Présentation des différents modes de scan Cyberwatch

Cyberwatch propose un ensemble de méthodes permettant d’ajouter des actifs au périmètre Cyberwatch afin qu’ils soient analysés par l’application.

Le menu de Gestion des actifs de l’application liste les éléments suivants :

  1. Agents ;
  2. Connexions mode sans-agent ;
  3. Actifs air gap ;
  4. Images Docker ;
  5. Cibles réseau et sites web ;
  6. Cloud.

Les trois premières méthodes de scan sont toutes trois qualifiées de méthodes de « scans authentifiés d’actifs » décrits plus en détail ci-dessous. Ces méthodes de scans authentifiés donnent exactement les mêmes résultats d’analyses.

Scans authentifiés d’actifs

Cette section vise à décrire les méthodes de scan suivantes :

  1. Scans en mode « avec agent » ;
  2. Scans en « connexion mode sans-agent » ;
  3. Scans en mode « air gap ».

Ces trois méthodes de scan :

  • visent à scanner des actifs de manière authentifiée, tels que des serveurs, postes de travail, équipements réseau, hyperviseurs, équipements industriels ;
  • apportent exactement les mêmes résultats fonctionnels ;
  • sont au choix de l’utilisateur quand plusieurs de ces méthodes permettent de scanner un même type d’actif.

Les différences entre ces méthodes de scans sont les suivantes :

  • le sens et/ou type de flux requis entre le serveur Cyberwatch et les actifs à superviser ;
  • le type d’actifs pouvant être scannés par ces méthodes.

Des informations complémentaires sur les systèmes pouvant être scannés par chacune de ces méthodes sont disponibles sur la liste des systèmes d’exploitation supportés.

Notre équipe est bien entendu disponible pour vous conseiller sur le choix des méthodes de scans à mettre en place pour votre architecture.

Une brève description de ces trois méthodes est également présentée ci-dessous.

Scans en mode « avec agent »

Le mode « avec agent » repose sur l’installation d’un agent sur chaque actif à superviser.

Cet agent, développé en Python, est fourni via un package :

  • APT / YUM / ZYPPER / PACMAN pour les systèmes Linux ;
  • MSI pour les systèmes Windows ;
  • PKG pour les systèmes macOS.

Il s’exécute périodiquement via un service, effectue un diagnostic de l’actif supervisé, et envoie les résultats vers le nœud Cyberwatch auquel il est rattaché.

Consulter la section de documentation de l’agent Cyberwatch pour plus d’informations.

Scans « connexion mode sans-agent »

La connexion mode sans-agent repose sur une connexion via les interfaces d’administration classiques SSH (Linux) / WinRM (Windows) / SNMP (équipements réseau), depuis un nœud Cyberwatch, vers chaque actif à superviser.

La connexion est initiée périodiquement par Cyberwatch, qui se connecte sur l’actif à superviser, effectue un diagnostic, et analyse les résultats.

Consulter la documentation des Connexions mode sans-agent pour plus d’informations.

Scans en mode « air gap »

Ce mode de scan permet d’analyser des actifs sans nécessiter de flux entre le nœud Cyberwatch et les actifs à superviser.

Elle présente l’avantage de permettre de scanner des actifs complètement déconnectés du réseau ou sur lesquels l’installation d’un agent ou l’initiation d’une connexion à distance ne sont pas possibles.

Le tout repose sur la procédure suivante :

  1. Récupération des scripts de scan depuis l’interface Cyberwatch (scripts identiques à ceux exécutés via les scans avec ou sans-agent)
  2. Transfert des scripts sur l’actif à scanner, via une méthode à la discrétion de l’utilisateur
  3. Exécution de ces scripts sur l’actif, produisant une sortie au format fichiers texte
  4. Récupération de ces résultats et import dans l’application Cyberwatch pour analyse des résultats

Pour plus d’information sur l’utilisation de cette méthode de scan, consulter l’ajout d’un actif air gap par formulaire ou l’ajout d’un actif air gap par API.

Scans d’images Docker

Ce mode de scan permet à Cyberwatch de scanner des images Docker issues d’un registre d’images.

Il nécessite la mise en place d’un moteur d’exécution Docker qui permet le fonctionnement suivant :

  • téléchargement de l’image Docker depuis le registre sur le moteur d’exécution ;
  • lancement d’un conteneur à partir de l’image ;
  • exécution des scripts de scan Cyberwatch sur le conteneur ;
  • suppression du conteneur et de l’image téléchargée sur le moteur d’exécution.

Consulter la documentation décrivant comment ajouter une image Docker pour plus d’informations.

Scans de cibles réseau et sites web

Ce mode de scan permet d’utiliser le module de scan externe Cyberwatch pour scanner :

  • des cibles réseau, au sens « actif scanné par un scan réseau » ;
  • des sites web, au sens applications web proposant des pages HTML et fonctionnalités pouvant être testées.

Dans les deux cas de figure, le scan va tenter d’identifier des éléments comme les ports ouverts, les technologies présentes et visibles de l’extérieur.

Pour les sites web, un scan OWASP va également être réalisé via des modules permettant d’identifier de potentielles injections, défauts de configuration, etc…

Ces scans de sites web peuvent être réalisés sans authentification, mode « boîte noire » ; ou via une authentification dépendant du site web, mode « boîte grise ».

Consulter la documentation permettant d’ajouter une cible réseau ou un site web pour plus d’informations.

Scans d’actifs Cloud

Cette fonctionnalité permet l’ajout d’infrastructures Cloud dans Cyberwatch, afin d’effectuer des contrôles de conformité sur ces entités.

Les entités Cloud pouvant être ajoutées dans Cyberwatch sont à ce jour :

  • Google Cloud Platform ;
  • Amazon Web Services ;
  • Microsoft Azure ;
  • Active Directory.

Active Directory est compris dans ces entités, bien qu’étant plutôt un élément d’infrastructure local, car l’ajout et le fonctionnement des scans de conformité sur cette entité se comportent de la même manière que sur les autres actifs Cloud.

Consulter la page de documentation sur les scans cloud pour plus d’informations.


Retour en haut