Questions et réponses à Hackuity

Hackuity est une solution technologique de rupture qui repense la manière dont les vulnérabilités informatiques sont gérées dans les entreprises.

  • En quoi votre solution permet-elle d'aider à corriger les vulnérabilités ?

Plusieurs éléments contribuent à faciliter la correction des vulnérabilités et à réduire les durées de remédiation :

1/ La normalisation des vulnérabilités collectées, qui propose aux équipes de remédiation un format standard de description des vulnérabilités et des mesures de correction, quelle que soit la source

2/ L’enrichissement des vulnérabilités avec l’ensemble des recommandations identifiées (éditeurs, NVD, CTI, scanners, …), mais également avec la base de connaissances Hackuity

3/ L’intégration native et bidirectionnelle avec les workflows et outils des équipes de remédiation (Jira, ServiceNow, …), qui fluidifie la collaboration entre RSSI et équipes de remédiation et permet d’identifier les points de blocage

4/ La diminution drastique du nombre de vulnérabilités critiques qui permet aux équipes de se focaliser sur les vulnérabilités les plus importantes et non le bruit.

 

  • Quelle est la différence entre votre solution avec un Qualys ou Nessus qui qualifie finalement comme vous ?

 

Hackuity fournit une solution agnostique qui permet d’enrichir et de gérer des vulnérabilités en provenance de différents scanners (scanners réseaux, scanners SAST/DAST), sources (NIST NVD, CTI) ou pratiques de détection (pentests, bug bounty, rapports de conformité, etc.).

Hackuity intègre la suite Qualys et Nessus comme des sources de vulnérabilités parmi beaucoup d’autres et ne vient en aucun cas les remplacer.

Cela se traduit, entre autres, par des mécanismes assurant la déduplication des vulnérabilités et un algorithme de « scoring » de vulnérabilités d’origines multiples et croisées.

 

  • Comment gérez-vous les faux positifs ?

Hackuity n’est pas une solution de détection des vulnérabilités, et la qualité des informations reste dépendante des sources.

Néanmoins, plusieurs éléments limitent les pertes de temps liées aux faux positifs :

1/ La standardisation et la déduplication des vulnérabilités, qui permettent de croiser les résultats de l’ensemble de vos outils, sources et pratiques de détection ;

2/ L’historisation des résultats qui garantit qu’un faux positif qualifié comme tel, n’est pas requalifié autrement par une source tierce

3/ Des scores de confiance qui peuvent être attribués aux sources : par exemple, une vulnérabilité identifiée dans le cadre d’un pentest peut être automatiquement qualifiée comme « confirmée » et envoyée en remédiation avec ce statut. Inversement, une vulnérabilité identifiée par un scanner sera qualifiée de « potentielle » puis pourra être « confirmée » ou « rejetée » après un travail d’investigation.

 

  • En quoi est-elle différente du leader Qualys ?

Idem. 2/

Hackuity intègre la suite Qualys comme une source de vulnérabilité parmi beaucoup d’autres et ne vient en aucun cas la remplacer.

Hackuity orchestre votre arsenal de détection, normalise vos résultats, centralise vos bases de référence et propose une mesure du risque harmonisée.

 

  • Vous n'avez pas peur que les scanners de vulnérabilités, qui sont vos sources, proposent cette solution

Idem 2 /

Nous sommes convaincus que seul un positionnement agnostique peut permettre de traiter les sources de vulnérabilité sur un « pied d’égalité » et de proposer un algorithme de qualification transverse à toute la profession.

Nous ne sommes en aucun cas concurrents avec ces éditeurs.

Hackuity vient valoriser votre arsenal de détection existant.

 

  • Comment cette solution agit contre les 0 day ? 
  1. Toutes les « zero-days » identifiées par vos éditeurs préférés sont bien entendu intégrées dans Hackuity avec le statut idoine
  2. Nous intégrons plusieurs sources ouvertes de CTI dédiées
  3. Vous pouvez intégrer toutes vos sources (CERT interne, CTI, partenaires spécialisés, …) via nos API ou les connecteurs existants
  4. Nous envisageons le développement de connecteurs/partenariats spécifiques avec des acteurs spécialisés de la TI
  5. Et bien entendu, nous intégrons nativement les résultats de vos audits applicatifs réalisés par BB et pentest

 

  • Y a-t-il une analyse dynamique de code avec de l'IA capable de découvrir des apt, comme sqreen.io par exemple ? 

Pas à ce jour.

Il est néanmoins tout à fait imaginable d’intégrer des vulnérabilités issues de cette source avec le connecteur idoine.

 

  • Et aussi, avez-vous exploré le monde de l'assurance pour des partenariats ? 

Oui tout à fait.

L’utilisation d’Hackuity pour mesurer en continu le niveau de maturité d’une entreprise, sur la base de ses vulnérabilités, indépendamment des outils utilisés, permet effectivement aux assureurs de mieux dimensionner les polices d’assurance cyber.

Nous travaillons avec plusieurs acteurs du secteur afin de proposer un tel service, notamment par l’intégration des indicateurs Hackuity à leur KPI de qualification du risque parmi d’autres indicateurs.

 

  • Il existe d'autre outils open source pour réaliser l'orchestration comme open vault, quel est votre valeur ajoutée ? 

Hackuity est une plateforme dédiée à la gestion des vulnérabilités, proposée clé en main à nos clients.

Avec Hackuity, vous vous concentrez sur les taches à forte VA et non sur la maintenance ou le paramétrage d’outils généralistes.

 

  • Quel est le modèle économique? 

La solution Hackuity est proposée sous la forme d’un abonnement annuel. Le montant de l’abonnement dépend :

  1. Du périmètre technique supervisé (nombre d’assets)
  2. Du mode d’hébergement de la solution (SaaS, On-Premise, Hybride)

 

  • Comment se passe l'orchestration via ? Qui maintient les codes permettant l'appel d'outils spécifiques avec Hackuity ? 

L’orchestration est réalisée via des « calls API » lorsque les outils et les architectures de nos clients le permettent.

Un ordonnanceur permet par exemple de planifier des scans récurrents.

Hackuity assure le développement, la maintenance et le support des connecteurs avec tous les outils de son écosystème.

 

  • Skybox fait pareil quelle est la différence? 

Les différences sont nombreuses : algorithme de qualification, sources de menaces, normalisations, politique tarifaire, UX, …

Nous pouvons en citer 2 majeures : la manière dont le contexte technique de l’entreprise est pris en compte pour la qualification des menaces et les modes de déploiement proposés. 

Ajoutons également la souveraineté de la solution 

Nous vous invitons à prendre contact avec nos équipes pour une étude en fonction de votre cas d’usage.

 

  • Les entêtes des paquets ip sont des métadonnées qui ne peuvent pas être chiffrées comment faites-vous ? 

Nous espérons avoir bien compris la question.

  1. Toutes les données confidentielles manipulées (ie : qui peuvent associer un client à une vulnérabilité) sont chiffrées et/ou anonymisées. Les adresses IP n’y échappent pas.
  2. Lorsqu’elles doivent être utilisées pour traitement par la plateforme (exemple : qualifier de manière unique un asset), c’est soit un hash, soit un label qui est manipulé
  3. Si elle fait partie intégrante de la finding (exemple : paramètre d’une XSS), seul le client final peut avoir accès à l’IP elle-même par déchiffrement

 

  • Le protocole est-il open source ? 

L’algorithme de calcul du score Hackuity sera prochainement rendu public.

Il est documenté pour nos clients.