Parcours utilisateur typique
Cette page constitue un guide d’introduction à l’utilisation du logiciel Cyberwatch.
L’objectif est de mettre en avant les bonnes pratiques permettant l’ajout d’actifs et la montée en charge de l’application une fois celle-ci déployée par nos équipes.
Ce guide peut aussi être utilisé comme base de travail et ligne directrice pour les tests lors d’un POC (preuve de concept) du logiciel, par exemple.
Déploiement et création des utilisateurs
Le déploiement de l’application est dans la majorité des cas encadré par nos équipes.
Les configurations simples, telles que la création du premier compte utilisateur et l’enregistrement de votre licence, sont également réalisées lors du déploiement.
La création d’utilisateurs locaux peut être faite manuellement depuis l’application, mais nous recommandons la configuration d’une méthode d’authentification centralisée utilisant un fournisseur d’identité (LDAP, SAML, OpenID Connect).
La configuration d’un serveur SMTP pour l’envoi de mails et rapports directement depuis l’application est aussi possible.
Ces éléments peuvent être configurés suite au déploiement ou pourront être configurés par la suite.
Des pages de documentation spécifiques et plus techniques sont disponibles pour vous aider à configurer ces éléments.
Découvertes
Sur une instance vierge, la première étape consiste généralement à lancer des scans de découverte.
L’objectif de ces découvertes est de remonter en surface les actifs présents dans votre système d’information.
Ces actifs découverts ne seront pas automatiquement scannés et enregistrés dans Cyberwatch sans action supplémentaire.
Il existe de nombreux types de découvertes qui permettront de s’adapter à votre système d’information.
Consultez la documentation des découvertes d’actifs pour commencer à les utiliser.
Cas pratique : scan de découverte Active Directory ou VMware vSphere
Afficher le cas pratique
La majorité des systèmes d’information disposent de solutions permettant de contrôler et inventorier les éléments d’infrastructure locale qui composent le système d’information.
Prenons ici l’exemple d’une connexion de Cyberwatch à des outils comme VMware vSphere et Active Directory afin de remonter la liste des actifs connus par ces solutions.
Pour lancer un tel scan, suivre la procédure ci-dessous :
- Créer un identifiant enregistré dont le type correspond à la découverte que vous allez lancer par la suite
- Créer également un identifiant enregistré du type
SSH avec mot de passe/clé
ouWinRM avec HTTP Negotiate
qui sera utilisé par Cyberwatch pour se connecter à vos actifs afin de lancer un scan authentifié - Se rendre sur la page de création d’une découverte et lancer une découverte
VMware vSphere
ouActive Directory
- Remplir le formulaire avec les options souhaitées. Laisser le champ « Type de connexion mode sans-agent » à sa valeur par défaut :
Sans connexion sans-agent
- Afficher les actifs découverts par le scan de découverte une fois celui-ci terminé
- Sélectionner les actifs que vous voulez scanner avec la coche de gauche, cliquer sur le bouton « Actions groupées > Scanner avec des connexions mode sans-agent »
- Sélectionner le type de connexion et l’identifiant enregistré créé au préalable et confirmer
- Cyberwatch va créer les Connexions mode sans-agent demandées et tenter de s’identifier sur les actifs avec l’identifiant fourni. Les connexions fonctionnelles afficheront une icône en forme de bouclier vert dans la colonne « Mode ». Une icône de calendrier sera également présente, celle-ci pourra être de couleur verte ou jaune sans impact sur l’analyse
- Les actifs créés à l’issue de ces scans seront automatiquement présents dans l’inventaire des actifs de l’application
Ce cas pratique est un exemple classique d’utilisation d’un scan de découverte dans le but de superviser des actifs issus de cette découverte.
De nombreuses autres méthodes existent et permettent d’obtenir des résultats similaires.
Ajouter des actifs
Une fois le périmètre de vos actifs établi par les découvertes, la prochaine étape consiste à scanner, de manière authentifiée, les actifs souhaités.
Pour ce faire, Cyberwatch offre plusieurs méthodes de supervision permettant de s’adapter aux contraintes de votre système d’information.
Consulter la documentation de présentation des différents modes de scan pour comprendre les fonctionnalités relatives à ces modes de scan.
Ces scans vont être utilisés par Cyberwatch pour remonter les vulnérabilités et problèmes de sécurité identifiés sur vos actifs.
Mettre en place les mécanismes de priorisation
Afin de mieux prioriser les résultats remontés par les scans, Cyberwatch offre des mécanismes aidant à définir des critères spécifiques à votre environnement, pour définir quelles vulnérabilités seront considérées comme prioritaires.
Cyberwatch offre la possibilité de définir et d’associer une criticité à un ou plusieurs actifs. Pour obtenir des détails sur le fonctionnement des criticités, consulter la documentation d’utilisation des criticités.
Cas pratique : créer une criticité et l’associer à des actifs
Afficher le cas pratique
Ce cas pratique décrit comment créer une nouvelle criticité et comment l’affecter à des actifs.
- Se rendre dans le menu Réglages > Criticités
- Créer une nouvelle criticité, en renseignant, par exemple, les éléments suivants :
- Nom :
Critique
- Seuil CVSS supérieur à :
6
- Score EPSS supérieur à :
0,1%
- Cocher les catalogues
CISA KEV
etCERTFR-ALE
- Définir les trois exigences à
Élevée
- Nom :
- Une fois la criticité créée, se rendre dans l’Inventaire des actifs
- Filtrer les actifs selon un critère de votre choix, par exemple, en tapant
prod
dans la barre de recherche, ce qui filtrera sur tous les actifs dont le hostname contient cette chaîne - Sélectionner les actifs souhaités avec la coche de gauche, cliquer sur le bouton « Éditions groupées > Modifier la criticité » et sélectionner la criticité
Critique
nouvellement créée
Inventaire et analyse des vulnérabilités identifiées sur les actifs
Une fois vos actifs supervisés et des mécanismes de priorisation mis en place, Cyberwatch va vous permettre d’identifier les actions à effectuer les plus prioritaires.
Depuis l’inventaire des actifs, vous allez pouvoir consulter l’ensemble des actifs supervisés, triés par défaut par nombre de vulnérabilités prioritaires identifiées.
L’inventaire permet de filtrer vos actifs selon différents critères, de les trier selon certaines des colonnes affichées et de sélectionner les colonnes affichées.
Un ensemble d’éditions et d’actions groupées est également disponible afin d’interagir avec les propriétés des actifs dans Cyberwatch ou d’interagir directement avec les actifs.
Chaque actif dispose d’une fiche détaillée, accessible en cliquant sur le hostname de l’actif ou sur le bouton loupe en fin de ligne.
La fiche d’un actif contient un ensemble d’onglets qui présentent différentes informations.
L’onglet « Résumé » permet de voir l’évolution du nombre de vulnérabilités de l’actif ainsi que des informations générales concernant les défauts de sécurité et tests de conformité effectués.
L’onglet « Vulnérabilités » liste l’ensemble des vulnérabilités identifiées sur l’actif en question. Ces vulnérabilités sont triées par défaut selon les critères suivants : Vulnérabilité prioritaire > Score CVSS > Niveau de l’exploit.
Cet onglet vous permet donc d’identifier les vulnérabilités les plus prioritaires pour un actif en question.
L’analyse des vulnérabilités d’un actif se base notamment sur les applications remontées dans l’onglet « Technologies » de l’actif.
Les actifs disposent également d’un onglet « Analyses » pour consulter l’état des analyses Cyberwatch. Cet onglet permet de consulter le résultat brut des scripts, ainsi que d’exporter ces résultats dans un fichier texte.
C’est ce fichier texte qu’il faut envoyer à nos équipes techniques si vous souhaiteriez une vérification des résultats remontés par Cyberwatch ou des explications complémentaires.
Cas pratique : analyse des vulnérabilités d’un actif
Afficher le cas pratique
Ce cas pratique décrit comment analyser et comprendre les résultats remontés par Cyberwatch sur un actif.
- Cliquer sur le hostname d’un actif pour vous rendre sur la fiche de l’actif à étudier
- Se rendre sur l’onglet « Vulnérabilités » de l’actif
- Nous allons analyser la première vulnérabilité de la liste, dont le code CVE est
CVE-2020-1350
dans notre cas - Cette vulnérabilité, identifiée comme prioritaire sur l’actif, dispose d’un score CVSS de 10 (score maximal), d’un score EPSS de 94% et est liée à la technologie
KB5034119
au moment de la rédaction de cette documentation. Cyberwatch indique que l’action corrective associée à cette CVE est « 2024-01 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5034119) ». La CVE est donc corrigée par le déploiement de la KB5034119, cumulative du mois de janvier 2024 - Cliquer sur le code de la CVE pour vous rendre dans l’encyclopédie
- Le score détaillé et les métriques CVSS sont présentés sur la fiche de la
CVE-2020-1350
- La fiche de la CVE donne une description issue du NVD, ainsi qu’un ensemble de liens vers les différents avis de sécurité identifiés par Cyberwatch. L’analyse Cyberwatch se base notamment sur ces éléments. Dans le cas d’une levée de doute, les avis de sécurité du NVD et du fournisseur font foi dans l’analyse des résultats.
- L’ensemble de ces éléments permet de comprendre pourquoi une vulnérabilité donnée est remontée sur un actif.
