Ce Qui Détermine Un Test d'Intrusion de Qualité? | Vumetric Cybersécurité
test d'intrusion de qualité

Ce Qui Détermine Un Test d’Intrusion de Qualité

Il y a une différence considérable entre un test d’intrusion de base et un test d’intrusion professionnel. Afin de tirer le meilleur retour sur votre investissement possible, vous souhaitez faire affaire avec un fournisseur qui mettra en œuvre des normes et une qualité qui aidera votre entreprise à se conformer à des éxigences et à implementer mesures qui vous protègent des cyberattaques. Un pentest qui ne vise qu’à faire le minimum nécéssaire vous donnera un faux sentiment de sécurité et peut vous amener à dépenser vos ressources de manière inefficace. En tant que partie prenante d’une entreprise, cependant, il est possible que vous n’êtes pas au courant de tous les éléments qui font un test d’intrusion de qualité. Voici quelques-uns des éléments que vous devez prendre en considération pour en évaluer la qualité:

1. Le fournisseur définit la portée précisément

Avant d‘effectuer un pentest, il est essentiel de définir clairement sa portée avec votre fournisseur pour vous assurer que toutes vos bases sont couvertes et que vous identifiez vos risques les plus importants. Par exemple, si vous effectuez un test d’intrusion de réseau interne, il est important que votre prestataire définisse combien de serveurs / postes de travail seront ciblés et si un service Cloud est utilisé (AWS, Azure, VM, etc.). Dans d’autres contextes, si vous effectuez un pentest d’applications web, vous voulez vous assurer que vos fonctionnalités les plus critiques et les connecteurs API (s’il y en a) sont inclus dans la portée du test. Tous ces détails doivent être explicitement mentionnés à votre spécialiste en test d’intrusion pendant la définition de la portée afin de s’assurer qu’elles soient bien testées et que les composants nécessitant une attention particulière sont identifiés avant le test. Si votre prestataire tente de démarrer votre projet dès que possible avec une portée vague et indéfinie, vous devez vous méfier de nombreux autres critères évoqués dans cet article avant d’aller de l’avant. Pourquoi est-ce important? – Définir rigoureusement votre portée vous permet non seulement de tenir votre fournisseur responsable, mais aussi de vous assurer que vous ne laissez rien de coté. Si vous ne définissez pas la portée, vous risquez de laisser de côté certains actifs essentiels qui auraient dû être testés, ce qui laisserait une faille dans votre stratégie de gestion des risques et créerait un faux sentiment de sécurité. Un fournisseur professionnel de test d’intrusion vous aidera à définir correctement ce qui sera testé et vous fournira une liste d’exigences pour chaque type de test dont votre organisation a besoin. La manière dont votre fournisseur définit cette portée est un bon indicateur du niveau de qualité que vous pouvez attendre de lui, mais il y a beaucoup d’autres choses à prendre en compte pour savoir s’il s’agit d’un test d’intrusion de qualité.

2. Les spécialistes sont certifiés et la compagnie est accréditée

Pourquoi est-ce important? – Lorsque vous choisissez un fournisseur, il est recommendé de vérifier quelles certifications son équipe détient et de rechercher des certifications de test d’intrusion reconnues. Ces certifications, telles que CISSP, GIAC, CEH ou OSCP, constituent une excellente référence en matière d’expérience et d’expertise qui sera mise à profit lors du test. La plupart d’entre elles requièrent une connaissance approfondie des techniques utilisées par les pirates informatiques ainsi que des dernières technologies. Ils permettent au spécialiste d’affiner ses compétences et de réussir divers scénarios d’exploitation utilisés dans des situations réelles sur des systèmes qui reflètent ceux utilisés par les organisations aujourd’hui. Certaines certifications avancées, telles que OSCP, ne peuvent être acquises qu’après avoir réussi une série de défis et une évaluation qui dure 24 heures consécutives. En plus de ces certifications détenues par les spécialistes, vous devez également prendre en considération les accréditations de l’entreprise lors de votre processus de sélection. Par exemple, les fournisseurs qui sont conformes à la norme ISO9001 font preuve d’une volonté d’amélioration continue et d’un engagement envers la qualité de leurs produits. Ainsi, vous pouvez être certain que chacun de leurs tests d’intrusion suivent une approche systématique et documentée. Les entreprises accréditées disposant de testeurs certifiés, considérant que leurs qualifications sont valables et reconnues par l’industrie, vous fourniront un test sur lequel vous pourrez compter pour mettre en œuvre des mesures et prendre des décisions qui sécuriseront votre entreprise. Outre ces certifications, l’approche et les méthodologies utilisées sont également un excellent indicateur d’un test d’intrusion de qualité, comme nous le verrons au point suivant.

