Cet article détaille les 7 domaines d'analyses réalisées sur les 3 types d'actifs publics d'une société (adresse IP, URL et nom de domaine)
Sommaire :
L’algorithme de l’outil Security Rating® effectue plusieurs tests sur trois types d’actifs publics:
Les tests réalisés sur les actifs sont répartis sur 7 domaines d'analyses :
1. Surface d'attaque
Objectif : détecter les points d’entrées susceptibles d’être exploités par un attaquant pour réaliser des actions malveillantes.
Risques liés à une surface d’attaque trop importante :
Le principal risque associé à une mauvaise notation est la possibilité d’accéder au patrimoine informationnel de l’organisation, par l’intermédiaire de services sensibles ouverts sur internet.
Les tests réalisés :
Le Security Rating® avec les tests de surface d’attaque montrent des faiblesses sur le périmètre internet de la société. Il s’agit des points d’attaques exposés et potentiellement exploitables par les attaquants pour s’introduire sur votre SI via une vulnérabilité.
Techniquement ces tests s’attachent à détecter sur les actifs externes la présence de services à risque (protocoles dangereux comme telnet, exposition de services sensibles comme des ports de serveurs de base de données). Ces tests sont effectués sur les adresses IP publiques accessibles depuis internet. Les tests recherchent les ports sensibles ouverts, exposant sur internet des protocoles qui mettent en danger votre organisation.
Vous gagnez des points si vous appliquez les recommandations concernant les ports ouverts détectés.
Vous perdez des points si le nombre de ports ouverts (jugés dangereux) augmente.
2. Messagerie
Objectif : vérifier si votre organisation est protégée face une potentielle usurpation d’identité.
Risques liés à un mauvais durcissement de la messagerie :
Les risques associés à une mauvaise notation de la messagerie sont l’usurpation d’identité, le phishing, l’interception et le détournement des infrastructures de messagerie.
Les tests réalisés :
Le Security Rating® vérifie la présence de dispositifs techniques limitant ces risques ainsi que des services de type Open Relay. Les tests analysent la configuration et les bonnes pratiques mises en place pour assurer la confidentialité des échanges.
Techniquement les tests sont du type :
- SMTP avec Start TLS qui permet la confidentialité des échanges entre les serveurs de messagerie.
- SPF et DMARC qui permettent de lutter contre l’usurpation d’identité (fraude au président/arnaque au faux RIB).
- Open Relay pour s’assurer que le serveur ne permet pas de relayer du spam.
Ces tests sont effectués sur les serveurs de messagerie. Ils vérifient si la norme DMARC est bien appliquée et si les protocoles SPF et DKIM sont bien configurés.
Vous gagnez des points si vous appliquez les recommandations concernant la configuration de DMARC, de SPF et de DKIM.
Vous perdez des points si les protocoles SPF et DKIM ne sont pas bien configurés et si votre serveur SMTP est configuré en Open Relay.
3. Web TLS / SSL
Objectif : vérifier si les échanges par internet satisfont les conditions de sécurité suivantes : authentification, confidentialité et intégrité.
Risques liés à un mauvais durcissement des serveurs Web TLS / SSL :
Le risque associé à une mauvaise notation Web TLS / SSL est l’absence de confidentialité des échanges.
Les tests réalisés :
Le Security Rating® inspecte les aspects liés au durcissement des composants web et la qualité de la protection. Les tests analysent spécifiquement la configuration et les bonnes pratiques mises en place pour sécuriser les communications, en particulier le chiffrement.
Techniquement les tests vont être liés à :
- la configuration TLS/SSL (négociation avec des implémentations récentes de TLS, refus de protocoles obsolètes comme SSL…)
- les certificats
- les en-têtes de sécurité
- les vulnérabilités SSL
Ces tests sont effectués sur les URL qui appartiennent à votre organisation.
Ils vérifient si les échanges par internet satisfont les conditions de sécurité suivantes : authentification, confidentialité et intégrité.
Vous gagnez des points si vous appliquez les recommandations qui visent à bien configurer une version TLS/SSL non vulnérable.
Vous perdez des points si TLS/SSL n’est pas configuré, ou si la version utilisée est connue pour être vulnérable.
4. Contrôle de sécurité
Objectif : vérifier si les entrées de la configuration des noms de domaines sont sécurisées via l’implémentation DNS.
Risques liés à une mauvaise performance des contrôles de sécurité :
Le risque associé à une mauvaise notation du contrôle de sécurité est la falsification des entrées de la configuration des noms de domaines (DNS) et de voir ses visiteurs renvoyés vers un site malveillant.
