Quels éléments devriez-vous retrouver dans un rapport de test d’intrusion?
Avant de s’engager dans un test d’intrusion, les entreprises doivent s’assurer que les services fourniront des résultats pertinents qui assureront un bon rendement sur l’investissement. Voici 5 éléments à retrouver dans un rapport de test d’intrusion pour en garantir un succès :
1. Le sommaire exécutif
Le sommaire exécutif fournit une description facile à comprendre des risques décelés et de leur impact potentiel (financier et autre) sur l’entreprise. Le sommaire exécutif doit fournir une description complète, claire et facilement compréhensible pour tous les intervenants, y compris ceux n’ayant aucune connaissance technique. À la lecture du sommaire, tous les intervenants devraient avoir une compréhension de base sur l’ampleur des risques identifiés et des meilleures solutions pour les résoudre.
Si les résultats des tests ne sont compris que par votre personnel technique, votre démarche pour sécuriser votre entreprise contre les cyberattaques aura échoué, principalement parce que votre équipe ne sera pas en mesure de prendre les décisions nécessaires pour implanter les solutions recommandées. Autrement dit, si votre équipe de direction ne comprend pas bien votre rapport de test d’intrusion et que les questions sont plus nombreuses que les réponses, elle ne sera pas en mesure de décider si les solutions proposées méritent l’investissement en temps et en argent.
Ainsi, il est nécessaire d’obtenir un sommaire rédigé dans un langage clair, concis et dénué de jargon technique. Tous les termes techniques utilisés doivent être clairement définis de façon à ce que le personnel cadre puisse les comprendre. Un bon sommaire comprend également des tableaux et des graphiques sommaires qui sont utiles à tous les lecteurs.
2. Les détails techniques des vulnérabilités identifiées
Cette section du rapport doit contenir des détails techniques sur les vulnérabilités identifiées sans lesquels le personnel informatique n’aurait pas suffisamment de directives pour élaborer des solutions efficaces. Toutefois, ces détails doivent être contextualisés et expliqués clairement afin que tous les lecteurs puissent comprendre la nature des risques qui y sont associés. En d’autres termes, cette section d’un rapport de test d’intrusion décrira avec précision les risques en termes techniques, y compris la preuve de la présence des failles de sécurité ainsi qu’une démarche permettant à l’équipe d’y répondre et de mieux les comprendre.
Les vulnérabilités sont habituellement réparties en quelques catégories, telles que les suivantes :
- Catégorie de la vulnérabilité (réseau, application, etc.)
- Sévérité et niveau de priorité de chaque vulnérabilité
- Note CVSS (système de notation des vulnérabilités)
Par exemple, si une entreprise de soins de santé est vulnérable pour des fichiers téléchargés par le biais de son portail, il ne suffit pas de décrire le processus technique par lequel le piratage pourrait avoir lieu, soit en se reportant à l’exécution du ” code arbitraire à distance “. Il faudrait également inclure un langage qui explique clairement ce que cela signifie pour l’entreprise (en utilisant des exemples concrets, tels que ” cela signifie que les pirates, agissant comme des administrateurs, seront en mesure de consulter les dossiers médicaux de tous les utilisateurs. “) En d’autres termes, la description des répercussions éventuelles pour les entreprises est d’une importance capitale pour l’utilité du rapport.
3. L’impact potentiel des vulnérabilités et le niveau de risque associé
Cette section du rapport devrait décrire à la fois la probabilité des divers risques auxquels votre entreprise fait face de même que l’incidence possible de chaque vulnérabilité sur votre entreprise (tel que mentionné ci-dessus, le niveau de risque devrait être clairement contextualisé et présenté dans un langage concis pour chaque vulnérabilité). En ce qui concerne le niveau de risque, chaque vulnérabilité devrait être présentée avec son niveau de priorité respectif afin qu’elle puisse être traitée en fonction du risque qu’elle représente. En d’autres termes, certains risques sont plus graves et ont plus d’impact que d’autres.
4. Les solutions concrètes permettant de corriger les vulnérabilités
Bien entendu, le rapport de test d’intrusion doit présenter une description générale de la meilleure façon de remédier à chaque vulnérabilité. Il est également important que cette description soit adaptée aux besoins uniques de votre entreprise.
Par exemple, si votre entreprise utilise un serveur Web donné, il ne serait pas raisonnable qu’on vous suggère dans le rapport de vous en débarrasser et de recommencer à zéro. Les solutions présentées doivent tenir compte de ce qui est réaliste et ne l’est pas pour votre entreprise. De ce fait, un rapport de test d’intrusion efficace présentera, pour chaque risque identifié, plusieurs mesures correctives dont chacune comprendra suffisamment de détails pour permettre à votre équipe de résoudre le problème rapidement et efficacement à l’aide de ressources externes.
5. Les méthodologies utilisées dans le test
Il est important, surtout pour votre personnel de TI, de comprendre les méthodes utilisées pour effectuer les tests d’intrusion. D’abord, les tests peuvent être manuels ou automatisés.
Comme son nom l’indique, les tests d’intrusion manuels sont réalisés par une personne, plus précisément un ingénieur expert. Ces tests impliquent généralement des méthodologies utilisant entre autres la collecte de données, l’évaluation de la vulnérabilité, l’exploitation réelle (au cours de laquelle le testeur lance une attaque pour déceler les vulnérabilités) et la présentation du rapport. Aussi, les tests peuvent être soit ciblés – pour déceler des vulnérabilités spécifiques (limitées) – soit exhaustifs.
Les tests d’intrusion automatisés sont plus rapides, plus efficaces et moins consommateurs de temps et généralement plus fiables. Les tests automatisés peuvent être effectués en utilisant plusieurs normes reconnues ou encore des normes développées à l’interne. Parmi les normes disponibles, on compte les suivantes :
- OWASP (Open Web Application Security Project)
- OSSTMM (Open Source Security Testing Methodology Manual)
- NIST (Institut national des normes et de la technologie)
En conclusion
Lorsque ces cinq éléments sont présentés clairement et organisés de façon logique, le rapport de test d’intrusion peut atteindre ses objectifs de façon efficace, sont d’informer les cadres supérieurs du niveau de sécurité de leur entreprise, de conseiller les gestionnaires des TI au sujet des risques à atténuer et de guider les membres du personnel informatique vers des solutions réalisables. De plus, toute entreprise réputée se spécialisant dans les tests d’intrusion devrait fournir à ses clients un rapport complet permettant de réparer les failles de sécurité afin d’avoir l’esprit tranquille et de prévenir les attaques potentiellement dommageables.
Pour en savoir plus sur la façon dont nos tests d’intrusion, nos audits de sécurité et nos services de cybersécurité peuvent protéger votre entreprise contre les cyberattaques, consultez dès aujourd ‘hui l’un de nos spécialistes certifiés.
