Sans doute dans l'attente de passer l'examen du PASSI, aussi bien pour ma société qu'à titre personnel, je m'interroge sur la façon de faire des audits "complets" et reproductibles sans qu'il ne puisse nous être reprochés d'avoir commis une négligence.
La première idée est simplement d'être certifié, mais rien n'empêche les baisses de régime ou le départ d'un membre de l'équipe...
La deuxième idée est de faire un contre-audit par d'autres membres de l'équipe lorsqu'aucune vulnérabilité n'est découverte. C'est du temps consommé en plus donc un manque à gagner, sauf s'il est vendu comme tel au client lors de l'avant-vente, mais de toute façon il faut être cohérent avec le tarif des concurrents et aucun n'a une telle pratique.
La troisième solution est de tout procédurer, de tout documenter et d'avoir des listes de contrôle pour chaque technologie et quasiment pour chaque type de fonctionnalité (authentification, réinitialisation de mot de passe, gestion des sessions, moteur de recherche, etc...). Tout le monde va vers cette solution consommatrice en temps de cerveau de stagiaire, mais sur la durée il est dure de maintenir à jour les procédures et les listes de contrôle avec l'évolution constante des technologies. On reste finalement un métier d'artisans où le savoir faire individuel des auditeurs est primordial.
Une quatrième solution pourrait se dégager, et est finalement toute simple à mettre en œuvre... s'appuyer sur des outils commerciaux du marché. Comment reprocher à un consultant qui a lancé Nessus sur une infrastructure d'être passé à côté d'une vulnérabilité ? Idem avec Acunetix sur un site web... Mais alors comment distinguer un bon auditeur d'un mauvais auditeur ? Ce n'est pas si simple :)
Finalement ce qui me tient à cœur, ce n'est pas tant de découvrir des vulnérabilités, c'est de savoir creuser une SQL injection pour trouver des hashs faibles ou récupérer le numéro de version d'un MySQL obsolète, et c'est aussi de savoir transmettre un message au client afin qu'il prenne conscience du risque et qu'il puisse juger lui-même de la nécessité de corriger une vulnérabilité ou de l'accepter.
Aucun commentaire:
Enregistrer un commentaire