Hervé Schauer Consultants (HSC) veut faire exécuter des tests de vulnérabilité automatisés par des consultants spécialisés. L’idée répond à un besoin réel des entreprises de taille modeste. Souvent tentées par les tests automatisés bon marché, ces entreprises réalisent vite que les rapports fournis sont difficilement exploitables, faute d’expertise interne.En créant Tsar (Tests de vulnérabilité semi-automatiques récurrents), HSC tente de résoudre ce problème. Une série de tests automatisés est tout d’abord réalisée : recherche des vulnérabilités connues sur le réseau tel qu’il est vu depuis Internet (passerelle de courrier, serveurs de noms, etc.) et sur les serveurs Web, observés de plus près car souvent plus exposés.
Une analyse menée avec des outils connus
Le cabinet utilise des outils d’analyse open source réputés : Nessus, nmap, Hping et le logiciel maison Babelweb pour l’analyse des serveurs Web. Ces outils, tout le monde peut se les procurer librement. “Nous n’inventons rien et faisons appel à des outils courants, reconnaît Stéphane Aubert, consultant chez HSC. Mais je n’aime pas l’idée de simplement lancer le scanner Nessus et de fournir un rapport sans le relire.”C’est justement dans cette relecture que se trouve la valeur ajoutée de Tsar. L’encadrement des tests par un consultant permet d’éliminer les failles anecdotiques, et de souligner les risques potentiels spécifiques au contexte de l’entreprise.
Mettre les résultats en rapport avec les risques réels
Enfin, et c’est certainement ce qui ravira les non-spécialistes, le consultant peut synthétiser le tout clairement. “Je préfère un petit paragraphe en français qui explique ce que l’on a trouvé et si c’est sérieux, plutôt qu’une note obscure pondérée on ne sait comment par un logiciel”, conclut Stéphane Aubert.Tsar est commercialisé entre 400 et 700 euros par test, selon un tarif dégressif. Ce montant inclut la relecture et la validation du rapport par un consultant confirmé. Il reste à HSC à trouver l’équilibre entre prestation de qualité et rentabilité. En effet, les consultants expérimentés sont rares et travaillent également à d’autres projets. Les immobiliser sur la relecture de rapports automatisés n’est viable que jusqu’à un certain volume d’activité. Au-delà, le coût s’en ressentira ou l’analyse devra être confiée à des collaborateurs moins expérimentés, ce qui tuerait sa spécificité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
