseaux de clients d’envergure
mondiale. Choisissez des solutions qui vérifient
rigoureusement la précision de chaque définition de
vulnérabilités.
 La solution de VM protège-t-elle les données à des fins
d’audit ?
Les auditeurs soupçonneront (et rejetteront probablement)
toute donnée de vulnérabilités susceptible d’être manipulée
par votre entreprise. Assurez-vous que la solution de VM
stocke les données de vulnérabilités loin des utilisateurs, par
exemple dans le Cloud pour prévenir toute falsification.
 Quelle est la fréquence d’ajout de nouvelles
signatures ?
En raison des nouvelles vulnérabilités découvertes chaque
jour, votre système de VM doit pouvoir gérer les nouvelles
vulnérabilités dès leur publication par votre éditeur de
solutions de VM.
Reporting
 La solution de VM permet-elle de générer des rapports
sur mesure pour différentes audiences ?
La plupart des solutions de VM modernes distribuent l’énorme
volume de données qu’elles collectent sous la forme
d’analyses pouvant déclencher des actions de sécurité
rapides. Mettez-vous en quête de solutions qui fournissent
différents niveaux d’information, qu’il s’agisse d’évaluations de
la sécurité globale destinées à la Direction ou de rapports
détaillés tenant compte de vos critères spécifiques.
 La solution de VM peut-elle recourir à l’authentification
pour effectuer une analyse approfondie ?
De nombreuses vulnérabilités peuvent uniquement être
détectées en examinant les informations sur l’équipement luimême, et pas seulement le comportement de l’équipement sur
le réseau. Utilisez uniquement des solutions de VM qui vous
permettent de spécifier des certificats pour vous connecter en
toute sécurité à des équipements, bases de données ou
applications.
 La solution de VM fournit-elle une analyse prédictive ?
Les solutions de VM évoluées peuvent conserver une trace de
l’état de chaque équipement pour prévoir quels équipements
peuvent être vulnérables à de nouvelles attaques « Zero-Day
» ou à des problèmes répertoriés dans le « Patch Tuesday »,
le tout sans nécessiter de nouvelles analyses.
 La solution de VM peut-elle analyser des images
virtuelles dans le Cloud Amazon ?
Amazon a édicté des règles très strictes pour et quand
analyser des machines virtuelles dans EC2 ou VPC. Optez
pour des solutions de VM pré-approuvées pour effectuer des
analyses dans Amazon.
 La solution de VM est-elle capable d’indiquer les
changements survenus entre deux analyses ?
Pour éviter de devoir passer en revue des points déjà traités,
recherchez des solutions de VM évoluées qui vérifient si
chaque vulnérabilité détectée est : nouvelle, en cours de
traitement, déjà résolue ou bien considérée comme
insignifiante. Les meilleures solutions fournissent également
un « reporting différentiel » qui indique les modifications
effectuées entre deux analyses.
 La solution de VM offre-t-elle une précision d’analyse de
Six Sigma ?
La précision est vitale pour une solution VM. Une vulnérabilité
non identifiée peut rendre votre réseau perméable aux
attaques. Quant aux alertes « false positive », elles vous
feront perdre du temps. Recherchez des solutions qui
s’appuient sur des processus normalisés tels que Six Sigma
pour mesurer la précision et les tests dans votre propre
environnement.
COPYRIGHT © 2013, QUALYS, INC.
 Les vulnérabilités sont-elles hiérarchisées dans des
rapports ?
Les vulnérabilités devraient être classées selon des niveaux
de gravité qui s’appuient sur des normes industrielles telles
que CVSS. Cette classification vous permet de définir la
3
26 JUIN 2013
LES MEILLEURES PRATIQUES POUR SÉLECTIONNER UNE SOLUTION DE GESTION DES VULNÉRABILITÉS (VM)
manière de et le moment où résoudre chaque problème. Elle
s’avère particulièrement utile pour se conformer à la
réglementation qui exige des preuves de l’identification et de
la résolution sans délai des vulnérabilités graves.
contrôler les priorités relatives liées aux problèmes découverts
sur différents systèmes. Ainsi, votre équipe informatique peut
se concentrer en priorité sur la résolution des problèmes
susceptibles d’avoir une incidence majeure sur votre activité.
 La solution de VM fournit-elle un rapport centré sur les
 La solution de VM peut-elle fonctionner avec des
patchs ?
Même si tous les produits de VM peuvent produire des listes
de risques spécifiques, les solutions évoluées permettent
aussi d’organiser les vulnérabilités en fonction des patchs qui
aident à les résoudre. Ainsi, l’équipe informatique peut
éliminer les vulnérabilités rapidement.
systèmes de tickets externes ?
Si vous avez déjà déployé un système de tickets d’incidents,
mettez-vous en quête de solutions de VM pouvant être
utilisées avec des systèmes de tickets d’incident afin de
générer, suivre et fermer automatiquement les tickets.
