Like diving and traveling

Voc en vuln: CVE, CVSS, CWE, CPE, Exploit Database, Shodan, Kenna Security, FIRST

Ah, le monde merveilleux de la sécurité informatique ! Un monde où les acronymes règnent en maîtres et où les vulnérabilités sont plus courantes que les miettes de pain dans un clavier d’ordinateur. Commençons par le début, shall we?

Le CVE, ou « Common Vulnerabilities and Exposures » pour les intimes, est un système international d’identification des vulnérabilités informatiques. Chaque vulnérabilité reconnue est enregistrée dans la base de données CVE avec un identifiant unique, par exemple, CVE-2021-12345. Cela permet aux professionnels de la sécurité informatique et aux développeurs de discuter, de rechercher et de partager des informations sur des vulnérabilités spécifiques de manière uniforme et standardisée. Vous pouvez consulter ce site pour plus d’informations : cve.mitre.org

Voc en vuln: CVE, CVSS, CWE, CPE, Exploit Database, Shodan, Kenna Security, FIRST
Versailles

En matière de sécurité informatique, plusieurs codes, vocabulaires et systèmes d’évaluation sont utilisés :

  1. CVSS (Common Vulnerability Scoring System) : Il s’agit d’un système d’évaluation des vulnérabilités informatiques qui fournit un moyen uniforme de mesurer la gravité des vulnérabilités et de prendre des décisions éclairées sur la correction. Pour plus d’informations, consultez le site : first.org/cvss
  2. CWE (Common Weakness Enumeration) : Il s’agit d’un système d’identification des faiblesses de sécurité dans les logiciels et le matériel. Il fournit des informations sur les types de vulnérabilités, leur cause et leur impact potentiel. Pour en savoir plus, visitez le site : cwe.mitre.org
  3. CPE (Common Platform Enumeration) : Il s’agit d’un système d’identification standardisé des systèmes d’exploitation, des applications et du matériel informatique. Pour plus d’informations, consultez le site : nvd.nist.gov/products/cpe

Pour évaluer l’exploitation réelle des vulnérabilités informatiques, plusieurs systèmes et outils existent :

  1. Exploit Database: C’est une base de données complète d’exploits et de vulnérabilités connus. Elle est maintenue par Offensive Security et est souvent utilisée par les professionnels de la sécurité pour évaluer si une vulnérabilité particulière est activement exploitée dans la nature. Pour en savoir plus, visitez le site : exploit-db.com
  2. Shodan: C’est un moteur de recherche pour les appareils connectés à Internet. Il peut être utilisé pour évaluer si une vulnérabilité particulière est exploitée sur un grand nombre d’appareils connectés à Internet. Pour plus d’informations, consultez le site : shodan.io
  3. Kenna Security: C’est une plateforme de gestion des vulnérabilités qui utilise des données provenant de plusieurs sources, y compris des bases de données de vulnérabilités, des flux de menaces et des scanners de vulnérabilités, pour évaluer l’exploitation réelle des vulnérabilités. Pour en savoir plus, visitez le site : kennasecurity.com
Voc en vuln: CVE, CVSS, CWE, CPE, Exploit Database, Shodan, Kenna Security, FIRST



FIRST.org est une organisation internationale qui se concentre sur la réponse aux incidents de sécurité informatique. Il existe plusieurs organisations et initiatives similaires à FIRST.org, par exemple :

  1. CERT (Computer Emergency Response Teams) : Il s’agit de groupes d’experts en sécurité informatique qui travaillent au niveau national ou organisationnel pour détecter, prévenir et répondre aux incidents de sécurité informatique. Pour en savoir plus, visitez le site : cert.org
  2. ISAC (Information Sharing and Analysis Centers) : Ce sont des organisations qui facilitent l’échange d’informations sur les menaces et les vulnérabilités entre les entreprises d’un même secteur. Pour plus d’informations, consultez le site : nationalisacs.org
  3. MISP (Malware Information Sharing Platform & Threat Sharing) : Il s’agit d’une plateforme open-source qui permet le partage d’informations structurées sur les menaces et les indicateurs de compromis. Pour en savoir plus, visitez le site : misp-project.org

Vérifier les accords d’utilisation de toute base de données ou plateforme avant d’ingérer ses données dans un produit commercial. Par exemple, l’EPSS (Exploit Prediction Scoring System) de FIRST.org a un accord d’utilisation qui doit être respecté. Il est recommandé de consulter  un expert en propriété intellectuelle pour obtenir des conseils spécifiques sur l’utilisation des données de l’EPSS ou de toute autre base de données dans un produit commercial. Pour plus d’informations, consultez le site : first.org/about/policies/usage

Et voilà, vous êtes maintenant armé jusqu’aux dents avec des informations sur la sécurité informatique ! N’oubliez pas de toujours vérifier les accords d’utilisation avant d’utiliser des données dans un produit commercial, et rappelez-vous : la sécurité informatique, c’est comme une boîte de chocolats, on ne sait jamais sur quoi on va tomber !

