Atheos, partenaire naturel des stratégies de cybersécurité, présente en avant première à l'occasion du FIC, Forum International de la Cybersécurité qui se tient à Lille, sa nouvelle offre de services sur abonnement : « NEW », Notifiez votre Exposition sur le Web.
Cette nouvelle offre développée par Atheos, permettra aux entreprises de tester et mesurer leur exposition sur Internet et d'obtenir, à la manière des agences de notation, une note de vulnérabilité. NEW est un service de surveillance exhaustive et continue qui permet la cartographie des sites web sur Internet, le scan et la gestion simplifiée des vulnérabilités.
Avec NEW, les entreprises sont à jour des failles qui menacent la compromission ou la fuite d'informations confidentielles. Les vulnérabilités des sites web sont autant de points d'entrées à distance sur les réseaux de l'entreprise, NEW leur apportera la réactivité nécessaire lors de la découverte de failles critiques, sans nécessité de faire appel à aucune analyse ou traitement complémentaire.
L'offre d'Atheos agrège le meilleur de la technologie des solutions éprouvées de recherche automatiques de vulnérabilités, en apportant en sus l'expertise humaine de la détection des failles 0-Day, non publiques.
Exhaustif, NEW opère en 3 étapes clés
ETAPE 1 : DECOUVERTE DU PERIMETRE
- L’inventaire des noms de domaines et filiales appartenant à la société
- Les inventaires des applications Web par rapport aux informations précédentes
- La cartographie et visibilité du SI depuis Internet
ETAPE 2 : SURVEILLANCE DES SITES WEB
- Le scan continu de découverte des applications Web
- La veille continue des vulnérabilités publiques et non publiques
- La veille continue sur les fuites d’informations liées au contexte de la société
- La recherche et exploitation des vulnérabilités Web automatisées et manuelles
ETAPE 3 : UNE REMONTEE D’INCIDENTS CONSTANTE
- Fiche d’alerte : Chaque vulnérabilité exploitable découverte fait l’objet d’une fiche d’alerte soumise dans un délai maximum de 24h après la découverte de la vulnérabilité.
- Rapport de synthèse : Il est remis à chaque fin de mois et comprend entre autre des statistiques sur les vulnérabilités ainsi que des informations sur le niveau de sécurité.
Michel Van Den Berghe, PDG d'Atheos déclare : « Cette surveillance à valeur ajoutée permettra à nos clients de se décharger de toutes tâches liées à la détection automatique de vulnérabilités Web ainsi qu’à leur analyse. Les grands clients seront intéressés de connaître, chaque mois, leur réalité sur la planète web et friands d’obtenir, puis de conserver, une note éthique (AAA, AA, A, etc.)»
Ce service vient combler les différents points faibles des solutions de recherche automatique de vulnérabilités disponibles sur le marché :
- Les attaquants emploient très souvent des techniques manuelles d’attaques
- Les bases de vulnérabilités utilisées par ces solutions n’incluent parfois pas les failles les plus récentes qui sont exploitées par la communauté des pirates informatiques ou les failles non publiques (ou 0-Day)
- Les outils commerciaux ne peuvent rivaliser avec l’expertise et l’intelligence d’un attaquant professionnel et peuvent de ce fait entraîner un risque de « faux négatifs » (illusion d’être protégé)
- Ces outils détectent uniquement les vulnérabilités mais sont non intrusifs, le niveau de criticité des vulnérabilités est donc uniquement basé sur les bulletins de sécurité publics, l’efficacité des équipements de sécurité comme les firewalls applicatifs ne peut être évaluée…
De ce fait, un grand nombre des vulnérabilités remontées automatiquement peuvent s’avérer non exploitables. Les outils de l’éditeur DEEV-Security sur lesquels nous nous basons, permettent une réelle industrialisation du processus de gestion des vulnérabilités Web (découverte, exploitation, criticité).
Ces connecteurs permettent les fonctionnalités suivantes :
- Création et /ou récupération des assets depuis l’outil de scanner
- Planification et lancement d'un scan
- Récupération des rapports natifs, analyse automatique et exécution des scénarios de tests
- A noter que les rapports natifs peuvent donc aussi être fournis via notre service.
Tarifs et disponibilité
Immédiatement disponible moyennant un abonnement annuel calculé en fonction du nombre de sites à surveiller.
|
