5 Éléments à Retrouver dans un Rapport de Test d'Intrusion | Vumetric

5 Éléments à Retrouver Dans un Rapport de Test d’Intrusion

Quels éléments devriez-vous retrouver dans un rapport de test d’intrusion ?

Avant de s’engager dans un test d’intrusion, les entreprises doivent s’assurer que les services fourniront des résultats pertinents qui assureront un bon retour sur l’investissement. Cela dit, un rapport de test d’intrusion doit inclure les cinq éléments suivants pour en garantir un succès:

1. Le Sommaire Exécutif

Le sommaire exécutif fournit une description facile à comprendre des risques décelés et de leur impact potentiel (financier et autre) sur l’entreprise. Le sommaire exécutif doit fournir une description complète, claire et facilement compréhensible pour tous les intervenants, y compris ceux qui ne possèdent pas de compétence sur le plan technique. À la lecture du sommaire, tous les intervenants devraient avoir une compréhension de base sur l’ampleur des risques identifiés et des meilleures solutions pour les résoudre.

Si les résultats des tests ne sont compris que par votre personnel technique, votre démarche pour sécuriser votre entreprise contre les cyberattaques aura échoué, principalement parce que votre équipe ne sera pas en mesure de prendre les décisions nécessaires pour implémenter les solutions recommandées. Autrement dit, si votre équipe de direction ne comprend pas bien votre rapport de test d’intrusion et que les questions sont plus nombreuses que les réponses, elle ne sera pas en mesure de décider si les solutions proposées valent l’investissement en temps et en argent suggéré en retour.

Ainsi, il est nécessaire d’obtenir un sommaire rédigé dans un langage clair, concis et n’ayant pas recours aux jargons techniques. Tous les termes techniques utilisés doivent être clairement définis de façon à ce que les cadres puissent les comprendre. Un bon sommaire comprend également des tableaux et des graphiques sommaires qui sont utiles à tous les lecteurs pour offrir un constant visuel.

2. Les détails techniques sur les vulnérabilités identifiées

Cette section du rapport doit contenir des détails techniques sur les vulnérabilités identifiées sans lesquels le personnel informatique n’aurait pas suffisamment de directives pour élaborer des solutions efficaces. Toutefois, ces détails doivent être contextualisés et expliqués clairement afin que tous les lecteurs puissent comprendre la nature des risques.  En d’autres termes, cette section d’un rapport de test d’intrusion décrira avec précision les risques en termes techniques, y compris la preuve de la présence des failles de sécurité ainsi qu’une démarche pour permettre à l’équipe de répliquer et de mieux comprendre celles-ci.

Les vulnérabilités sont habituellement réparties en quelques catégories, telles que :

  • Catégorie de la vulnérabilité (réseau, application, etc.)
  • Sévérité et niveau de priorité de chaque vulnérabilité
  • Note CVSS (Système de notation des vulnérabilités)

Par exemple, si une entreprise de soins de santé est vulnérable au niveau des fichiers téléchargés par le biais de son portail, il ne suffit pas de décrire le processus technique par lequel le piratage pourrait avoir lieu, en se référant par exemple à l’exécution du « code arbitraire à distance ». Il faudrait également inclure un langage qui explique clairement ce que cela signifie pour l’entreprise (en utilisant des exemples concrets, tels que « cela signifie que les pirates, agissant comme des administrateurs, seront en mesure de consulter les dossiers médicaux de tous les utilisateurs. ») En d’autres termes, la description des répercussions éventuelles pour les entreprises est d’une importance capitale pour l’utilité du rapport.

3. L’impact potentiel des vulnérabilités et le niveau de risque associé

Cette section du rapport devrait décrire à la fois la probabilité des divers risques auxquels votre entreprise fait face de même que l’incidence possible de chaque vulnérabilité sur votre entreprise (tel que mentionné ci-dessus, le niveau de risque devrait être clairement contextualisé et présenté dans un langage concis pour chaque vulnérabilité). En ce qui concerne le niveau de risque, chaque vulnérabilité devrait être présentée avec son niveau de priorité respectif afin qu’elle puisse être traitée en fonction du risque qu’elle représente. En d’autres termes, certains risques sont plus graves et ont plus d’impact que d’autres.

4. Les solutions concrètes permettant de corriger les vulnérabilités identifiées

Bien entendu, le rapport de test d’intrusion doit présenter une description générale de la meilleure façon de remédier à chaque vulnérabilité. Il est également important que cette description soit adaptée aux besoins uniques de votre entreprise.

Par exemple, si votre entreprise utilise un serveur Web donné, il ne serait pas raisonnable de suggérer dans le rapport de vous en débarrasser et de recommencer à zéro. Les solutions présentées doivent tenir compte de ce qui est réaliste pour votre entreprise et de ce qui ne l’est pas. De ce fait, un rapport de test d’intrusion efficace présentera plusieurs mesures correctives, dont chacune comprendra suffisamment de détails pour que votre équipe informatique puisse rapidement et efficacement résoudre le problème, en utilisant des ressources externes relatives à chaque risque identifié.

5. Les méthodologies utilisées dans le test

Il est important, surtout pour votre personnel informatique, de comprendre les méthodes utilisées pour effectuer les tests d’intrusion. Les tests d’intrusion impliquent généralement des méthodologies comprenant la collecte de données, l’évaluation de la vulnérabilité, l’exploitation réelle (au cours de laquelle le testeur lance une attaque pour déceler les vulnérabilités) et la présentation du rapport.  Aussi, les tests peuvent être ciblés, afin de déceler des vulnérabilités spécifiques (limitées) ou exhaustifs.

Parmi les méthodologies reconnues, on retrouve :

  • OWASP (Open Web Application Security Project) ;
  • OSSTMM (Open Source Security Testing Methodology Manual) ;
  • NIST (Institut national des normes et de la technologie)

En Conclusion

Lorsque ces cinq éléments sont présentés clairement et organisés de façon logique, le rapport de test d’intrusion peut atteindre ses objectifs de façon efficace, soient d’informer les cadres supérieurs du niveau de sécurité de leur entreprise, de conseiller les gestionnaires des TI au sujet des risques à atténuer et de guider les membres du personnel informatique vers des solutions réalisables. De plus, toute entreprise réputée se spécialisant dans les tests d’intrusion devrait fournir à ses clients un rapport complet qui permet à chacun d’entre eux de réparer les failles de sécurité afin d’avoir l’esprit tranquille et de prévenir les attaques potentiellement dommageables.

Pour en savoir plus sur la façon dont nos tests d’intrusion, nos audits de sécurité et nos services de cybersécurité peuvent protéger votre entreprise contre les cyberattaques, consultez dès aujourd’hui un de nos spécialistes certifiés.

Partager sur facebook
Facebook
Partager sur google
Google+
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn
Retour haut de page