10 Questions Pour Votre Fournisseur de Test d'Intrusion | Vumetric

10 Questions à Poser à Votre Fournisseur de Test d’Intrusion

Comme vous le savez, les tests d’intrusion jouent un rôle important dans la sécurité de votre entreprise, car ils vous permettent de protéger les informations vitales de vos clients et de protéger vos systèmes contre les pirates informatiques. Ainsi, le choix du bon spécialiste en test d’intrusion est d’une importance capitale. Il vous faut un spécialiste en test d’intrusion qui découvrira les vulnérabilités critiques de votre système et vous fournira les informations dont vous avez besoin pour améliorer votre sécurité globale. Avant d’effectuer le choix d’un fournisseur de services de tests d’intrusion, assurez-vous de poser les questions clés suivantes :

1. Quelles sont les certifications détenues par votre entreprise ?

Il existe de nombreuses certifications de sécurité disponibles pour les spécialistes en test d’intrusion. L’accréditation CEH (Certified Ethical Hacker), le certificat de professionnel en sécurité des systèmes d’information (CISSP), le certificat de professionnel en sécurité dans le nuage (CSSP), le certificat OSCP (Offensive Security Certified Professional), la licence LPT (Licensed Penetration Tester) en sont quelques-uns, mais il y en a bien d’autres, puisque la liste des sigles ne cesse de grossir. Toutefois, avant de choisir votre fournisseur de services de tests d’intrusion, vous devriez, avant tout, établir les certifications qu’il détient. Cela vous donnera une meilleure idée du niveau d’expertise disponible au sein de l’entreprise ainsi que des normes attendues de celle-ci dans son ensemble. Vous devriez également vous renseigner sur la personne qui réalisera votre test et sur les certifications détenues, par exemple, par les membres juniors de l’équipe.

2. Quelles méthodologies sont utilisées pour vos tests d’intrusion ?

Lorsque vous faites appel à un fournisseur de services de tests d’intrusion, vous voulez être certain que ce dernier réalisera le test dans les meilleures conditions et qu’il y accordera toute son attention. Renseignez-vous en ce qui a trait à la procédure de test, y compris des éléments comme la « OSSTM » et l’ « OWASP ». Il y a aussi de fortes chances que vous entendiez beaucoup de langage technique, en grande partie incompréhensible, à moins que vous ne possédiez votre propre expérience dans le domaine de la sécurité. Cependant, il vous faut vous assurer de plusieurs choses importantes :

  1. L’entreprise a bien mis en place un plan pour procéder à votre test d’intrusion. Elle ne s’y prend pas de manière aléatoire ; elle possède plutôt un plan bien pensé qui lui permettra de se déplacer efficacement et méthodiquement dans vos systèmes lorsqu’elle cherchera des failles. De plus, il est important de savoir que le fournisseur de services de tests d’intrusion ne causera pas la panne de votre système que ce soit par erreur puisqu’il exécute ses analyses avec les paramètres les plus élevés activés, ou en utilisant des outils dangereux.
  2. L’entreprise allie l’utilisation d’outils et de méthodes manuelles. Si l’entreprise utilise uniquement des outils, sachez que vous payez le prix fort pour un test que vous auriez pu effectuer vous-même à l’aide d’un logiciel. En outre, il est fort probable que celle-ci ne soit pas en mesure de détecter certaines failles clés qu’un pirate informatique déterminé à attaquer votre compagnie pourrait trouver.
  3. Le fournisseur de service examinera à la fois les défis logiciels et les vulnérabilités potentielles au sein de toute votre entreprise. Selon le type de test que vous aurez choisi, cela pourrait inclure l’élément le plus vulnérable de votre entreprise, soit vos employés. Cela pourrait également inclure des appels téléphoniques, des courriels ou même une simple analyse des messages de l’entreprise sur les réseaux sociaux.

