DEFR

Login et recherche



Sponsors /ch/open

4teamwork AG - /ch/open Sponsor

OSSTMM

Exploitation / Sécurité / infrastructure de sécurité

La méthode OSSTMM (Open Source Security Testing Methodology Manual) a pour objectif de mettre en place un ensemble de tests systématiques, cadré dans une démarche automatisable. Attention toutefois car elle ne doit pas s'apparenter à un simple test de vulnérabilités. Elle doit prendre en compte le contexte de l'entreprise et un maximum de biens dans un périmètre de test homogène et cohérent. Elle donnera en résultat une tendance et un indicateur récurrent quant à la dérive éventuelle de la sécurité du périmètre audité. C'est cette approche que promeut l'Institute for Security and Open Methodologies (ISECOM), qui est l'institut développant la méthode OSSTMM (Open Source Security Testing Methodology Manual).

 

Cette méthode visait à l'origine, (notamment en version 2.2 apparue en 2001) à définir une approche formelle plus scientifique et structurée du test technique de sécurité. Toutefois cette version 2.2 était insuffisamment cadrée. Elle ne permettait pas d'avoir une vision claire de la surface d'attaque, mais proposait déjà des indicateurs de niveau de risques : les RAV (Risk Assessment values). La version 2.2 définit des métriques de sécurité basées sur une quantification du risque. Cela introduit une polémique sur la capacité à appliquer des valeurs empiriques à un risque sans prendre en considération la probabilité de réalisation ni valoriser l'impact sur le bien.

 

OSSTMM 3 revient sur la définition des RAV ainsi que sur l'exhaustivité des métriques qui doivent pouvoir couvrir tous les biens d'un périmètre et quantifier aussi bien les évènements de faible importance que les évènements les plus connus. Les RAV sont à présent des mesures de la surface d'attaque plutôt que des mesures de risques. L'affectation de poids est considérée comme facteur de biais de l'analyse ; tout comme la quantification arbitraire de vulnérabilités découvertes par des outils automatiques ne tenant pas compte du contexte de la machine ou du système testé. Le RAV ne correspond pas à un une photo instantanée du système audité mais prend son sens par la récurrence avec laquelle les tests sont menés. Afin de limiter le biais introduit par la technicité et l'expertise du testeur, la méthodologie permet de guider le testeur et d'éviter une dérive trop " imaginative " et pouvant donc biaiser la tendance.

Enfin, le rapport est constitué de métriques indiquant une mesure de l'écart avec une sécurité jugée parfaite et mesurée selon les critères OSSTMM. Pour ISECOM, un rapport doit être simple, concis et pertinent afin d'assurer qu'il sera lu. Ce dernier, une fois " anonymisé ", peut être soumis à ISECOM, qui vérifie que la démarche a été respectée et alors apposer sa certification.

 

Type : Méthodologies de tests de sécurité

Site web : www.isecom.org 

 


Dernière actualisation: 07.12.2016  -  Nombre de vues depuis le 01. avril 2013: 322
Erstellt: 27.01.2014

Entreprises offrant des prestations pour OSSTMM :

Digicomp Academy AG



A propos des produits OSS

Les produits OSS sont des logiciels et des plates-formes distribuées sous une licence open source reconnue par l'Open Source Initiative (OSI). Les entreprises OSS peuvent fournir des services tels que du conseil, de l'intégration, des extensions, de la maintenance, ainsi que l'exploitation de certains produits OSS. Les entrées respectives comprennent une brève description des produits OSS. Pour plus de détails, on se référera aux nombreux sites web correspondants. Certaines de ces pages figurent ci-dessous dans la rubrique "Liens".

 

Enregistrer un nouveau produit OSS

Il est possible d'enregistrer un nouveau produit OSS sur la page "Enregistrer une nouvelles solution OSS". Un utilisateur enregistré et connecté a la possibilité de modifier en tout temps la description du produit. Si l'utilisateur n'est pas inscrit, il devra fournir un nom et une adresse e-mail pour pouvoir modifier par la suite cet enregistrement.

On ne peut enregistrer en tant que produits OSS que des systèmes software dont le code source est sous une licence open source approuvée par l’Open Source Initiative (OSI) et est accessible au public. Des services tels que le conseil, l'exploitation, etc. ne sont pas considérés comme des produits OSS mais sont proposés par des entreprises OSS et doivent donc être mentionnés dans les profils entreprises. Une nouvelle société OSS peut être inscrite sous Inscription en tant que société OSS.

 

Modifier un produit OSS existant

Si l'enregistrement du produit OSS a été créé par l'utilisateur ou l'entreprise OSS, il lui sera possible de le modifier grâce à l'option "Modifier l'enregistrement".

 

Pourquoi parler de produits plutôt que de projets OSS?

Dans le langage courant, on parle généralement de logiciels OSS pour désigner les "projets open source". Sur www.opensource.ch, on fait cependant une distinction importante entre projet OSS et enregistrement de l'implémentation d'un logiciel ou d'une plate-forme OSS. Les références OSS décrivent concrètement comment un logiciel OSS a été intégré dans un projet particulier. C'est pourquoi, pour éviter la confusion, nous évitons d'utiliser le terme de "projet" pour présenter des références sur www.opensource.ch.

 

Autres questions ou suggestions

Si vous avez d'autres questions ou suggestions, n'hésitez pas à contacter la rédaction de www.opensource.ch par courriel à l'adresse info(at)opensource.ch.

Twitter Feed







Liens

Über unsNewsletterContactConditions d'utilisationCH Open Initiativen