Les tests réalisés :
Le Security Rating® recherche les protections contre la falsification des configurations DNS et la présence potentielle de failles majeures (par exemple : Log4j).
Techniquement, ces tests visent à vérifier l’implémentation DNS et en particulier de DNSSEC. DNSSEC est un protocole standardisé par l'IETF permettant de résoudre certains problèmes de sécurité liés au protocole DNS.
Ces tests sont effectués sur les noms de domaine qui appartiennent à votre organisation. Ils vérifient si le protocole DNSSEC est bien configuré.
Vous gagnez des points si vous appliquez les recommandations qui visent à bien configurer le protocole DNSSEC.
Vous perdez des points si le protocole DNSSEC n’est pas configuré.
5. Vulnérabilités potentielles
Objectif : vérifier si les URL de votre organisation présentent des vulnérabilités.
Risques liés à la présence de vulnérabilités potentielles :
Une mauvaise notation sur l'axe des vulnérabilités démontre un grand nombre de vulnérabilités potentielles en se basant sur la version découvertes sur les headers de sécurités. Un grand nombre de vulnérabilités détectées peut signifier que l'organisation n'assure pas un niveau de sécurité satisfaisant dans le temps.
Les tests réalisés :
A la différence d’un scan de vulnérabilités (démarche intrusive), le Security Rating® collecte des faisceaux d’indice permettant de déduire les composants probables utilisés. Avec ces informations, la solution en déduit l’existence de vulnérabilités potentielles sur le périmètre évalué.
Techniquement, ces tests visent à identifier des vulnérabilités connues à partir de l’identification des types et versions des services récupérés par l’analyse réalisée et les bases de vulnérabilités consolidées par le SOC Board of Cyber.
Ces tests sont effectués sur les URL qui appartiennent à votre organisation. Ils vérifient si les composants technologiques présents sur une URL présentent des vulnérabilités.
Vous gagnez des points si vous corrigez les vulnérabilités détectées dans le respect du délai de remédiation cible.
Vous perdez des points en cas de dépassement du délai de remédiation cible des vulnérabilités, la perte de point dépend également du niveau de sévérité des vulnérabilités.
6. Performances de mise à jour
Objectifs : Mesurer la vitesse de correction des vulnérabilités identifiées dans la catégorie du même nom.
Une mauvaise notation des performances de mises à jour démontre une mauvaise fréquence de patching. Cette mauvaise fréquence de patching peut être considérée comme un niveau de sécurité insatisfaisant dans le temps. Un niveau obsolète ou non mis à jour est une autre forme de porte d'entrée sur le système d'informations.
L'outil ne prend pas en compte les patchs sur les versions qui ne modifient pas les numéros de versions. Ainsi, il vous est recommandé de monter de version afin que l'outil prenne en compte la correction.
Principe de l'évaluation :
Les données de la catégorie vulnérabilités potentielles sont historisés dans le temps. Un délai de remédiation cible est attribué à chaque niveau de criticité. Lorsqu’une vulnérabilité potentielle est historisée présente sur une durée supérieure au délais cible de remédiation, une pénalité proportionnelle au dépassement de ce délai et à la criticité est appliquée.
A la disparition de la vulnérabilité potentielle, la pénalité est progressivement effacée. La vitesse d’effacement est inversement proportionnelle au dépassement du délai cible initial.
La note de la catégorie est une agrégation pondérée de tous ces calculs sur le périmètre considéré.
Vous gagnez des points si vous mettez régulièrement à jour pour monter de versions.
Vous perdez des points si les délais entre chaque mises à jours sont trop long et si celles-ci ne permettent pas de faire monter les versions.
7. Incidents de sécurité
Objectif : Mettre en avant et vérifier si les incidents de sécurité sont traités dans les temps préconisés.
Risques liés à la présence d’incidents de sécurité :
Une mauvaise notation démontre l’incapacité de l’organisation à détecter et traiter avec la diligence requise d’éventuels incidents de sécurité.
Les types d’incident peuvent provenir d’une activité malicieuse, Malware Hosting, Phishing, Tor, Internet Scanning, Envoi de spam ou encore Mauvaise réputation IP.
Les tests réalisés :
Le Security Rating® remonte les incidents de sécurité découverts sur les actifs présents dans la cartographie de la société.
Techniquement, pour les évidences de compromission, regroupées dans la catégorie «événements de sécurité», nous réalisons des recherches dans nos bases de renseignements cyber (cyber threat intelligence) du SOC / CSIRT Board of Cyber et dans les bases d’incidents.
Vous gagnez des points si les incidents de sécurité sont corrigés dans des temps recommandés.
Vous perdez des points selon la sévérité de l’incident détecté et du délai de remédiation constaté.