Par ailleurs, il est important de comprendre comment le fournisseur de services aborde les tests d’intrusion de façon globale. Il pourrait, par exemple, utiliser la méthode OSSTMMM (Open Source Security Testing Methodology Manual) consistant en un journal de sécurité révisé par des pairs qui fournit des pratiques exemplaires aux entreprises de sécurité. Il pourrait également choisir d’utiliser OWASP (Open Web Application Security Project) pour rechercher des informations recueillies par des professionnels de la sécurité dans le monde entier. En outre, la norme d’exécution de test d’intrusion ou PTES fournit un ensemble spécifique de normes pour aider les spécialistes en test d’intrusion à produire de meilleurs résultats et à augmenter leurs chances d’obtenir les mêmes résultats, indépendamment de la personne effectuant les tests pour l’entreprise.

3. Votre test est-il automatisé ou effectué manuellement ?

Bien que vous souhaitiez une méthode de test d’intrusion incluant à la fois des méthodes manuelles et des outils, la plupart des spécialistes en test d’intrusion utilisent une variété d’outils pour les aider à identifier les vulnérabilités potentielles en ce qui a trait à votre système de sécurité. Les outils automatisés sont l’un des éléments les plus importants sur le plan des tests d’intrusion et sont habituellement utilisés au début de la procédure de test pour identifier les vulnérabilités potentielles. Les spécialistes en test d’intrusion n’ont pas à tout faire manuellement afin d’obtenir des résultats très efficaces puisqu’en fait, ces tests peuvent aider à détecter de nombreuses vulnérabilités de la même façon qu’un pirate informatique parviendrait à le faire. Nous vous conseillons de rechercher une entreprise de tests d’intrusion qui dispose d’un répertoire établi d’outils qu’elle utilise pour aborder les étapes initiales du test d’intrusion, mais qui emploie ensuite des méthodes manuelles pour compléter le test.

4. Quels types de tests d’intrusion maîtrisez-vous bien ?

Un test d’intrusion de haute qualité vous permettra d’obtenir un large éventail d’informations pour votre entreprise. Il est important que votre spécialiste en test d’intrusion couvre tous les détails importants qui vous aideront à protéger votre entreprise, alors il vous faut rechercher une entreprise qui possède les types de tests d’intrusion les plus pertinents pour vous. Cela pourrait inclure :

  • Des tests d’intrusion réseau qui testent les fonctionnalités de votre réseau et permettent de découvrir toute vulnérabilité potentielle au sein du réseau.
  • Des tests d’intrusion d’Application Web qui garantissent que votre site Web et vos applications Web ne sont pas vulnérables aux cyberattaques et aux exploitations.
  • Des tests d’intrusion cloud qui examineront la sécurité de votre fournisseur dans le nuage et s’assureront qu’il n’y ait pas d’accès potentiel à la base de données.
  • Les tests de réseau sans fil : Votre réseau sans fil est-il sécurisé ? Y a-t-il des appareils connectés à votre réseau qui pourraient permettre l’accès à vos systèmes ? Grâce aux tests de réseau sans fil, il est possible d’avoir une meilleure idée du niveau de sécurité de l’ensemble de votre réseau sans fil.
  • Les tests d’intrusion industriels, Scada et ICS examineront la sécurité de la chaîne de production et veilleront à ce que toute la chaîne soit protégée.

5. Vos tests pourraient-ils perturber nos opérations habituelles ?

Malgré leur nécessité, les tests d’intrusion demeurent tout de même une attaque sur votre système. Dans de nombreux cas, les tests d’intrusion peuvent ralentir la fonctionnalité de votre système tout au long de la durée du test ou même, dans le cas de vulnérabilités critiques, provoquer des pannes de systèmes. Ainsi, il est important de faire appel à un fournisseur de tests d’intrusion qui comprenne les dangers potentiels pour votre entreprise et qui travaille avec vous pour vous assurer de pouvoir poursuivre vos activités pendant toute la durée du test. Vous pouvez également profiter de cette occasion pour informer votre spécialiste en test d’intrusion au sujet de tout système existant encore en usage au sein de votre entreprise ou dans des zones sensibles qui pourraient perturber votre entreprise. Les éléments couverts par les tests peuvent varier considérablement en fonction du projet et du cadre sur lequel vous aimeriez vous concentrer. En abordant clairement ces éléments du test, vous vous assurez de savoir à quoi vous attendre et d’être en mesure d’assurer le bon fonctionnement de votre entreprise tout au long du processus de test.