3. Le test est davantage manuel qu’automatisé

Comme indiqué dans un article précédent qui compare les tests d’intrusion automatisés vs manuels, chaque approche possède sa part d’avantages et d’inconvénients, mais un seul choix est évident en ce qui concerne leur retour sur l’investissement et la profondeur de leur évaluation. Bien que les pentests automatisé soient moins coûteux et nécessitent un degré d’expertise moindre, il est important de noter qu’ils peuvent toujours être utile pour votre équipe informatique de révéler les vulnérabilités communes associées aux technologies et aux versions qu’ils utilisent. Cela ne doit cependant pas être votre seul moyen d’évaluer vos risques de cybersécurité pour les nombreuses raisons qui suivent. En termes simples, un test entièrement automatisé ne fait que vérifier les portes de votre entreprise pour voir si elles sont verrouillées et, dans certains cas, il pourrait indiquer qu’un accès critique n’est pas verrouillé et nécessite une attention immédiate, bien qu’un agent de sécurité soit assis juste derrière ou sans considérer qu’il mène à des toilettes publiques. Un test d’intrusion, en revanche, ne se contentera pas de vérifier que toutes les portes sont verrouillées, mais il tentera de contourner les portes verrouillées et d’entrer dans les portes non verrouillées pour voir ce qui peut être fait une fois ouvertes pour aider à prioriser avec précision chaque risque auquel l’entreprise est confrontée. Pourquoi est-ce important? – Les tests entièrement automatisés ne contextualisent pas chaque vulnérabilité identifiée et sont incapables de déterminer leur risque avec le même degré de précision qu’un test d’intrusion complet. Ils génèrent souvent des faux positifs qui pourraient entraîner une utilisation inefficace des ressources si l’analyse est considérée comme entièrement fiable et si ses résultats ne sont pas validés par un spécialiste expérimenté. Ils peuvent également créer un faux sentiment de sécurité pour les entreprises qui se fient uniquement à cette technique. Un test d’intrusion de qualité utilisera une combinaison des deux techniques, une grande partie étant axée sur les techniques manuelles pour identifier et exploiter les vulnérabilités en toute sécurité. Dans tous les cas, des outils automatisés seront utilisés pour optimiser le temps, car les spécialistes pourraient autrement passer un temps excessif et inutile sur la phase de reconnaissance, mais la majorité du test devrait être basé sur une méthodologie manuelle.

4. Il est basé sur des standards reconnus

Les spécialistes peuvent utiliser divers « frameworks » pour atteindre leurs objectifs, qu’il s’agisse de l’OWASP, de l’OSSTMM, du CVE, du CAPEC, du CWE, du CVSS, etc. Une bonne façon de déterminer si vous payez pour un test d’intrusion de qualité est de demander quelles sont les méthodologies sont utilisés. Vous devriez chercher une entreprise qui base ses tests sur des méthodologies de test d’intrusion reconnues et voir si elles correspondent au type de test que vous recherchez. Si l’entreprise ne peut pas fournir les méthodologies utilisées ou si elle ne s’appuie pas sur des normes reconnues par l’industrie, vous devez alors rechercher d’autres éléments qui aident à déterminer la qualité de leurs tests d’intrusion avant d’aller de l’avant avec le fournisseur.

5. Le rapport final est clair, concis et contient des informations pertinentes

La qualité du rapport final est l’un des éléments les plus importants, sinon le plus important, qui détermine si vous avez affaire à un test de qualité ou non. Selon les résultats fournis dans ce rapport, vos parties prenantes prendront des décisions et planifieront des investissements en matière de cybersécurité afin de sécuriser les actifs de votre entreprise. Vous devez donc rechercher ces 5 éléments dans votre rapport de test d’intrusion afin de vous assurer qu’il fournit des recommandations sur lesquelles votre direction peut s’appuyer pour mettre en œuvre avec succès des mesures de cybersécurité solides et pour corriger vos vulnérabilités. Le rapport reflétera directement la qualité du pentest de votre fournisseur.

6. Les retests sont inclus

En plus des 5 éléments couverts précédemment, vous voulez vous assurer que votre fournisseur de test d’intrusion vous soutient tout au long de l’application des recommandations qu’il a fournies. Un test d’intrusion de qualité proposera un retest des vulnérabilités critiques sans frais supplémentaires, vous permettant de confirmer que vos vulnérabilités ont été corrigées avec succès et qu’aucune autre vulnérabilité n’a été introduite pendant leur correction. Après avoir corrigé ces failles de sécurité avec succès, vous devriez recevoir une attestation ou une déclaration officielle, montrant qu’un pentest a été effectué et que toutes les vulnérabilités découvertes au cours du processus ont bel et bien été corrigées. Ce document permettra à vos clients de savoir que vous pouvez faire affaires en toute sécurité, que vous avez pris les mesures nécessaires pour les protéger et vous protéger vous-même, ce qui fait de vous un meilleur partenaire commercial ou fournisseur. En revanche, si votre fournisseur n’offre pas de retests, vous risquez ne pas avoir la certitude d’avoir corrigé ces vulnérabilités – et vous n’avez rien pour le prouver, autre qu’un rapport de pentest qui révèle vos problèmes de sécurité. Malgré le fait que votre équipe informatique peut effectivement corriger et valider ses mesures correctives par elle-même, la validation d’un tiers a généralement plus de valeur, surtout dans un contexte de conformité aux normes telles que PCI-DSS ou aux questionnaires de sécurité de vos partenaires commerciaux.   Toutes les équipes de test d’intrusion ne sont pas créées égales et n’offrent pas le même niveau d’expertise. Récemment, on a assisté à un changement majeur dans les compétences souhaitées par les entreprises qui recherchent des services de test d’intrusion. Les compétences autrefois considérées comme peu importantes sont désormais essentielles pour assurer la sécurité d’une organisation. Faites toujours preuve de diligence lorsque vous achetez votre test d’intrusion annuel, en particulier pour les systèmes critiques.

Restez Informez!

Abonnez-vous pour rester au fait des dernières tendances, menaces, nouvelles et statistiques en cybersécurité.