Wavatec ❤ Ninox

wavatec adore ninox. Découvrez comment nous utilisons la solution pour répondre aux besoins métier de nos clients

ProblÈme #1 : Pilotage Tests d'intrusion ET SUIVI DE PLAN D'ACTIONS 

Bienvenue en Entropie *, aujourd'hui il fait 40°

Un test d'intrusion est un exercice complexe qui implique la participation de plusieurs équipes. En tant qu'auditeur externe, notre mission va du cadrage jusqu'à la réalisation, l'émission de recommandations et le suivi du plan d'actions qui en résulte ainsi que la réalisation de contre-visites pour s'assurer de la correction des failles.

Piloter ce type d'exercices s'avère, avec le recul, être très fastidieux lorsque vous surveillez plusieurs dizaines voir comme dans notre cas, plusieurs centaines d'audits simultanément. La clé pour une gestion sans faille de ce processus reside à la fois dans une forte rigueur de la part des auditeurs, mais aussi dans la bonne modélisation du processus dans un outillage adéquat de suivi et de gestion de vulnérabilités.

Nous avons constaté que pour piloter ce genre d'exercices et répertorier les trouvailles, la quasi totalité de nos clients font recourt aux bon vieux excel pour effectuer leur pilotage de manière pseudo-structurée. En effet, un tableur représente le format le plus flexible et permet de modéliser quasiment n'importe quel processus avec un haut niveau de fidélité.

Forts de ce constat, nous avons développé nos propres fiches excel permettant de reporter nos trouvailles de manière simplifiées avec des fiches détaillées pour chacune des vulnérabilités trouvées. 

Naturellement, nous avions un fichier excel par audit et chaque audit vivait dans un coffre fort chiffré dédié incluant les fichiers excel et les rapports PDF, les présentations de restitution managériales, les POC et vidéos d'exploits ainsi que les rapports détaillés destinés aux équipes techniques. 

A ce jour, notre coffre-fort comporte plusieurs centaines de répertoires et grossis jour après jour 😱. 

🧐 et vous faites comment ?

Bienvenue en Entropie !

* Entropie: En thermodynamique, grandeur qui permet de caractériser le désordre d'un système.

Solutions de pilotage d'audits

Il existe plusieurs outils sur étagère de gestion de vulnérabilités. Certaines solutions Open Source tel que Dradis Framework ou OlaCab sont d'ailleurs particulièrement intéressantes. Cependant, ces solutions sont par définition rigides. Certains auditeurs jouent le jeu et se plient aux fonctionnalités disponibles dans ces outils, le résultat se fait sentir dans les restitutions : difficulté à construire des indicateurs sur demande, rapports très techniques et peu synthétiques, utilisation de champs pour saisir d'autres informations, etc..

🤓 je connais ça !

Hé, et si on développait notre propre outil et qu'on le mettait sur le marché en SaaS 🤑

A la personne qui nous avait embarqué sur cette voie :🤬. En effet, nombreuses sont les solutions du marché qui permettent de gérer les vulnérabilités. Rares voir introuvables sont les solutions suffisamment génériques pour fonctionner avec tout type de cabinet d'audit, de solutions de scans du marché. Nous avons estimé l'investissement dans la création de ce type d'outils à plus de 1 million d'euros avec un très faible retour sur investissement. Nous y avons laissé plus de 100k€ sur la table. Très Keynes.

🤣 et c'est à cause de ça qu'il y a une pénurie de développeurs sur le marché ?

Alternative #1 : Tableur++ de type Airtable

Si vous ne connaissez pas encore Airtable, il s'agit de la version 3D d'excel. Il s'agit avant tout d'une base de données non-relationnelle permettant de lier les cellules entre-elles de manière très flexible. Airtable est fortement intégré à des outils cloud tel que Zapier et Integromat et vous ouvrira des péta-solutions à vos problématiques métier. Multi-utilisateur by design, il vous permettra de transformer votre tableur en une application métier en un temps record.

Cependant, la solution est uniquement disponible dans le Cloud. Vu la taille de nos clients et la sensibilité des trouvailles que nous sommes amenés à restituer, il nous faut, à minima une solution qui puisse être hébergée par le client lui même, tout en ayant une variante full SaaS.

Alternative #2 : Générateur CRUD

Il existe plusieurs outils open source de génération d'applications de type CRUD (Créate, Read, Update, Delete). Il est possible d'adosser à ces solutions des outils de dashboarding tel que Metabase. La aussi, à la personne qui nous avait embarqué sur cette piste 🥴. Vous aurez certes une application vivante très rapidement, et les données de cette application correspondront parfaitement à vos fiches excel, cependant, vous n'aurez ni les connecteurs nécessaires pour ingérer les trouvailles à partir des scanners, ni toute sorte d'information utile et intelligente à partir de vos données. Le coût de développement et de maintien de ces add-ons se chiffrera à plusieurs centaines de JH. Non merci !

