27/06/2014

Essai d'un nouveau scanner de vulnérabilités PCI ASV (Outpost 24 vs Qualys)

Cela fait 7 ans que je suis QSA. J'ai été très fréquemment à des entreprises ayant choisi le scanner Qualys pour répondre à l'exigence 11.2.2.

11.2.2 Perform quarterly external vulnerability scans, via an Approved Scanning Vendor (ASV) approved by the Payment Card Industry Security Standards Council (PCI SSC).

Je pensais être toujours obligé d'affronter la rudesse du processus de ce scanner. D'année en année, l'outil est devenu lourd, incompréhensible pour les clients et même pour le QSA, les rapports inexploitables, les falses-positives compliquées, une tarification obscure, etc. Je pensais cela inéluctable.

J'ai finalement testé un autre scanner : le suédois Outpost 24. hé bien ! Ce fut le jour et la nuit. L'interface web est simple, la tarification est claire (très important lorsque l'on recommande un outil tiers à un client), les rapports sont exportables, leur consultation interactive. 

On voit clairement la différence de philosophie entre l'américain Qualys (qui fût français au début) et le suédois. D'un coté, l'outil plein de menus, une stratégie poussant à gonfler la facture. De l'autre, un outil sobre, efficace, clair. Le design suédois a encore frappé.

Si vous ne connaissez pas, faites donc un essai.

N.B. Je n'ai aucune forme de partenariat avec Outpost 24. Mes clients sont libres de choisir le scanner de leur choix, de toute façon, l'exigence 11.2 n'apporte pas d'expertise sécurité et est à mille lieues de la valeur d'un test d'intrusion.

Aucun commentaire:

Enregistrer un commentaire