Barracuda Vulnerability Manager et Barracuda Remediation Service

Pour protéger vos applications Web, sans détour.
Analyse de site Web gratuite

Questions fréquentes

Que recherche Barracuda Vulnerability Manager ?

Barracuda Vulnerability Manager n'analyse que les applications Web, c'est pourquoi seul le serveur Web vers lequel l'analyse est dirigée sera ciblé. La solution n'analyse ni votre réseau, ni votre infrastructure. À titre d'exemple, Vulnerability Manager ne ciblera ni n'analysera des pare-feux de couche 3, des périphériques VPN, des appareils ou serveurs de messagerie, des serveurs FTP, des systèmes téléphoniques ou tout autre périphérique réseau.

Quelles sont les vulnérabilités pouvant être détectées par Barracuda Vulnerability Manager ?

Liste des types de vulnérabilités détectés par Barracuda Vulnerability Manager.

Barracuda Vulnerability Manager détecte de nombreuses vulnérabilités que peuvent présenter les applications Web, y compris les injections SQL, le cross-site scripting (XSS), le Cross-site Request Forgery (CSRF), et bien d'autres encore. Pour une liste plus détaillée, consultez la « Liste des types de vulnérabilités détectés par Barracuda Vulnerability Manager ».

D'où les analyses sont-elles exécutées ?

Les analyses Barracuda Vulnerability Manager sont exécutées depuis le data center de Barracuda, situé à Southfield dans le Michigan. La plage d'adresse IP est 64.235.153.0/24

Comment l'analyse est-elle réalisée ?

Pour analyser une application Web, Barracuda Vulnerability Manager envoie à votre serveur Web des requêtes particulières puis analyse les réponses. Les serveurs vulnérables émettront une réponse-type détectable par le scanner, nous permettant ensuite de vous en informer. Les requêtes qu'envoie Barracuda Vulnerability Manager sont spécifiquement conçues pour ne causer aucun dommage à vos serveurs ; leur seul objectif est de détecter les vulnérabilités, en aucun cas de les exploiter.

Quels types d'informations Barracuda Vulnerability Manager recueille-t-il au cours d'une analyse ?

Pendant une analyse, Barracuda Vulnerability Manager collecte diverses informations sur votre application. Elles permettent alors d'améliorer la précision et détecter les vulnérabilités de l'application. Ces informations peuvent comprendre des données sur les technologies et les composants utilisés par votre application, la structure de votre application, ou encore des listes de pages, formulaires, champs et cookies.

Barracuda Vulnerability Manager ne recueille aucune information ou donnée confidentielles de la base de données de votre application, qu'elles soient accessibles au public ou non. Si Barracuda Vulnerability Manager détecte une vulnérabilité qui pourrait compromettre la confidentialité des données de votre application Web, aucune des données risquant d'être compromises ne sera recueillie. Vous serez toutefois averti(e) du problème.

Barracuda Vulnerability Manager ne recueille pas non plus le code source de votre application (qu'il soit du côté client ou serveur).

Combien de temps une analyse dure-t-elle ?

La durée des analyses dépend largement de la taille de votre application et peut aller de quelques minutes à plusieurs jours. Vous pouvez suivre la progression des analyses sur l'écran « Active Scans » (Analyses en cours) de Barracuda Vulnerability Manager. Si vous le souhaitez, vous pouvez également limiter la durée de l'analyse. Dans ce cas, vous serez averti(e) uniquement des vulnérabilités qui auront été détectées durant la période d'analyse choisie. Il est toujours possible d'annuler une analyse en cours. Là encore, vous ne verrez que les vulnérabilités détectées jusqu'au moment de l'annulation.

Quels sont les risques liés à l'exécution d'une analyse ?

L'outil d'analyse a été conçu spécialement pour ne causer aucun dommage à votre application Web, au serveur Web, à la base de données ou à l'infrastructure réseau. Pendant le processus d'analyse, le scanner soumet à plusieurs reprises tous les formulaires Internet trouvés sur votre application afin de détecter les vulnérabilités. Si vous avez des formulaires non protégés qui inscrivent des données dans une base de données ou envoient des e-mails basés sur des formulaires d'envoi, il se peut que vous remarquiez un grand nombre d'e-mails ou d'enregistrements de la base de données envoyés durant l'analyse. Vous pouvez ignorer ou supprimer ces enregistrements et/ou e-mails sans risque de causer un quelconque dommage.

L'analyse va-t-elle surcharger mon serveur Web ?