NINOX we love you

Nous avons identifié cette solution dans le cadre d'un projet de transformation digitale pour un de nos clients dans le retail. Notre mission était d'identifier une solution pour Digitaliser un processus utilisant le canal téléphonique à 90% et proposant un fontal client en mode self-service.

🤨 Attendez, je comprends pas, vous parlez de quoi là ?      

C'est que chez Wavatec, nous sommes non seulement très forts en Cybersécurité, en pilotage d'audit et en réalisation de tests d'intrusion sur mesure, mais nous sommes aussi particulièrement pointus sur les problématiques d'urbanisation de système d'information, d'innovation business et de transformation digitale - Fin de Pub -😏

🤨 La conclusion please, parlez moi de ce "Ninox"

Ninox si vous ne connaissez pas, est tout simplement une base de données non relationnelle avec une IHM très simple permettant de modifier la structure et le contenu de cette base de données.

🤨 C'est tout ?

Non, c'est une base Apifiée, c'est à dire que vous pouvez la requêter via une API Restful sécurisée à partir d'un système tierce.

🤨 Hmm, de type Mongo? Quelle différence alors?

La force de Ninox est dans son IHM. En effet, vous aurez la capacité à modéliser tout type de base de données via cette IHM. Comparez cela aux solutions low-code qui existent sur le marché, sauf que la nous restons sur du tableur ++ et non pas sur du low-code.

🤨 Comparé aux générateurs CRUD alors, vous vous retrouvez dans la même situation?

Oui et non. Oui parce que nous n'avons toujours pas les connecteurs, et non parce que nous avons désormais toute la couche Intelligence nativement disponible dans la solution et modifiable à chaud à tout moment. Nous avons buildé notre base de suivi en moins de 10 jours avec des résultats tangibles dès le premier jour. Aussi, l'intégration avec Zapier et Integromat fait que nous n'avons pas à développer des connecteurs mais uniquement à les configurer. D'ailleurs, nous partageons notre base (vide bien entendu) à tous ceux qui souhaitent l'utiliser.

Chouette. Mais c'est sécurisé tout cela?

Nous avons opté pour cette solution pour plusieurs raisons parmi lesquelles la question de la sécurité des données. Ninox est livré en 4 variantes:

  • Version Desktop : Single license à utiliser pour vos besoins personnels. Aucun intérêt pour notre problématique.
  • Version Public Cloud : Cette version est identique à la version desktop sauf qu'elle est multi-utilisateur. Elle est hébergée sur un serveur commun avec tous les autres utilisateurs. Le jour ou Ninox subira un DoS, vous serez sans doute impactés si vous l'utilisez. Très peu de chance de perdre vos données dessus si vous optez pour un mot de passe de qualité. Vous êtes protégés par un data center redondé et certifié DCSA 3.0. La plateforme est conforme RGPD et le chiffrement TLS est forcé sur tous les appels. 👈 Notre recommandation.
  • Version Private Cloud : Identique à la version public cloud mais hébergée dans le pays de votre choix (Allemagne ou France pour le moment). 
  • Version On Premise : Pour les clients qui le souhaitent, une version dédiée installée sur site. 
Vos bases sont accessible en temps réel (synchro via websocket) sur iPad, Android et iPhone via des apps dédiées disponible sur les stores.

🥺Ok je vous aime bien en faite. Puis-je avoir cette fameuse base please?

Oui. C'est simple, et en plus nous avons une réduction de 10% que nous partageons avec vous :
  1. Commencez par créer votre compte sur Ninox ici (profitez des 10% de remise qu'ils nous accordent avec le code AFB0BD634A)
  2. Envoyez nous un email sur partners@wavatec.fr depuis l'adresse que vous avez utilisé pour créer votre compte Ninox afin que nous vous partagions la base 
  3. Enjoy !
Si vous souhaitez que nous vous accompagnons dans la mise en oeuvre de votre propre base et la faire accoster à vos outils internes, n'hésitez pas à nous contacter. Nous sommes partenaire Ninox et certains de nos salariés saurons faire le pont entre vous et l'éditeur (il faut sprache deutsch ou English sinon).

A suivre : Comment nous avons industrialisé la génération des rapports d'audit de manière ultra-flexible et toujours avec un effort minimal de développement.

NOTRE DEVISE

La politique de diversité de Wavatec vise à assurer l’égalité professionnelle entre les femmes et les hommes, que ce soit au niveau de la formation, des rémunérations et des promotions.

Femmes, hommes, handicapés, apprentis, seniors, chacun peut trouver sa place au sein Wavatec. 

Merci d'adresser vos candidatures à careers@wavatec.fr

BUREAUX

Bureau

254 avenue des maquisards

13126 Vauvenargues

Siret 51469486800035 RCS AIX

+33 6 80 52 01 85

info@wavatec.fr

© 2019 All rights reserved

SIMBLAWebsite Builder