Pourquoi Les Pentests Applicatifs Automatisés ne Sont Pas Suffisants | Vumetric

Pourquoi Les Pentests Applicatifs Automatisés ne Sont Pas Suffisants

Test d'Intrusion automatisé application
Share on linkedin
Share on facebook
Share on twitter

Avec le nombre toujours croissant d’applications fournies aux clients, la perspective d’effectuer des tests d’intrusion sur chaque application, avec des budgets et ressources limités, devient de plus en plus iréaliste et parfois même impossible pour une majorité des organisations. Cependant, les risques liés aux applications ne seront jamais suffisamment atténués par des tests automatisés, en raison de la nature personnalisée de leur mise en œuvre, bien qu’ils soient beaucoup moins dispendieux à effectuer.

Le volume et la complexité des cyberattaques continuent d’augmenter à un rythme alarmant et devraient se poursuivre dans les années à venir. Pour assurer une protection suffisante, les organisations doivent être en mesure de répondre à ces questions:

  • Avons-nous des vulnérabilités qu’un attaquant pourrait trouver?
  • Si un attaquant les trouvait, pourraient-elles être exploitées?
  • Si elles sont exploitées, quels dommages pourraient-elles causer à notre entreprise?
  • Que faut-il faire pour remédier à ces vulnérabilités ?

Les scanners automatisés sont-ils suffisants ?

Les risques liés aux applications ne peuvent pas être suffisamment atténués en s’appuyant uniquement sur les scanners automatisés. Il existe généralement trois options dynamiques pratiquées aujourd’hui, et elles varient en profondeur de leur analyse, en précision et en coût.

  1. Scans automatisés
  2. Scans automatisés avec une validation manuelle
  3. Test d’intrusion (balayage automatisé avec validation manuelle, combiné à un test manuel)

Pour déterminer quelle option convient à chacune de vos applications, il est recommendé d’adopter une approche fondée sur le risque pour établir l’ordre de priorité. Cette approche basée sur le risque est utilisée pour influencer le type d’évaluation que chaque application requiert pour corriger les risques potentiels.

Bien que la classification fondée sur le risque soit un moyen efficace de hiérarchiser des ressources limitées, elle conduit à la conclusion que le balayage automatisé seul est acceptable pour certaines applications, alors qu’en fait, c’est rarement le cas.

Les scanners automatisés n’identifient pas les vulnérabilités critiques

Même avec une validation manuelle, les scanners automatisés passent systématiquement à côté de vulnérabilités importantes et critiques qui peuvent laisser les organisations exposées à divers type d’attaques.

Les analyses automatisées sont bien adaptées pour identifier certains types de vulnérabilités d’applications figurant dans le top 10 de l’OWASP, notamment les scripts intersites, l’injection SQL et la falsification de requêtes côté serveur. Les analyses automatisées sont également efficaces pour identifier des configurations erronées particulières, y compris les TLS incorrectement configurés ou l’absence d’en-têtes HTTP et d’attributs de cookies axés.

Cependant, les analyses automatisées ne parviennent pas à identifier les vulnérabilités complexes qui peuvent avoir un impact critique sur votre application, notamment les contournements d’authentification, les vulnerabilités en lien avec les contrôles d’accès et les failles de logique. En outre, les analyses automatisées contiennent un grand nombre de faux positifs et utilisent des évaluations de risque génériques qui peuvent entraîner une utilisation inadéquate de ressources pour des mesures qui ne sécuriseront pas votre application suffisament.

Malgré qu’une validation manuelle des résultats de scanners automatisées par un professionnel certifié permet de supprimer les faux positifs et d’ajuster les niveaux de risque selon le contexte de l’organisation, la validation manuelle n’améliore pas la profondeur de l’analyse, ce qui ne la rend pas aussi fiable que les tests manuels pour sécuriser les applications critiques.

Les scanners automatisés exposent les entreprises aux cyberattaques

Comme le montrent les exemples ci-dessous, les scanners automatisés avec validation manuelle des résultats peut donner aux organisations un faux sentiment de sécurité et les exposer à des cyberattaques, car elles auront le sentiment que leur application a été correctement sécurisée et ne nécessite plus d’évaluation. Les résultats identifiés par des tests d’intrusion représentent des vulnérabilités qui n’auraient pas été traitées si l’organisation s’était appuyée uniquement sur des scanners automatisés, ce qui la laisse ouverte à divers scénarios d’attaque.