6. Faites-vous appel à des sous-traitants ?

Lorsque vous travaillez avec une entreprise de tests d’intrusion, il est important que vous sachiez avec qui vous travaillez. Idéalement, vous voulez faire appel à une entreprise de tests d’intrusion qui effectue le travail elle-même, plutôt que de le faire sous-traiter. Bien que les sous-traitants puissent être un atout précieux pour n’importe quelle entreprise, vous ne voulez pas forcément qu’ils se chargent de la réalisation de votre test d’intrusion.

7. Que comprend votre rapport ?

Il est important que votre rapport de test d’intrusion contienne toutes les informations dont vous avez besoin pour éliminer toute faille relative à la sécurité de votre entreprise. Vous devez obtenir un aperçu de base des vulnérabilités que vous pouvez corriger rapidement, ainsi qu’un rapport plus détaillé décrivant l’étendue de la vulnérabilité et la façon dont elle pourrait avoir un impact sur votre entreprise. Un bon rapport comprend également un score d’évaluation des risques qui vous permettra de mieux comprendre les risques que peuvent présenter ces vulnérabilités ainsi qu’un plan d’action qui vous permettra de les corriger et de protéger votre entreprise et vos clients.

 

8. Avez-vous une politique de sécurité interne ?

Votre fournisseur de tests d’intrusion se doit de mettre l’accent sur la sécurité interne. Après tout, il aura accès à toutes vos données privées. Il ne faudrait surtout pas que votre entreprise de tests d’intrusion soit victime d’une brèche de sécurité, ce qui exposerait davantage vos vulnérabilités à un pirate informatique potentiel. De plus, les membres de l’équipe de tests d’intrusion doivent avoir fait l’objet d’une vérification de leurs antécédents ou avoir une cote de sécurité élevée, car ils auront accès à des données protégées dans vos systèmes pendant le test.

9. Effectuez-vous des vérifications des antécédents de votre équipe ?

Il est important que le spécialiste en test d’intrusion traitant vos données sensibles ne fasse pas l’objet d’accusations multiples contre lui. Recherchez une entreprise de tests d’intrusion qui effectue une sélection minutieuse des nouveaux membres de leur équipe avant de les embaucher.

10. Comment allez-vous nous aider à corriger nos vulnérabilités ?

Au-delà de la détection des vulnérabilités, il est nécessaire de faire appel à une entreprise spécialisée en tests d’intrusion qui vous aidera à atteindre vos objectifs de sécurité, c’est-à-dire à corriger ces vulnérabilités ainsi que les failles dans votre système de sécurité. Lorsque vous recherchez un spécialiste en test d’intrusion, assurez-vous de vous renseigner sur la façon dont il vous aidera à corriger vos vulnérabilités, que ce soit par ses conseils ou par les services offerts par son entreprise. De nombreux fournisseurs de services de sécurité, notamment du fait que les entreprises de sécurité migrent de plus en plus vers de grandes entreprises, proposent bien plus que des services de tests d’intrusion. Ils se chargeront également d’une partie de la mise en œuvre des mesures correctives en vous fournissant certaines solutions de sécurité qui vous aideront à protéger votre entreprise. Cette solution tout-en-un peut grandement faciliter la protection de votre entreprise.

Lorsque vous êtes prêt à embaucher un spécialiste en test d’intrusion, assurez-vous de poser les bonnes questions. En incluant ces dix questions lors de votre pré-entretien d’embauche, vous augmenterez davantage vos chances de trouver le bon spécialiste en test d’intrusion pour votre entreprise.

 

Partager sur facebook
Facebook
Partager sur google
Google+
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn
Retour haut de page