Bienvenue en Entropie *, aujourd'hui il fait 40°
Un test d'intrusion est un exercice complexe qui implique la participation de plusieurs équipes. En tant qu'auditeur externe, notre mission va du cadrage jusqu'à la réalisation, l'émission de recommandations et le suivi du plan d'actions qui en résulte ainsi que la réalisation de contre-visites pour s'assurer de la correction des failles.
Piloter ce type d'exercices s'avère, avec le recul, être très fastidieux lorsque vous surveillez plusieurs dizaines voir comme dans notre cas, plusieurs centaines d'audits simultanément. La clé pour une gestion sans faille de ce processus reside à la fois dans une forte rigueur de la part des auditeurs, mais aussi dans la bonne modélisation du processus dans un outillage adéquat de suivi et de gestion de vulnérabilités.
Nous avons constaté que pour piloter ce genre d'exercices et répertorier les trouvailles, la quasi totalité de nos clients font recourt aux bon vieux excel pour effectuer leur pilotage de manière pseudo-structurée. En effet, un tableur représente le format le plus flexible et permet de modéliser quasiment n'importe quel processus avec un haut niveau de fidélité.
Forts de ce constat, nous avons développé nos propres fiches excel permettant de reporter nos trouvailles de manière simplifiées avec des fiches détaillées pour chacune des vulnérabilités trouvées.
Naturellement, nous avions un fichier excel par audit et chaque audit vivait dans un coffre fort chiffré dédié incluant les fichiers excel et les rapports PDF, les présentations de restitution managériales, les POC et vidéos d'exploits ainsi que les rapports détaillés destinés aux équipes techniques.
A ce jour, notre coffre-fort comporte plusieurs centaines de répertoires et grossis jour après jour 😱.
🧐 et vous faites comment ?
Bienvenue en Entropie !
* Entropie: En thermodynamique, grandeur qui permet de caractériser le désordre d'un système.
Solutions de pilotage d'audits
Il existe plusieurs outils sur étagère de gestion de vulnérabilités. Certaines solutions Open Source tel que Dradis Framework ou OlaCab sont d'ailleurs particulièrement intéressantes. Cependant, ces solutions sont par définition rigides. Certains auditeurs jouent le jeu et se plient aux fonctionnalités disponibles dans ces outils, le résultat se fait sentir dans les restitutions : difficulté à construire des indicateurs sur demande, rapports très techniques et peu synthétiques, utilisation de champs pour saisir d'autres informations, etc..
🤓 je connais ça !
Hé, et si on développait notre propre outil et qu'on le mettait sur le marché en SaaS 🤑
A la personne qui nous avait embarqué sur cette voie :🤬. En effet, nombreuses sont les solutions du marché qui permettent de gérer les vulnérabilités. Rares voir introuvables sont les solutions suffisamment génériques pour fonctionner avec tout type de cabinet d'audit, de solutions de scans du marché. Nous avons estimé l'investissement dans la création de ce type d'outils à plus de 1 million d'euros avec un très faible retour sur investissement. Nous y avons laissé plus de 100k€ sur la table. Très Keynes.
🤣 et c'est à cause de ça qu'il y a une pénurie de développeurs sur le marché ?
Alternative #1 : Tableur++ de type Airtable
Si vous ne connaissez pas encore Airtable, il s'agit de la version 3D d'excel. Il s'agit avant tout d'une base de données non-relationnelle permettant de lier les cellules entre-elles de manière très flexible. Airtable est fortement intégré à des outils cloud tel que Zapier et Integromat et vous ouvrira des péta-solutions à vos problématiques métier. Multi-utilisateur by design, il vous permettra de transformer votre tableur en une application métier en un temps record.
Cependant, la solution est uniquement disponible dans le Cloud. Vu la taille de nos clients et la sensibilité des trouvailles que nous sommes amenés à restituer, il nous faut, à minima une solution qui puisse être hébergée par le client lui même, tout en ayant une variante full SaaS.
Alternative #2 : Générateur CRUD
Il existe plusieurs outils open source de génération d'applications de type CRUD (Créate, Read, Update, Delete). Il est possible d'adosser à ces solutions des outils de dashboarding tel que Metabase. La aussi, à la personne qui nous avait embarqué sur cette piste 🥴. Vous aurez certes une application vivante très rapidement, et les données de cette application correspondront parfaitement à vos fiches excel, cependant, vous n'aurez ni les connecteurs nécessaires pour ingérer les trouvailles à partir des scanners, ni toute sorte d'information utile et intelligente à partir de vos données. Le coût de développement et de maintien de ces add-ons se chiffrera à plusieurs centaines de JH. Non merci !
NINOX we love you
Nous avons identifié cette solution dans le cadre d'un projet de transformation digitale pour un de nos clients dans le retail. Notre mission était d'identifier une solution pour Digitaliser un processus utilisant le canal téléphonique à 90% et proposant un fontal client en mode self-service.
🤨 Attendez, je comprends pas, vous parlez de quoi là ?
C'est que chez Wavatec, nous sommes non seulement très forts en Cybersécurité, en pilotage d'audit et en réalisation de tests d'intrusion sur mesure, mais nous sommes aussi particulièrement pointus sur les problématiques d'urbanisation de système d'information, d'innovation business et de transformation digitale - Fin de Pub -😏
La politique de diversité de Wavatec vise à assurer l’égalité professionnelle entre les femmes et les hommes, que ce soit au niveau de la formation, des rémunérations et des promotions.
Femmes, hommes, handicapés, apprentis, seniors, chacun peut trouver sa place au sein Wavatec.
Merci d'adresser vos candidatures à careers@wavatec.fr
Bureau
254 avenue des maquisards
13126 Vauvenargues
Siret 51469486800035 RCS AIX
+33 6 80 52 01 85
info@wavatec.fr
© 2019 All rights reserved