Scénario de test n°1 : Application destinée au public

Niveau de Risque

Vulnérabilité

Méthodologie

CritiqueContournement de l’autorisation par une clé contrôlée par l’utilisateurTest d’Intrusion
ÉlevéFaible contrôle d’accès – Page accessible sans authentificationTest d’Intrusion
ÉlevéServer-side Request ForgeryScanner Automatisé
ÉlevéCryptage non appliquéScanner Automatisé
ModéréContrôle d’accès faible – Navigation forcéeTest d’Intrusion
ModéréExpiration insuffisante de la sessionTest d’Intrusion
ModéréContrôle de sécurité côté client sans application côté serveurTest d’Intrusion
ModéréAttribut HTTP-only manquant dans le cookie de sessionScanner Automatisé
ModéréComposants logiciels vulnérablesScanner Automatisé
FaibleDivulgation d’addresses IP privées des noms d’hôtesScanner Automatisé
FaibleDivulgation d’informations – <Édité> EndpointsScanner Automatisé

Dans cette application, une analyse automatisée aurait manqué 5 vulnérabilités importantes, dont une vulnérabilité critique qui aurait pu permettre à un attaquant d’accéder aux données sensibles des clients.

Scénario de test n°1 : Application E-commerce

Niveau de Risque

Vulnérabilité

Méthodologie

CritiqueCryptage non appliquéScanner Automatisé
CritiqueEscalade des privilèges par la manipulation de l’authentificationTest d’Intrusion
CritiqueUn changement de mot de passe non vérifié entraîne une escalade des privilègesTest d’Intrusion
CritiqueContournement de l’autorisation par une clé contrôlée par l’utilisateurTest d’Intrusion
ModéréAttribut sécurisé manquant dans le Cookie de sessionTest d’Intrusion

Dans cette application, un scanner aurait manqué les différentes façons dont un utilisateur pouvait accéder aux données et aux autorisations d’un autre utilisateur, laissant l’entreprise exposée à un incident potentiel.

 

Effectuer fréquemment des tests manuels et ajuster en fonction des risques

Ces exemples montrent que même si les analyses automatisées peuvent aider à identifier diverses vulnérabilités qui doivent être corrigées, il est essentiel d’être conscient que cela est loin d’être suffisant pour sécuriser avec succès une application critique. Sans tests manuels, les organisations auraient laissé de nombreux risques de côté, les exposant à des vulnérabilités potentiellement dangereuses.

Avec l’évolution constante des cybermenaces d’aujourd’hui, il est essentiel que toutes les applications soient testées manuellement par des testeurs expérimentés et certifiés. Si ce n’est pas le cas, de nombreuses vulnérabilités sophistiquées et à haut risque seront laissées de côté. Si ces vulnérabilités sont négligées, les données sensibles et les systèmes d’entreprise seront mis en danger.

Plutôt que de vous demander « laquelle de mes applications doit être testée manuellement », vous devriez vous demander « à quelle fréquence chaque application doit-elle faire l’objet d’un test d’intrusion manuel ».

Pour en savoir plus sur les différences entre les tests manuels et automatisés ou pour commencer, contactez un de nos experts certifiés.

Besoin d'Un Pentest Manuel de Votre Web App?

Récents Articles du Blogue Vumetric

Comment Améliorer la Sécurité d’Office 365

Office 365 est un précieux outil de productivité et de collaboration. Il offre aux entreprises de nombreux avantages, notamment une collaboration aisée, le travail à distance, l’évolutivité et des...

Évaluez Vos Risques

Un spécialiste vous contactera afin de:

  • Comprendre vos besoins
  • Déterminer la portée du projet
  • Fournir un aperçu budgetaire
  • Acheminer une proposition détaillée
Restez Informez!

Abonnez-vous pour rester au fait des dernières tendances, menaces, nouvelles et statistiques en cybersécurité.