Les outils de détection de vulnérabilités sont des outils connus et utilisés par tous. Mais qu’est-ce qui guide le choix entre les outils libres/open source et les outils ou services commerciaux ? Frédéric Malagoli d’Athéos nous donne les réponses. Et ces réponses sont rassurantes :
Pour regarder cette vidéo, vous devez consentir aux Cookies de notre partenaire Youtube Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.
Voir la vidéo directement sur Youtube.
open source : des outils tout aussi pointus ?
Le point le plus important est que les outils open source de détection de vulnérabilités sont aussi pointus que leurs cousins commerciaux. Oui, car obtenir des résultats exacts suite à un scan c’est essentiel : des faux négatifs c’est comme jouer à colin-maillard en plein milieu d’un champ de crottes (sic !) et avoir des faux positifs c’est appuyer sur le champignon et demander des mises à jours inutiles alors que tout va bien…
Mais si les résultats entre un outil de détection open source et ceux d’un outil commercial sont quasiment identiques, pourquoi alors dépensez plus ? En fait, la question réside au niveau du maintien en condition opérationnelle des outils de scans. Les versions open source sont généralement plus complexes (et donc couteuses) à maintenir et à utiliser que les versions commerciales.
scanner c'est bien, patcher c'est mieux !
Tout est donc une question de « focus », car « scanner c’est bien, patcher c’est mieux » et certaines organisations l’ont bien compris. A compétences/expertises égales, il vaut mieux souscrire/acheter un service commercial pour ses scans de détection de vulnérabilités et laisser ses équipes se concentrer sur le déploiement des correctifs.
Jean-François (aka Jeff) Audenard
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens