Je vous préviens tout de suite, ce billet illisible est bourré de disgressions proustiennes...
Parce que le monde est imparfait et que je connais pas encore d'industriel (même ceux qui vendent sur leurs sites web des pièces détachées à plus de 2.000.000 euros !!) qui ait réalisé une analyse de risques à la sauce 27.005 pour ses appli' web, il sera toujours difficile de qualifier le niveau d'impact du risque potentiel (trop classe comme appelation, nan ?) de la petite centaine de vulnérabilités qui forment votre rapport d'audit.
On a beau marteler durant la réunion de lancement, qu'il vous faut au minimum un classement par niveaux de criticité des différentes applications à auditer (et oui, je ne parle même pas d'actifs primaires et secondaires, car je ne veux pas brusquer le chaland toujours ignare en matière de SSI), tout ce que le chef de projet surchargé vous sortira après deux semaines de harcèlement quotidien, c'est un pov' schéma visio (avec un fond noir pour raisons de sécurité...) avec les noms des appli', ou deux noms ont été soulignés car : "ce sont les appli' dont les bases sont sauvegardées toutes les demies journées...alors ce doit être les plus importantes !!"
Tout ça pour dire, qu'il ne faut pas tomber dans le FUD complet (ça, c'est pour la citation de Montesquieu dans le titre) comme le pratiquent certains concurrents (vous savez, une de ces grosses boîtes de la région parisienne qui utilisent Nessus pour auditer des services web !), mais choisir soigneusement les vulnérabilités à mettre en avant lors de la réunion de restitution (vous savez la réunion programmée à 14h00, après le repas arrosé où les commerciaux, qui payent l'addition, ont gonflé le client avec un étalage indigeste de chiffres et de succes story... et d'où il ne faut pas repartir sans avoir fait signer le sacro-saint PV de recette).
Le plus simple, pour choisir les bonnes vuln' à mettre en avant, consiste à utiliser le ratio "facilité d'exécution"/"gain attendue" du délinquant moyen (ratio qui a fait la prospérité de l'ancien maire de New York et de nos chers ministres de l'intérieure, avec la cèlèbre politique de la tolérance zéro, mais ceci est encore une autre histoire...).
Le fait est, que ce sont ces vulnérabilités qui sont les plus simples à expliquer lors de la réunion/sieste de l'après-midi, surtout lorsque vous avez un auditoire composé de littéraires (là, je veux parler des RSSI de toutes les filliales du client qui se sont donné le mot pour la bouff' gratos, et non du consultant sénior qui a insisté pour vous accompagné, car il veut vendre au client une analyse de risques 27.005 ou une politique de sécu de 400 pages... encore que !!) qui considèrent tout sigle anglosaxon comme une grossière insulte à leur intelligence...
En fait, mon message était tout simple : je m'interrogeais sur le ratio vuln' critiques/vuln' hautes qu'il faut glisser dans un rapport d'audit ?
Ah, j'oubliais : "bonne année toi-même !" pour mes six lecteurs.
Articles
Mon dernier client veut refaire son infra extranet avec des reverse-proxy et de l'authentification forte parce qu'au dernier audit intrusif sur l'application métier ouverte sur Internet les auditeurs voyaient toutes les données des clients.
RépondreSupprimerIls feront moins les malins s'ils n'arrivent plus à s'y connecter !
Le grand classic de l'audit en boîte noire sans compte utilisateur...
Enfin bonne année à toi !!
Argh, tout ce que je déteste !
RépondreSupprimerOn passe le tiers de la rédaction du rapport à fournir les directives qui vont bien dans le fichier de conf de mod_security, les fichiers d'erreur génériques à indiquer dans httpd.conf, weblogic.xml et autres web.xml, à expliquer les subtilités dans la sécurité du realm de leur portail... Et, au final, le RSSI se fait enflé par un commercial beau parleur qui lui vend pour 60.000 euros par an un WAF qui sera de toute manière mal configuré et un répartiteur de charge au module "reverse proxy" sur lequel au prochain audit on pourra conjuguer tous les verbes HTTP à tous les temps sur toutes les appli' extranet...
Enfin, aucun WAF ne pourra jamais nous empêcher d'atteindre la servlet ou la feuille asp de conf' avec des ACL inexistantes, que l'on trouve toujours dans les mêmes sous-répertoires /manage ou /admin ;-)
lol amen !
RépondreSupprimerca me rapelle des souvenirs que j'avais enfouis depuis longtemps...
bientot a nos portes messieurs ...ISO/IEC NP 27034... "Guidelines for application security"
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=44378
lol