Barracuda Vulnerability Manager dispose d'une fonctionnalité qui protège automatiquement contre les surcharges. Si l'outil détecte une charge élevée sur votre serveur Web, il ralentira automatiquement l'analyse jusqu'à ce que la charge retrouve un niveau normal. Indépendamment de la protection contre les surcharges, Barracuda Vulnerability Manager envoie un maximum de 15 demandes par seconde à votre serveur. Si vous le souhaitez, vous pouvez ajuster ce chiffre dans l'onglet « Crawling » (Analyses) de la fenêtre de dialogue de configuration des analyses. Par exemple, vous pouvez augmenter ce chiffre si vous analysez un serveur non productif et souhaitez que l'analyse soit réalisée plus rapidement.

Puis-je analyser les applications hébergées sur serveurs dans un cloud public, sur site, sur infrastructure hébergée, etc. ?

Barracuda Vulnerability Manager peut analyser toute application Web accessible au public, quel que soit l'endroit où elle est hébergée. Si un internaute quelconque peut entrer l'URL de votre application et y accéder, alors l'application peut être analysée.

Puis-je analyser des applications protégées par un équilibreur de charge ou un pare-feu ?

Oui. Barracuda Vulnerability Manager peut analyser les applications protégées par un équilibreur de charge ou un pare-feu, tant que l'application en question est accessible au public.

Barracuda Vulnerability Manager va-t-il « pirater » mon application afin de détecter les vulnérabilités ?

Non. Barracuda Vulnerability Manager déterminera si votre application présente un risque de piratage par un hacker, mais ne piratera pas lui-même votre application. Surtout, Barracuda Vulnerability Manager ne contraindra pas votre application à exécuter un code malveillant, ne volera pas de données de votre application, ni n'entraînera de panne.

Les employés de Barracuda auront-ils accès aux données de mon application ?

Non. Bien qu'il puisse arriver que Barracuda Vulnerability Manager stocke les données des requêtes et des réponses pour faciliter la détection de vulnérabilités, les données de votre application ne seront pas enregistrées sur les serveurs de Barracuda ni ne seront accessibles par ses employés.

Les rapports d'analyses sont-ils stockés dans le cloud de Barracuda ? Comment pouvez-vous garantir que les rapports demeurent confidentiels ?

Les rapports d'analyse sont stockés dans des serveurs spécialement prévus à cet effet, localisés dans un data center dédié de Barracuda. Vous seul(e) pourrez accéder à ces rapports, grâce aux identifiants que vous utilisez pour vous connecter à Barracuda Cloud Control. Si vous êtes soumis(e) à des règlements exigeant que vos données soient conservées dans des serveurs physiques séparés, veuillez nous contacter afin de découvrir nos options de stockage sur site.

Les utilisateurs ayant accès à Barracuda Vulnerability Manager peuvent-ils analyser mon application ?

Non. Par mesure de sécurité et pour empêcher tout abus, les utilisateurs doivent vérifier tous les domaines qu'ils souhaitent analyser, à l'aide de Barracuda Vulnerability Manager ou par le biais du processus de vérification de domaine Cloud Control. Les utilisateurs seront invités à réaliser cette simple vérification en cliquant sur un lien reçu par e-mail.

Barracuda Vulnerability Manager a détecté une vulnérabilité dans mon application. Que dois-je faire ?

Vous devriez prendre des mesures immédiates pour résoudre les vulnérabilités détectées par Barracuda Vulnerability Manager, particulièrement celles de niveau de gravité élevée ou critique.

La façon la plus simple de résoudre les vulnérabilités d'une application Web est d'utiliser un pare-feu Barracuda Web Application Firewall (WAF). Barracuda WAF peut importer les résultats d'une analyse exécutée par Barracuda Vulnerability Manager et résoudre automatiquement toutes les vulnérabilités que l'analyse a révélées. Pour plus d'informations, consultez la présentation de la solution, « Vulnérabilités des applications Web : de la détection à la correction ».

Les informations fournies dans le rapport de Barracuda Vulnerability Manager peuvent également être utilisées par les développeurs de votre application Web. Ils pourront ainsi trouver le problème dans le code source de l'application et le résoudre manuellement.

Comment puis-je contacter l'assistance ?

Veuillez envoyer un e-mail à BVM_Support@barracuda.com pour obtenir de l'aide.

Si vous avez d'autres questions auxquelles vous ne trouvez pas de réponse ici, veuillez contacter Barracuda Networks au +33 1 72 75 72 78
Vue d'ensemble > ressources >