Scanner de vulnérabilités

Découvrez AVDS, scanner de vulnérabilités

Scanner de vulnérabilités pour infrastructures et applications web

FAQ sur les scanners de vulnérabilités (Archives)

Quelle est la différence entre un test d'intrusion et un scanner de vulnérabilités ?

Un test d'intrusion est réalisé par une équipe de "gentils" hackers (on parle de "white hat" - chapeaux blanc). Ils partent d'un périmètre d'audit et cherchent dans un temps et planning contraints à s'introduire dans vos systèmes. A l'issue de leur prestation, ils vous délivrent un rapport pour vous expliquer comment sécuriser les systèmes testés (site web, réseau télécom, serveurs, ...).

Les équipes de test d'intrusion utilisent des outils parmi lesquels on retrouve des scanners de vulnérabilité qui leur permettent de détecter des failles.

Ensuite ils vont exploiter ces failles (par exemple pour prendre la main sur un serveur).

Un scanner de vulnérabilités n'exploite pas de faille. C'est un outil à utiliser en production et qu'on doit faire tourner le plus souvent possible pour détecter la présence de failles.

Si vous avez un scanner de vulnérabilités en place et une équipe rodée sur l'analyse et la résolution de ces failles, il sera plus difficile pour une équipe de test d'intrusion d'avancer vite.

C'est pareil pour les pirates qui auront tendance du coup à aller voir plutôt chez le voisin qui n'est pas équippé d'un scanner ni d'une équipe de remédiation 1.

J'ai déjà fait un scan il y a un mois, est-ce je dois relancer mon scanner de vulnérabilités ?

Les bonnes pratiques consistaient il y a quelques années à demander un test d'intrusion tous les ans ou tous les deux ans.

Aujourd'hui, il est conseillé de faire tourner un scanner de vulnérabilités en permanence sur vos actifs : serveurs, postes de travail, équipements réseau, sites web, ... et bientôt vos objets connectés ... (Cf. Archives Fuzzing et Archives IoT)

Le temps est un paramètre important et chaque jour on trouve de nouvelles failles qui sont publiées par des CERT 2.

Dès qu'une nouvelle faille est publiée, votre fournisseur de scanner de vulnérabilités va mettre au point un moyen de détecter cette faille. Quelques minutes, heures ou jours après la publication, votre scanner sera capable de détecter la présence de la faille sur vos actifs. Et vous pourrez intervenir sur ces failles pour ne pas rester en danger.

Est-ce qu'un scanner de vulnérabilités me protège et répare les failles ?

Un scanner de vulnérabilités vous permet de voir vos failles mais ne les répare pas.

Des solutions existent mais ne sont pas toujours systématiques. Ceci est du à la nature des failles et des solutions pour s'en prémunir.

Il faut assez souvent faire appel à des personnes connaissant vos applications métier, votre infrastructure et réseau pour corriger les failles.

Ceci doit se faire dans le cadre d'un processus de gestion des vulnérabilités dans lequel vos équipes pourront agir en fixant des priorités sur certaines failles touchant par exemple des systèmes critiques.

Nous proposons au cas par cas des solutions de remédiation automatique (à base de solutions ou de services avec des contrats dédiés) - Nous contacter si vous souhaitez être accompagnés sur ces sujets.

Je suis dirigeant de PME, pourquoi aurais-je besoin d'un scanner de vulnérabilités ?

Pour connaître votre niveau de sécurité, un scanner de vulnérabilités permet en quelques heures de "diagnostiquer" vos systèmes informatiques. Le bénéfice est immédiat. Et vous êtes autonôme pour établir le diagnostic de vos actifs.

Je suis RSSI, pourquoi aurais-je besoin d'un scanner de vulnérabilités ?

Pour l'Audidatibilité indépendante.

Un scanner de vulnérabilités va vous permettre d'auditer votre parc indépendament de votre équipe infrastructure qui aura elle ses propres outils de gestion de configurations, des agents, des outils d'audit, de déploiement, et autres moyens de répondre aux exigences de sécurité de votre PSSI.

Je suis un particulier, une startup, une association, ... pourquoi aurais-je besoin d'un scanner de vulnérabilités ?

Pour connaître les portes d'entrée qui peuvent être exploitées par des personnes ou organisations malintentionnés.

Et parce que vous êtes maintenant tout le temps scannés pour détecter vos vulnérabilités potentielles.

Faire réaliser le scan de votre site web, c'est entièrement automatique et ça vous prévient lorsqu'il y a une faille.

Il existe même des scanners gratuits ou open source (comme OpenVAS).

J'ai besoin d'un agrément PCI, est-ce qu'un scanner de vulnérabilités suffit ?

Passer régulièrement un scanner de vulnérabilités sur vos systèmes dans le périmètre de l'agrément PCI est une obligation.

Votre scanner doit bénéficier d'un agrément ASV.

Mais ça ne suffit pas : le scanner n'est qu'une partie de l'obtention de l'agrément.

Nous contacter si vous souhaitez être accompagnés et bénéficier d'un scanner ASV.

Est-ce qu'un scanner de vulnérabilités ne risque pas de perturber mon informatique ?

