Site Map           Contact

Navigation

Nos clients

FAQ

  • Q : Quels tests la solution VulnIT réalise-t-elle ?

    R : La solution VulnIT adresse les problématiques d'application des correctifs, de configuration, d'authentification ou de développement, sur un ensemble varié d'OS (Windows/Unix), applications et bases de données (SQL Server, Oracle...). Elle permet également de tester la sécurité wifi.

  • Q : Est-il possible de réaliser des analyses interne et externe ?

    R : Oui. La clé USB VulnIT-KEY est portable et peut donc être utilisée en interne comme de l'extérieur de l'organisation, par simple connexion Internet.

  • Q : Est-il possible de différencier analyses en boîte noire ou en boîte blanche ?

    R : Oui. Les tests de sécurité peuvent être lancés sans fournir aucune information sur la cible testée, ou bien en spécifiant un compte (SSH ou de domaine Windows) permettant d'accéder à la cible et ainsi de découvrir beaucoup plus de vulnérabilités.

  • Q : Mon poste ne peut pas démarrer sur une clé USB. Comment faire ?

    R : Vous pouvez démarrer sur un CD de boot, puis basculer sur la clé. Pour ce faire, téléchargez cette image ISO (540 Ko), gravez-la sur un CD et insérez-le en parallèle de la clé avant de redémarrer. Le poste démarrera sur le CD puis basculera sur la clé USB.

  • Q : Est-il possible de spécifier plusieurs cibles ?

    R : Oui. Vous pouvez spécifier un domaine, un sous-réseau (plage d'adresses IP), voire laisser VulnIT découvrir votre environnement réseau local et tester toutes les machines auxquelles vous avez accès.

  • Q : Combien de temps prennent les tests ?

    R : Une fois le périmètre de test validé, les tests prennent environ 1 à 3 minutes par cible (selon la puissance du poste faisant tourner les tests et le nombre de services à tester sur la cible).

  • Q : Les tests peuvent-ils affecter la stabilité de mon exploitation ?

    R : Tout a été conçu pour limiter ce risque, en choisissant des tests non agressifs et en respectant la charge de chaque machine. Toutefois, nous recommandons de toujours débuter les tests par un serveur de développement ou de test, avant de cibler un serveur de production.

  • Q : Les tests peuvent-ils verrouiller des comptes (attaque par brute force) ?

    R : Seuls 2 essais de mot de passe sont testés par identifiant, au cas où la politique de sécurité bloquerait les comptes dès 3 essais infructueux.
    Il faut toutefois veiller à ne pas relancer un test d'authentification plusieurs fois sur un même service.

  • Q : Comment se déroulent les mises à jour ?

    R : Chaque semaine, des mises à jour apportant de nouveaux tests de sécurité sont disponibles sur nos serveurs, vous permettant de réactualiser votre solution VulnIT par simple connexion Internet.

  • Q : Quel est le prix de cette solution ?

    R : La licence annuelle permet d'utiliser VulnIT sans limitation de nombre de tests effectués. Nous vous invitons à nous consulter pour plus d'informations.

  • Q : Je souhaiterais apprendre à mieux utiliser VulnIT.

    R : Nous vous proposons des formations qui vous permettront de tirer le meilleur parti de nos solutions. N'hésitez pas à nous consulter.

  • Q : La solution VulnIT intègre-t-elle des traces d'audit ?

    R : En tant qu'outil d'analyse, les traces d'audit (logs) sont essentielles. Elles sont consultables par l'interface de VulnIT en temps réel au fil de l'exécution des tests, et peuvent être enregistrées sur la clé USB de la même manière que le rapport.

  • Q : Le rapport généré ne remonte aucune vulnérabilité. Suis-je en sécurité ?

    R : Ce n'est pas une certitude. Un logiciel automatisé reste limité en périmètre, en expertise et en capacité d'adaptation, surtout lorsqu'il s'agit de vulnérabilités applicatives (sites web entre autres). Il devrait donc être complété, en cas de doute, par une prestation d'expert effectuant un test d'intrusion.

  • Q : Est-il possible de paramétrer certains tests ?

    R : Oui. Vous pouvez ajouter des comptes dans les tests d'authentification, des noms d'instance de base de données, de communauté SNMP, etc. Cette utilisation avancée reste optionnelle.

  • Q : Et si je perds ma clé USB ?

    R : D'un point de vue de sécurité, la clé USB ne contient aucune donnée exploitable. En effet, les données de test (logs, bases de données) sont purgées après chaque utilisation et les rapports sont stockés de manière chiffrée sur la clé. Par ailleurs, un code d'accès personnel est nécessaire au démarrage de l'application.

  • Q : La solution peut-elle être utilisée à des fins malveillantes ?

    R : Non. En respect de la LCEN (Loi pour la Confiance dans l'Economie Numérique, article 323-3-1 du 21 juin 2004), VulnIT met exclusivement sa solution à disposition d'entreprises légitimes et d'utilisateurs dont la fonction justifie la réalisation de tests de sécurité. De plus, en acceptant la licence d'utilisation de VulnIT, l'utilisateur s'engage à respecter la loi Godfrain du 6 janvier 1988 punissant l'intrusion non autorisée dans un système informatique. Enfin, l'utilisateur de la solution dispose d'un code d'accès unique dont il est responsable et dont il doit assurer la confidentialité.
    En outre, la solution n'exploite aucune des vulnérabilités détectées et n'extrait aucune information. Le rapport fournit la liste des vulnérabilités et le moyen de les corriger, non de les exploiter.

© 2009-2011 VULNIT SAS
Tous droits réservés

(+33) 1.80.88.48.40
Nous contacter - Plan du site - Mentions légales