Ce Qui Détermine Un Test d’Intrusion de Qualité

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Table Des Matières

Il y a une différence considérable entre un test d’intrusion de base et un test d’intrusion professionnel. Afin de tirer le meilleur retour sur votre investissement possible, vous souhaitez faire affaire avec un fournisseur qui mettra en œuvre des normes et une qualité qui aidera votre entreprise à se conformer à des éxigences et à implementer mesures qui vous protègent des cyberattaques. Un pentest qui ne vise qu’à faire le minimum nécéssaire vous donnera un faux sentiment de sécurité et peut vous amener à dépenser vos ressources de manière inefficace. En tant que partie prenante d’une entreprise, cependant, il est possible que vous n’êtes pas au courant de tous les éléments qui font un test d’intrusion de qualité. Voici quelques-uns des éléments que vous devez prendre en considération pour en évaluer la qualité:

1. Le fournisseur définit la portée précisément

Avant d‘effectuer un pentest, il est essentiel de définir clairement sa portée avec votre fournisseur pour vous assurer que toutes vos bases sont couvertes et que vous identifiez vos risques les plus importants. Par exemple, si vous effectuez un test d’intrusion de réseau interne, il est important que votre prestataire définisse combien de serveurs / postes de travail seront ciblés et si un service Cloud est utilisé (AWS, Azure, VM, etc.). Dans d’autres contextes, si vous effectuez un pentest d’applications web, vous voulez vous assurer que vos fonctionnalités les plus critiques et les connecteurs API (s’il y en a) sont inclus dans la portée du test. Tous ces détails doivent être explicitement mentionnés à votre spécialiste en test d’intrusion pendant la définition de la portée afin de s’assurer qu’elles soient bien testées et que les composants nécessitant une attention particulière sont identifiés avant le test. Si votre prestataire tente de démarrer votre projet dès que possible avec une portée vague et indéfinie, vous devez vous méfier de nombreux autres critères évoqués dans cet article avant d’aller de l’avant. Pourquoi est-ce important? – Définir rigoureusement votre portée vous permet non seulement de tenir votre fournisseur responsable, mais aussi de vous assurer que vous ne laissez rien de coté. Si vous ne définissez pas la portée, vous risquez de laisser de côté certains actifs essentiels qui auraient dû être testés, ce qui laisserait une faille dans votre stratégie de gestion des risques et créerait un faux sentiment de sécurité. Un fournisseur professionnel de test d’intrusion vous aidera à définir correctement ce qui sera testé et vous fournira une liste d’exigences pour chaque type de test dont votre organisation a besoin. La manière dont votre fournisseur définit cette portée est un bon indicateur du niveau de qualité que vous pouvez attendre de lui, mais il y a beaucoup d’autres choses à prendre en compte pour savoir s’il s’agit d’un test d’intrusion de qualité.

2. Les spécialistes sont certifiés et la compagnie est accréditée

Pourquoi est-ce important? – Lorsque vous choisissez un fournisseur, il est recommendé de vérifier quelles certifications son équipe détient et de rechercher des certifications de test d’intrusion reconnues. Ces certifications, telles que CISSP, GIAC, CEH ou OSCP, constituent une excellente référence en matière d’expérience et d’expertise qui sera mise à profit lors du test. La plupart d’entre elles requièrent une connaissance approfondie des techniques utilisées par les pirates informatiques ainsi que des dernières technologies. Ils permettent au spécialiste d’affiner ses compétences et de réussir divers scénarios d’exploitation utilisés dans des situations réelles sur des systèmes qui reflètent ceux utilisés par les organisations aujourd’hui. Certaines certifications avancées, telles que OSCP, ne peuvent être acquises qu’après avoir réussi une série de défis et une évaluation qui dure 24 heures consécutives. En plus de ces certifications détenues par les spécialistes, vous devez également prendre en considération les accréditations de l’entreprise lors de votre processus de sélection. Par exemple, les fournisseurs qui sont conformes à la norme ISO9001 font preuve d’une volonté d’amélioration continue et d’un engagement envers la qualité de leurs produits. Ainsi, vous pouvez être certain que chacun de leurs tests d’intrusion suivent une approche systématique et documentée. Les entreprises accréditées disposant de testeurs certifiés, considérant que leurs qualifications sont valables et reconnues par l’industrie, vous fourniront un test sur lequel vous pourrez compter pour mettre en œuvre des mesures et prendre des décisions qui sécuriseront votre entreprise. Outre ces certifications, l’approche et les méthodologies utilisées sont également un excellent indicateur d’un test d’intrusion de qualité, comme nous le verrons au point suivant.