Sur des vieilles imprimantes, il arrive que le scan fasse imprimer du papier de façon non souhaitée (à surveiller).

Dans quelques très rares cas d'équipements anciens ou mal configurés, le scanner peut faire apparaître des comportements moins opérationnels.

Un établissement financier nous a demandé s'il était possible de ne lancer un scan que tous les 3 mois (cas d'un scan PCI pour la conformité seulement).

Les scanners sont néanmoins développés et validés pour tester vos actifs sans perturber leur fonctionnement (ce sont des outils utilisés en production).

vérifiez vos vulnérabilités aussi souvent que possible, que souhaitable ou que nécessaire ... Si le scanner perturbe votre équipement, c'est probablement qu'il faut faire une mise à jour de votre équipement et qu'il est éventuellement dangereux de le laisser en production en l'état ...

A quoi sert un scanner de vulnérabilités ?

Un scanner de vulnérabilités est un outil réseau qui vous permet d'établir un diagnostic continu de votre système d'information.

Ce type de systèmes se tient à jour sur les dernières failles connues en utilisant des sources ouvertes ou privées comme des CERT 2 qui publient des failles de sécurité.

Quelques bénéfices de la mise en oeuvre d'un scanner de vulnérabilités :

  • Connaître la liste des équipements dans votre système d'information,
  • Etablir une cartographie des failles ou faiblesses de vos systèmes,
  • Etre informé des mots de passe par défaut ou configurations faibles,
  • Vous tenir à jour sur les configurations de vos équipements.

Audit gratuit

C'est quoi un score CVSS ?

La sécurité, ce n'est pas compliqué, tout le monde peut se revendiquer expert / la preuve :

  • D pour Disponibilité,
  • I pour Intégrité,
  • C pour Confidentialité,
  • P pour Preuve, dont la T traçabilité.

Mesurer la "gravité" d'une faille c'est un peu plus compliqué, aussi les experts du domaine se sont mis d'accord sur un moyen pour les CERT de donner des indices de "gravité" aux failles découvertes.

Ainsi en utilisant des notations basées sur le DICP, les CERT fournissent une note unique décomposée en sous-notes qui donnent une idée plus fine des risques liés à l'exploitation d'une faille par un attaquant.

C'est ce score qui est nommé CVSS 3.

Quels types d'équipements pourrais-je scanner ?

Tout ce qui a une adresse IP, i.e. que votre scanner pourra "voir" depuis l'endroit du réseau où il se trouve : - Vos serveurs, ordinateurs de bureau, imprimantes, NAS, - Vos DMZ, sites web, cloud, ... - Votre montre connectée, votre téléphone, votre balance, votre réfrigérateur connecté, ...

Globalement et véritablement tout ce que votre scanner pourra scanner sur les différentes plages d'adresse qui lui seront accessibles.

Qu'est-ce qu'un scan authentifié ?

Un scan classique voit les ports ouverts d'un système et les éventuelles applications qu'il fait tourner (web, bases de données, ...).

Un scan authentifié permet de connaître ce qui est installé sur une machine ou un service (web par exemple).

Exemple : Un scan authentifié permet de savoir si votre poste de travail est à jour de la dernière version Adobe. Si des failles ont été notifiées pour la version installée sur votre poste votre scanner vous le signalera.

AVDS-Scanner de vulnérabilités pour infrastructures et applications web

Qu'est-ce qu'un scan différentiel et qu'est-ce que ça apporte ?

Faire un point entre 2 dates permet de savoir quelles nouvelles failles sont apparues, quelles failles ont été corrigées, quelles failles sont restées.

Plus une faille est présente depuis longtemps, plus la probabilité qu'elle soit exploitée est forte.

Plus une faille est critique, plus l'impact de son exploitation est fort.

Le temps est un facteur clé dans la gestion des vulnérabilités de votre SI et il vous faut pouvoir surveiller et reporter de la gestion dans le temps des failles de vos systèmes.


  1. Remédiation : Partant des vulnérabilités, votre équipe en charge de la remédiation va analyser les failles et trouver la réponse adaptée : parfois un changement de configuration, parfois un correctif, parfois une règle sur un firewall, un changement de droits, une modification d'architecture, ... Votre équipe (RSSI, RSI, Ingénieurs, ...) pourra même proposer des modifications de la politique de sécurité de l'Entreprise ou préconiser de mettre en place des mesures de protection adaptées en fonction de la vulnérabilité et des impacts potentiels sur vorte organisation. 

  2. CERT : Un CERT est une organisation qui collecte des informations au niveau international (des autres CERT), étudie des technologies et des équipements pour rechercher et publier des failles. Le CERT public le plus connu en France est le CERT-FR, au niveau international le NIST. En France, des CERT privés proposent également leurs services comme sekoia ou encore digital security dans le domaine des objets connectés. Quelques CERT nationaux et mondiaux : CERT-FR de l'ANSSI , Liste de CERTs nationaux et internationaux, MITRE , ENISA , US , Australie

  3. CVSS Common Vulnerability Scoring System est un système de critères permettant de noter une faille de façon à pouvoir déterminer son impact potentiel. Cf. par exemple une présentation de CVSS et de la version 3

By G-echo

Pour aller plus loin