01 Réseaux : Pourquoi avez-vous choisi d’appuyer votre offre de détection des vulnérabilités sur de la simulation plutôt que sur des audits réels ?Renaud Bidou : La simulation permet de pallier plusieurs types d’inconvénients. Par opposition aux audits automatisés, nous offrons une exhaustivité et une exactitude des informations collectées et analysées en sus d’une gestion des aspects structurels et fonctionnels (scénarios d’intrusion et attaques combinées, par exemple). Il n’y a aucun impact sur les plates-formes auditées. Par rapport aux audits manuels, les résultats fournis sont homogènes. Il y a une indépendance vis-à-vis des consultants effectuant l’audit ainsi qu’une permanence de l’évaluation du niveau de sécurité.01 R. : Vous annoncez un nombre de vulnérabilités bien plus élevé que celui de vos concurrents, qui suivent eux aussi les avis du Cert et consorts. D’où vient cet écart ?R. B. : Nous ajoutons dans le décompte des vulnérabilités le non-respect des Best-practice (non-vérification des mots de passe, absence d’anti-spoofing, montage NFS hasardeux, etc.). Nos sources sont enrichies de vulnérabilités non rendues publiques par certains groupes de “l’underground “. Certaines vulnérabilités sont publiées uniquement au sein du First et ne sont pas accessibles (ou avec des décalages assez longs) au reste de la communauté.01 R. : Quelle démarche adoptez-vous dans la publication de vos avis ?R. B. : Nous prévenons l’éditeur via un avis officiel du Cert-Intexxia (qui parfois contient un patch développé par nos soins). Nous lui accordons un délai d’une semaine pour prendre contact avec nous. Sans réponse dans le délai imparti, nous diffusons une alerte au sein du First et prévenons l’éditeur que la vulnérabilité sera rendue publique à l’issue d’un nouveau délai d’une semaine. Si nous obtenons une réponse, nous travaillons avec l’éditeur afin de nous assurer que la communication sera faite de la manière la plus “propre” possible. C’est-à-dire une fois le correctif logiciel développé et mis à la disposition des utilisateurs.01 R. : Pourquoi avoir créé votre propre Cert ?R. B. : C’est un “label” garantissant, d’une part, nos compétences techniques et, d’autre part, notre organisation (gestion documentaire et validation des recrutements, par exemple). En 2002, nous avons déjà publié onze avis, dont deux ont été rendus publics. Par ailleurs, être membre du Cert et du First nous permet essentiellement d’accéder aux informations en avant-première et de travailler de manière coordonnée dans le cas des attaques massives du genre Code Red ou Nimda.01 R. : Quelle est la part, dans votre chiffre d’affaires, de votre activité MSSP (Managed security service provider) ?R. B. : Pour l’année 2002, notre activité de services externalisés représentera 50 % de nos revenus. Nous prévoyons un chiffre d’affaires de 1 million d’euros.01 R. : Que recommandez-vous aux entreprises ?R. B. : Je pense qu’il faut s’affranchir du modèle : problème-boîte-solution. Il ne permet pas de prendre en compte les vrais impacts de la sécurité informatique. Par ailleurs, il ne faut pas hésiter à faire appel à des ressources spécialisées et à mettre les prestataires de sécurité en situation concurrentielle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