3. Le test est davantage manuel qu’automatisé

Comme indiqué dans un article précédent qui compare les tests d’intrusion automatisés vs manuels, chaque approche possède sa part d’avantages et d’inconvénients, mais un seul choix est évident en ce qui concerne leur retour sur l’investissement et la profondeur de leur évaluation. Bien que les pentests automatisé soient moins coûteux et nécessitent un degré d’expertise moindre, il est important de noter qu’ils peuvent toujours être utile pour votre équipe informatique de révéler les vulnérabilités communes associées aux technologies et aux versions qu’ils utilisent. Cela ne doit cependant pas être votre seul moyen d’évaluer vos risques de cybersécurité pour les nombreuses raisons qui suivent. En termes simples, un test entièrement automatisé ne fait que vérifier les portes de votre entreprise pour voir si elles sont verrouillées et, dans certains cas, il pourrait indiquer qu’un accès critique n’est pas verrouillé et nécessite une attention immédiate, bien qu’un agent de sécurité soit assis juste derrière ou sans considérer qu’il mène à des toilettes publiques. Un test d’intrusion, en revanche, ne se contentera pas de vérifier que toutes les portes sont verrouillées, mais il tentera de contourner les portes verrouillées et d’entrer dans les portes non verrouillées pour voir ce qui peut être fait une fois ouvertes pour aider à prioriser avec précision chaque risque auquel l’entreprise est confrontée. Pourquoi est-ce important? – Les tests entièrement automatisés ne contextualisent pas chaque vulnérabilité identifiée et sont incapables de déterminer leur risque avec le même degré de précision qu’un test d’intrusion complet. Ils génèrent souvent des faux positifs qui pourraient entraîner une utilisation inefficace des ressources si l’analyse est considérée comme entièrement fiable et si ses résultats ne sont pas validés par un spécialiste expérimenté. Ils peuvent également créer un faux sentiment de sécurité pour les entreprises qui se fient uniquement à cette technique. Un test d’intrusion de qualité utilisera une combinaison des deux techniques, une grande partie étant axée sur les techniques manuelles pour identifier et exploiter les vulnérabilités en toute sécurité. Dans tous les cas, des outils automatisés seront utilisés pour optimiser le temps, car les spécialistes pourraient autrement passer un temps excessif et inutile sur la phase de reconnaissance, mais la majorité du test devrait être basé sur une méthodologie manuelle.

4. Il est basé sur des standards reconnus

Les spécialistes peuvent utiliser divers « frameworks » pour atteindre leurs objectifs, qu’il s’agisse de l’OWASP, de l’OSSTMM, du CVE, du CAPEC, du CWE, du CVSS, etc. Une bonne façon de déterminer si vous payez pour un test d’intrusion de qualité est de demander quelles sont les méthodologies sont utilisés. Vous devriez chercher une entreprise qui base ses tests sur des méthodologies de test d’intrusion reconnues et voir si elles correspondent au type de test que vous recherchez. Si l’entreprise ne peut pas fournir les méthodologies utilisées ou si elle ne s’appuie pas sur des normes reconnues par l’industrie, vous devez alors rechercher d’autres éléments qui aident à déterminer la qualité de leurs tests d’intrusion avant d’aller de l’avant avec le fournisseur.

5. Le rapport final est clair, concis et contient des informations pertinentes

La qualité du rapport final est l’un des éléments les plus importants, sinon le plus important, qui détermine si vous avez affaire à un test de qualité ou non. Selon les résultats fournis dans ce rapport, vos parties prenantes prendront des décisions et planifieront des investissements en matière de cybersécurité afin de sécuriser les actifs de votre entreprise. Vous devez donc rechercher ces 5 éléments dans votre rapport de test d’intrusion afin de vous assurer qu’il fournit des recommandations sur lesquelles votre direction peut s’appuyer pour mettre en œuvre avec succès des mesures de cybersécurité solides et pour corriger vos vulnérabilités. Le rapport reflétera directement la qualité du pentest de votre fournisseur.

