Avec l’augmentation de la cybercriminalité, avoir un système informatique un minimum sécurisé est devenu primordial pour les entreprises, surtout si ces dernières gèrent des données personnelles sensibles. Comment peuvent-elles s’assurer que leur système est réellement sécurisé ?

Définition

Une des méthodes qui peut être employée est d’effectuer un scan de sécurité.

 

Il s’agit d’une opération automatisée permettant de détecter les vulnérabilités d’un système. Il se fait en général grâce à des scanners de vulnérabilités automatisés. Le principe est que le scanner va tester contre le ou les serveurs cibles des tests pour les vulnérabilités qu’il contient dans sa base de données.

Exemple issu d’un scan d’une machine vulnérable

Avantages et inconvénients

Ce genre de tests n’est pas parfait : il est susceptible de contenir des faux-positifs , tout comme des faux-négatifs. En clair, il très probable que le scanner détecte certaines vulnérabilités qui n’existent pas sur le système. À l’inverse, il est aussi très probable que le scanner ne détecte pas certaines vulnérabilités qui y sont présentes. Le fait que le scanner renvoie un résultat vide ne veut pas forcément dire que le système est bien sécurisé. Les failles sont peut-être présentes mais plus dures à détecter pour un outils automatisé.

Malgré ces défauts, il reste quand même intéressant de mener ces scans. Premièrement, ils ne coûtent pas très chers comparé aux prix d’un audit de sécurité, même en incluant le prix des licences. Il suffit de laisser tourner le scanner et de revenir plus tard chercher les résultats. Ensuite, ils peuvent être réalisés de manière régulière, et à un rythme plus élevé que les audits.

Même si les outils peuvent se tromper, ils permettent quand même de mettre en évidence certaines vulnérabilités et de les corriger rapidement. Si un outil automatique réussit à détecter une vulnérabilité, alors n’importe quel attaquant, peu importe son niveau, sera capable de la détecter aussi, en utilisant lui-aussi un outil de ce type.

Conclusion

En définitive, il vaut mieux effectuer des scans de sécurité si on a la charge d’une entreprise. Cela ne permet pas d’obtenir une bonne sécurité, mais peut mettre en évidence des failles que des attaquants n’auraient aucun mal à repérer afin de leur compliquer (un petit peu) la tâche.