Si vous avez des doutes concernant les vulnérabilités remontées ou les technologies identifiées, n’hésitez pas à contacter nos équipes techniques en nous envoyant l’export des analyses du ou des actifs en question.
Analyse des vulnérabilités identifiées depuis l’encyclopédie
L’Encyclopédie des vulnérabilités permet de consulter l’ensemble des vulnérabilités publiquement répertoriées et synchronisées dans la base Cyberwatch.
Elle propose par ailleurs un ensemble de filtres facilitant l’identification des vulnérabilités les plus prioritaires sur le parc.
Cas pratique : identifier les vulnérabilités à traiter en priorité
Ce cas pratique explique comment utiliser l’encyclopédie des vulnérabilités afin d’identifier les vulnérabilités les plus importantes du parc et de créer une alerte automatique informant de la présence de nouvelles vulnérabilités répondant à certains critères.
Afficher le cas pratique
- Se rendre dans l’Encyclopédie des vulnérabilités du logiciel
A l’aide de la barre de recherche dynamique, sélectionner les filtres suivants :
- État : Vulnérabilités prioritaires
- Catalogue : CISA KEV
- Catalogue : CERT-FR ALE
- Sévérité : Critique
- Ces filtres permettent de mettre en avant les vulnérabilités les plus prioritaires identifiées sur le parc informatique, via leur score CVSS élevé et leur présence dans des catalogues connus de CVE ayant eu un impact
- Il est possible d’affiner encore la recherche, en ajoutant des filtres supplémentaires sur des notions comme l’exploitabilité ou encore la présence dans certains groupes d’actifs
- Si ces filtres ne vous renvoient aucun résultat, cela signifie que votre parc informatique est protégé face à ces vulnérabilités les plus importantes. Vous pouvez également élargir la recherche en supprimant des critères afin de pouvoir vous concentrer sur des vulnérabilités moins importantes
- Une fois votre filtre en place, cliquer sur « Éditions groupées > Créer une alerte ». Cela va vous permettre de définir une alerte automatique envoyant par mail des informations relatives aux vulnérabilités répondant à ces critères
Comprendre et appliquer les correctifs recommandés
Cyberwatch embarque un module facilitant le déploiement de certains correctifs sur les actifs scannés de manière authentifiée.
Les vues présentées ci-dessous offrent toutes la possibilité de demander à Cyberwatch de déployer des correctifs sur les actifs. Cyberwatch ne permet cependant pas le déploiement de tous les correctifs identifiés. Pour comprendre le fonctionnement et les limites de cette fonctionnalité, consulter la documentation sur le déploiement des correctifs.
Depuis la fiche d’un actif
Dans le cas d’un actif disposant d’un grand nombre de vulnérabilités, l’onglet « Gestion des correctifs » de cet actif est particulièrement intéressant, puisqu’il présente les correctifs associés à l’ensemble des vulnérabilités de l’actif.
Les correctifs sont triés par nombre de vulnérabilités prioritaires qu’ils corrigent. Les correctifs les plus hauts dans la liste sont donc généralement ceux qu’il faut déployer en priorité sur l’actif.
Cyberwatch vous indique également l’action corrective recommandée par les éditeurs permettant de corriger l’ensemble des CVE associées à chaque correctif.
Depuis la liste des actions correctives
La page des Actions correctives liste l’ensemble des actions correctives disponibles sur les actifs scannés par Cyberwatch.
Chaque action corrective est liée à une technologie qu’elle permet de corriger (ou à déployer dans le cas des KB Microsoft). Les éléments sont triés par défaut par nombre de vulnérabilités prioritaires associées.
Cette vue indique aussi le nombre d’actifs concernés par chaque action corrective.
Cas pratique : autoriser Cyberwatch à déployer des correctifs sur un ensemble d’actifs
Si vous souhaitez automatiser le déploiement de correctifs qui peuvent l’être, Cyberwatch offre la possibilité de configurer des politiques de déploiement automatiques.
Le cas pratique ci-dessous décrit comment mettre en place une telle configuration.
Afficher le cas pratique
Le cas pratique décrit comment créer une politique de déploiement de correctifs. L’approche pour configurer une politique de redémarrage est strictement identique.
- Se rendre dans le menu Administration et développer l’encart « Gestion des correctifs » afin de vérifier que la fonctionnalité est activée. L’activer sinon
- Se rendre dans le menu Réglages > Politiques de déploiement et de redémarrage
- Cliquer sur le bouton « + Ajouter » pour créer une nouvelle politique
Sélectionner :
- Type :
Politique de déploiement
- Nom : le nom souhaité, par exemple
Déploiements hebdomadaires les mercredis
- Période :
Récurrence personnalisée
; FréquenceToutes les semaines
; et choisirMercredi
- Début :
22:00
; Fin :06:00
- Planification :
Auto
- Type :
- Sauvegarder. Une politique de déploiement automatique autorisant Cyberwatch déployer les correctifs sur les actifs tous les mercredis entre 22h00 et 06h00 est alors créée.