6. Les retests sont inclus

En plus des 5 éléments couverts précédemment, vous voulez vous assurer que votre fournisseur de test d’intrusion vous soutient tout au long de l’application des recommandations qu’il a fournies. Un test d’intrusion de qualité proposera un retest des vulnérabilités critiques sans frais supplémentaires, vous permettant de confirmer que vos vulnérabilités ont été corrigées avec succès et qu’aucune autre vulnérabilité n’a été introduite pendant leur correction. Après avoir corrigé ces failles de sécurité avec succès, vous devriez recevoir une attestation ou une déclaration officielle, montrant qu’un pentest a été effectué et que toutes les vulnérabilités découvertes au cours du processus ont bel et bien été corrigées. Ce document permettra à vos clients de savoir que vous pouvez faire affaires en toute sécurité, que vous avez pris les mesures nécessaires pour les protéger et vous protéger vous-même, ce qui fait de vous un meilleur partenaire commercial ou fournisseur. En revanche, si votre fournisseur n’offre pas de retests, vous risquez ne pas avoir la certitude d’avoir corrigé ces vulnérabilités – et vous n’avez rien pour le prouver, autre qu’un rapport de pentest qui révèle vos problèmes de sécurité. Malgré le fait que votre équipe informatique peut effectivement corriger et valider ses mesures correctives par elle-même, la validation d’un tiers a généralement plus de valeur, surtout dans un contexte de conformité aux normes telles que PCI-DSS ou aux questionnaires de sécurité de vos partenaires commerciaux.   Toutes les équipes de test d’intrusion ne sont pas créées égales et n’offrent pas le même niveau d’expertise. Récemment, on a assisté à un changement majeur dans les compétences souhaitées par les entreprises qui recherchent des services de test d’intrusion. Les compétences autrefois considérées comme peu importantes sont désormais essentielles pour assurer la sécurité d’une organisation. Faites toujours preuve de diligence lorsque vous achetez votre test d’intrusion annuel, en particulier pour les systèmes critiques.

Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses. Cet exercice s’appuie généralement sur les outils utilisés par les pirates informatiques ainsi que diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.

De plus, un test tente d’exploiter vos vulnérabilités afin de déterminer leur impact potentiel sur votre entreprise si elles étaient utilisées dans un scénario de piratage réel. Ultimement, ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques. Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:

  • Un pirate informatique peut-il accéder à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour commettre des actes malicieux ?
  • Une infection par un logiciel malveillant peut-elle se propager sur notre réseau ?
  • Un pirate peut-il altérer son rôle d’utilisateur dans une application afin d’obtenir des permissions administratives ?

Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué. Voici quelques cas d’utilisation courante pour un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
  • Pour protéger les données sensibles contre l’exfiltration.
  • Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
  • Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.

Il est conseillé à toutes les entreprises de procéder à un test d’intrusion au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.

Diverses mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales. C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.

Bien que nous utilisons une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est  basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • L’impact potentiel: L’impact potentiel d’une attaque qui exploite la vulnérabilité combiné à son effet sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)

Autres Articles du Blogue de Vumetric

Impact d'une cyberattaque

Les Conséquences d’une Cyberattaque sur Votre Entreprise

Une cyberattaque est une attaque menée par des pirates informatiques dans le but d’endommager un …

Lire l'Article
test d'intrusion vs bug bounty

Test d’Intrusion vs Bug Bounty

En raison de la récente vague d’incidents liés aux ransomwares, les organisations et les …

Lire l'Article
Comment Protéger WordPress des Pirates

Comment Protéger WordPress des Cyberattaques Courantes

Les sites WordPress sont régulièrement piratés, car il s’agit de loin du logiciel le plus …

Lire l'Article

Certifications

Nous Détenons des Certifications Reconnues Mondialement

Contactez un Expert Certifié

Parlez avec un vrai spécialiste. Aucun engagement. Réponse sous 24h.

fournisseur de test d'Intrusion

Confidentialité

Appelez-nous au: 1-877-805-7475

À La Recherche d'Un Test d'Intrusion de Qualité?

ou appelez nous directement au: