Il faut ajouter aussi certaines dépendances très vulnérables comme Apache et PHP qui totalisent un historique de plus de 1200 vulnérabilités pour l'un et 600 pour l'autre.
Beaucoup d'autres sources d'information permettent de référencer en détail les vulnérabilités exploitables (CVE), et ce pour beaucoup de logiciels Open Source :
D'autre part, il existe beaucoup de tutos sur les techniques de hacking https://medium.com/@0x616163/pivoting-with-devops-tools-abusing-zabbix-877e92bf49c2, des modules type MetaSploit ciblant les outils précédemment cités https://www.cvedetails.com/metasploit-modules/vendor-1424/Nagios.html qui peuvent donner une solution de hacking presque clé en main depuis une machine virtuelle Kali Linux. Que ce soit sur le logiciel lui-même ou les librairies embarquées, les hackers peuvent tranquillement étudier chaque vulnérabilité, développer un virus sur-mesure ou une technique d'intrusion et effectuer des tests dans la version choisie.
Chez ServicePilot, nous éditons également un logiciel très sensible et prenons très au sérieux les problèmes de Cybercriminalité. Le code source est sous contrôle et fermé au public. L'architecture permet de mettre en place un flux sécurisé du type TLS 1.2 mono directionnel entre les serveurs et la plateforme de supervision, évitant ainsi d'ouvrir des ports sur les serveurs cibles.
Nous travaillons avec les plus grandes entreprises Françaises sur les problèmes de labellisation de logiciel du point de vue de la sécurité.
Nous effectuons régulièrement des Pentests (tests de pénétration).
Nous avons déjà travaillé avec certains clients sur des mécanismes de sécurité particuliers comme par exemple avec des réseaux non IP. Nous choisissons avec soin chaque composant, chaque détail de l'architecture.
Voici 7 bonnes pratiques que nous recommandons en plus des préconisations habituelles :
L'adoption d'un label "secured by design" et "tamper-proof" (à l'épreuve des manipulations) mettant l'accent sur la sécurité des logiciels aiderait non seulement les entreprises à améliorer la sécurité de leurs propres logiciels, mais leur donnerait également une indication sur la sécurité de l'architecture logicielle qu'elles souhaitent intégrer dans leur système d'information.