Administration
 Les rapports peuvent-ils aider à prouver la conformité ?
Les analyses de VM sont de plus en plus souvent exigées
pour les audits de conformité. Recherchez des solutions de
VM qui intègrent un support natif pour les principales
réglementations telles que PCI ainsi que la possibilité de
personnaliser correctement les rapports pour répondre à vos
besoins individuels.
 La solution de VM exige-t-elle de la maintenance
système, notamment des correctifs logiciels ou des
sauvegardes ?
Les solutions de VM sur site sont comme d’autres produits
logiciels : elles exigent souvent une administration lourde pour
être maintenues à jour et fournies avec assez de ressources
au niveau processeur, mémoire, espace disque, base de
données et réseau Les solutions Cloud suppriment ce fardeau
et vous permettent de vous consacrer à l’utilisation de votre
solution de VM plutôt qu’à sa maintenance.
Résolution/Remédiation
 Quelles informations la solution VM fournit-elle sur la
cause sous-jacente de chaque vulnérabilité ?
Les solutions de VM participent à l’élimination de
vulnérabilités, et pas uniquement à leur détection. Les
meilleures solutions de VM fournissent des descriptions
détaillées de chaque vulnérabilité ainsi que des liens vers les
mises à jour ou les patchs des éditeurs pour les résoudre.
 La solution de VM offre-t-elle un système de tickets
d’incident automatisé ?
Les solutions de VM devraient permettre d’affecter des tâches
de remédiation d’après les profils des utilisateurs et de suivre
quelles vulnérabilités ont été résolues et quand. Assurez-vous
que votre système de VM intègre une fonction de notification
de tickets automatisée ainsi qu’un reporting complet sur l’état
du ticket. Cherchez des solutions capables de générer des
synthèses pour la Direction sur des groupes d’équipements
ainsi que des analysés détaillées par équipement,
vulnérabilité et utilisateur.
 Est-il possible de contrôler la planification des tâches
de remédiation ?
Même si les systèmes de VM qui offrent un suivi de la
remédiation commencent souvent par traiter les vulnérabilités
les plus graves, il est également important de pouvoir
COPYRIGHT © 2013, QUALYS, INC.
4
26 JUIN 2013
LES MEILLEURES PRATIQUES POUR SÉLECTIONNER UNE SOLUTION DE GESTION DES VULNÉRABILITÉS (VM)
spécifiques. Ils peuvent également aider votre équipe
informatique à résoudre des problèmes complexes qui ne sont
pas découverts lors des analyses de vulnérabilités.
Nombreuses sont les entreprises qui ont également constaté
que les solutions de VM modernes assurent une intégration
aisée et économique de l’analyse des vulnérabilités à leurs
opérations informatiques régulières et permanentes.
Coûts
 Quels sont les coûts d’une solution VM ?
Il y a une différence importante entre solutions sur site et dans
le Cloud :
Coûts de la Solution
Investissement initial en matériel
(serveurs, stockage, infrastructure)
Utilisation des logiciels
Appliances de scanner distribuées
pour les réseaux internes
Maintenance
Support
Services professionnels de
déploiement
Administration de bases de
données (dont sauvegardes)
Matériel d’extension (lorsque les
besoins augmentent)
Services de déploiement
d’extensions
Intégration à d’autres systèmes de
sécurité
Logiciels
sur site
Service
dans le
Cloud
 Faut-il plutôt utiliser des logiciels de VM gratuits et
Open Source pour économiser de l’argent ?
Les solutions Open Source suppriment les coûts d’utilisation
des logiciels associés aux solutions VM sur site, mais elles ne
vous dispensent pas d’autres dépenses, que ce soit au niveau
matériel, personnalisation, informatique, formation et support.
À un moment donné, vous aurez besoin de nouvelles
fonctionnalités. Il vous faudra alors soit payer des
développeurs tiers qui vous fourniront les fonctionnalités
nécessaires soit recruter du personnel.
$
$
$
Non fournie
$
$
$
incluse
inclus
$
$
$
Support
$
Services
sur mesure
 Quel type de support la solution de VM offre-t-elle ?
Des problèmes liés aux applications Web peuvent surgir à tout
moment, que ce soit le jour ou la nuit, ces derniers exigeant
souvent une réaction immédiate. Intéressez-vous à des
solutions de VM qui offrent un support 24 heures sur 24, 7
jours sur 7 et 365 jours par an (par téléphone, email et
documentation en ligne) dans le cadre d’un accord de niveau
de service (SLA) contractuel. De nombreux fournisseurs de
solutions dans le Cloud incluent cette prestation dans chacun
de leur abonnement.
API en
option
•
Logiciels sur site : installer des produits de VM sur votre
réseau peut engendrer tout un éventail de coûts, que ce
soit matériels ou humains. Planifier la capacité est
essentiel. Acheter trop fait perdre de l’argent tandis que
ne pas investir suffisamment peut vous contraindre à
remplacer du matériel ou à payer des services de
déploiement supplémentaires à mesure que vous vous
développerez.
•
Service dans le Cloud : la plupart des solutions de VM
dans le Cloud sont fournies moyennant un abonnement
annuel qui comprend les tout derniers logiciels, le support
et l’administration de la plate-forme qui fournit la solution.
Des services incrémentiels, par exemple des scanners
destinés à analyser les réseaux internes, sont tout
simplement ajoutés à votre abonnement. Votre
abonnement évolue à mesure que vos besoins
augmentent, sans remplacer quoi que ce soit.
 La formation est-elle comprise dans le support ?
Recherchez des solutions de VM qui proposent une formation
en direct et à la demande ainsi que des programmes de
certification. Les fournisseurs de solutions dans le Cloud
incluent souvent la formation dans l’abonnement, sans coût
supplémentaire.
 Des consultants sont-ils nécessaires pour exécuter la
solution de VM ?
À vous de voir. Les consultants peuvent s’avérer utiles, en
particulier pour les projets complexes tels que les tests
d’intrusion qui évaluent vos systèmes à des moments
COPYRIGHT © 2013, QUALYS, INC.
5
26 JUIN 2013
LES MEILLEURES PRATIQUES POUR SÉLECTIONNER UNE SOLUTION DE GESTION DES VULNÉRABILITÉS (VM)
 La solution VM est-elle le cœur de métier du fournisseur
Fournisseur
ou une simple fonctionnalité liée à un autre produit ?
L’analyse des vulnérabilités est une technologie sophistiquée
qui exige une expertise approfondie et un engagement fort.
Recherchez des fournisseurs qui conçoivent leur solution VM
comme le cœur de leur métier, et non pas comme une simple
option parmi d’autres.
 Le fournisseur est-il réputé en termes de qualité, de
précision et d’utilisabilité ?
Serveurs Web, systèmes de bases de données, appliances,
postes de travail et équipements mobiles peuvent tous
constituer un point d’entrée dans votre environnement. Les
solutions de VM permettent de protéger ces systèmes et
l’activité de l’entreprise. Demandez des références sur le
fournisseur à des entreprises évoluant sur le même marché
que vous.
COPYRIGHT © 2013, QUALYS, INC.
 Le fournisseur permet-il de tester facilement sa solution
de VM sur votre propre réseau ?
Si vous ne pouvez pas essayer une solution, ne l’achetez pas.
Testez des solutions de VM dans votre propre environnement
et sur les équipements que vous devez sécuriser. Les
services Cloud facilitent grandement cette phase de test.
6
26 JUIN 2013
LES MEILLEURES PRATIQUES POUR SÉLECTIONNER UNE SOLUTION DE GESTION DES VULNÉRABILITÉS (VM)
Ressources utiles
Pour tester un scanner de vulnérabilités sur vos propres systèmes :
Une version d’évaluation gratuite de 14 jours de QualysGuard Vulnerability Management,
la solution de VM dans le Cloud et à la pointe du marché, est disponible sur qualys.com/trials/fr.
Vérifiez par vous-même pourquoi de nombreuses entreprises parmi les plus importantes au
monde font confiance à QualysGuard VM.
Pour en savoir plus sur la gestion des vulnérabilités :
Avec QualysGuard Vulnerability
Management, vous pourrez découvrir
rapidement et sans peine les équipements
actifs sur votre réseau, déterminer leur
vulnérabilité à une attaque, savoir comment
les rémédier et protéger votre activité. Pour de
plus amples informations, rendez-vous sur
qualys.com/vm.
L’espace SANS InfoSec Reading Room
dédié aux menaces/vulnérabilités propose
des livres blancs sur tout un éventail de
sujets liés à la sécurité et aux vulnérabilités.
Rendez-vous sur
sans.org/reading_room/whitepapers/threats/.
Common Vulnerabilities and Exposures
est un dictionnaire des vulnérabilités et
expositions en matière de sécurité de
l’information qui sont connues de tous.
Rendez-vous sur cve.mitre.org.
« Vulnerability Management for Dummies »
Cet e-book est un guide à la fois rapide et
pratique pour renforcer la sécurité de votre
réseau, de vos serveurs, postes de travail et
autres équipements. Disponible sur
qualys.com/vmfordummies.
COPYRIGHT © 2013, QUALYS, INC.
Common Vulnerability Scoring System
(CVSS) est une norme industrielle qui permet
d’évaluer les vulnérabilités informatiques.
Rendez-vous sur www.first.org/cvss.
7
26 JUIN 2013