Voici une liste de sites Web sur la sécurité informatique qui peuvent être complémentaires à OWASP:

  1. Cybersecurity and Infrastructure Security Agency (CISA)
  2. National Institute of Standards and Technology (NIST)
  3. SANS Institute
  4. Infosec Institute
  5. The Hacker News
  6. Krebs on Security
  7. Dark Reading
  8. SecTools.Org: Top 125 Network Security Tools
  9. Cybrary
  10. Security Weekly

Ces sites offrent une variété de ressources, d’outils, de formations et de nouvelles sur la sécurité informatique.

informatique.

Voc en vuln: CVE, CVSS, CWE, CPE, Exploit Database, Shodan, Kenna Security, FIRST

cisa.gov

image of National Institute of Standards and Technology

National Institute of Standards and Technology

nist.gov

sans.org

solutions payantes et gratuites dans le domaine de la sécurité informatique, avec un bref résumé de leurs avantages et inconvénients:

  1. OpenText:
    • Plus: Offre une gamme complète de solutions de gestion de l’information, y compris la sécurité des données et la protection contre les menaces.
    • Moins: Peut être coûteux pour les petites entreprises.
    • Site Web d’OpenText
  2. Micro Focus Fortify:
    • Plus: Offre des solutions complètes pour la sécurité des applications, y compris l’analyse statique et dynamique du code.
    • Moins: Peut nécessiter une courbe d’apprentissage pour les utilisateurs non techniques.
    • Site Web de Micro Focus Fortify
  3. Nexus IQ:
    • Plus: Fournit une analyse automatisée des composants open source pour identifier les vulnérabilités et les licences non conformes.
    • Moins: Peut être coûteux pour les petites entreprises.
    • Site Web de Nexus IQ
  4. Fortify:
    • Plus: Offre des solutions de sécurité des applications qui incluent l’analyse statique et dynamique du code, ainsi que la protection des applications en temps réel.
    • Moins: Peut être coûteux et nécessiter une formation pour tirer pleinement parti de toutes les fonctionnalités.
    • Site Web de Fortify
  5. OWASP Dependency-Check (Gratuit):
    • Plus: Outil gratuit qui identifie les dépendances du projet et vérifie si elles ont des vulnérabilités connues.
    • Moins: Peut générer des faux positifs et nécessite une configuration manuelle.
    • Site Web d’OWASP Dependency-Check
  6. Veracode:
    • Plus: Plateforme de sécurité des applications qui offre une gamme de services, y compris l’analyse statique et dynamique du code, et la formation à la sécurité.
    • Moins: Peut être coûteux pour les petites entreprises.
    • Site Web de Veracode
  7. Checkmarx:
    • Plus: Fournit des solutions de sécurité des applications, y compris l’analyse statique et dynamique du code, et la sécurité des applications mobiles.
    • Moins: Peut être coûteux pour les petites entreprises.
    • Site Web de Checkmarx
  • #CyberSecurité
  • #SécuritéInformatique
  • #Vulnérabilités
  • #OWASP
  • #CVSS
  • #CWE
  • #CPE
  • #ExploitDatabase
  • #Shodan
  • #KennaSecurity
  • #FIRSTorg
  • #CERT
  • #ISAC
  • #MISP
  • #OpenText
  • #MicroFocusFortify
  • #NexusIQ
  • #Fortify
  • #DependencyCheck
  • #Veracode
  • #Checkmarx
  • #GestionDesRisques
  • #AnalyseDeCode
  • #SécuritéDesApplications
  • #ProtectionDesDonnées

Ah, la sécurité du code, cette noble quête qui nous occupe jour et nuit ! Permettez-moi de vous rappeler que la sécurité de notre précieux code n’est pas une tâche à prendre à la légère, ni à reléguer au second plan. Non, mes amis, la sécurité du code est une affaire de tous les instants, un art délicat qui demande notre attention la plus soutenue.

Il serait bien malavisé de confondre cet art avec le simple processus de qualité. Certes, la qualité est importante, mais elle ne saurait se substituer à la sécurité. Une application peut être de la plus haute qualité, fonctionner à merveille et répondre à toutes les exigences, et pourtant être aussi vulnérable qu’un château de cartes face à une brise légère.

L’art de la sécurité du code, c’est l’art de penser à toutes les éventualités, de prévoir toutes les attaques possibles, et de protéger notre code contre elles. C’est l’art de ne jamais baisser la garde, de toujours rester vigilant, et de ne jamais sous-estimer l’ingéniosité de ceux qui cherchent à compromettre notre travail.

Je vous en prie, ne confondez pas la sécurité du code avec le processus de qualité. Les deux sont importants, certes, mais ils ne sauraient se substituer l’un à l’autre. La sécurité du code est un art à part entière, qui demande notre dévouement et notre vigilance de tous les instants.

Ensemble, faisons de la sécurité de notre code une priorité, et ne laissons pas notre travail être compromis par des négligences évitables. Car, n’oublions pas, dans le monde de la sécurité informatique, la vigilance est notre meilleure alliée.

Et n’oublions pas non plus que la connaissance est une ressource qui augmente lorsqu’elle est partagée… un peu comme la bêtise, malheureusement. Alors, partageons notre savoir avec sagesse et discernement, et faisons en sorte que notre connaissance de la sécurité du code soit un rempart solide contre les attaques nuisibles et malintentionnées.