- Pour s’appliquer, cette politique doit encore être associée à des actifs
- Se rendre dans l’Inventaire des actifs
- Filtrer et sélectionner les actifs souhaités
- Cliquer sur le bouton « Édition groupées > Modifier la politique de déploiement »
- Sélectionner la politique de déploiement nouvellement créée
Attention, cette politique d’exemple permet à Cyberwatch de tenter de déployer automatiquement l’ensemble des correctifs supportés sur les actifs associés à la politique de déploiement.
Générer des rapports et exporter les données
Par la suite, des rapports vont pouvoir être générés sur ces données, afin de les présenter graphiquement et de pouvoir les transmettre à d’autres interlocuteurs n’ayant pas nécessairement accès à l’application.
Cyberwatch offre plusieurs modèles de rapports PDF et CSV, ainsi que d’autres formats permettant l’export des données vers des systèmes tiers.
Pour générer un rapport, consulter la documentation associée.
Cyberwatch envoie également des données vers une instance Kibana déployée localement avec le logiciel. Cette instance Kibana embarque des tableaux de bord pré-conçus par Cyberwatch et permet la création de tableaux de bord personnalisés.
Utiliser le module conformité
Le module conformité de Cyberwatch vient compléter l’analyse des vulnérabilités via la vérification de bonnes pratiques de configuration des actifs vis-à-vis de référentiels de sécurité.
Ce module est facultatif et nécessite l’association de référentiels à tester sur les actifs, sans quoi Cyberwatch ne lancera pas d’analyse de conformité automatique.
Cyberwatch offre un ensemble de référentiels par défaut, issues d’entités de référence dans le domaine de la sécurité informatique, telles que le CIS Benchmark et l’ANSSI.
Cyberwatch permet, pour une utilisation plus avancée, la création de référentiels et règles personnalisées afin de vérifier des éléments décrits dans la politique de sécurité du système d’information de l’entreprise, par exemple.
Pour aller plus loin : personnalisation, automatisations et intégrations
Pour aller plus loin dans votre utilisation quotidienne de Cyberwatch, certains éléments peuvent être automatisés, dans le but de simplifier l’ajout et la classification d’actifs, l’intégration avec des outils tiers, la création d’éléments personnalisés…
Groupes
Les groupes permettent de visualiser les informations d’ensembles d’actifs, de les catégoriser, de leur appliquer des actions groupées et également de limiter les permissions des utilisateurs à ces ensembles.
Intégrations
Pour certains besoins d’intégrations, nous recommandons à nos clients l’utilisation des intégrations permettant de configurer des boutons afin d’envoyer certaines données de Cyberwatch vers des outils externes.
API Cyberwatch
Pour certains besoins d’automatisation, de personnalisation ou d’intégrations plus complexes, nous recommandons l’utilisation de l’API Cyberwatch.
Règles d’actifs
Les règles d’actifs permettent de mettre en place des règles dans le but d’attribuer de façon automatique des propriétés à des actifs.
Exemple d'utilisation d'une règle d'actifs
Il est par exemple possible de créer une règle d’actifs affectant automatiquement un groupe à des actifs selon le hostname de ces derniers. Créons par exemple une règle affectant le groupe Développement
et la criticité Basse
aux actifs dont le hostname contient la chaine dev
.
- Se rendre dans l’Inventaire des actifs
- Taper la chaine
dev
dans la barre de recherche, sans sélectionner de mot-clé - Cliquer sur le bouton « Édition groupées > Créer une règle »
- L’interface vous redirige vers le formulaire de création d’une règle, avec le filtre
dev
déjà renseigné. Nommer la règle - Pour l’action « Ajouter les groupes » sélectionner le groupe
Développement
- Pour l’action « Définir la criticité » sélectionner la criticité
Basse
- Sauvegarder la règle, qui doit être activée par défaut
- Constater que les actifs concernés par le filtre se voient affecter les propriétés définies
Les futurs nouveaux actifs supervisés par Cyberwatch remplissant les conditions de la règle seront également automatiquement modifiés par la règle d’actifs.
Support technique
Nos équipes sont bien entendu à votre disposition et vous accompagnent pendant toute la durée de vos tests ou montée en charge.
Pour toute question technique, merci de bien vouloir contacter le support Cyberwatch :
- par e-mail à support@cyberwatch.fr
- par téléphone au +33 1 84 80 88 84