5 Éléments à Retrouver Dans un Rapport de Test d’Intrusion

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Table Des Matières

Quels éléments devriez-vous retrouver dans un rapport de test d’intrusion ?

Avant de s’engager dans un test d’intrusion, les entreprises doivent s’assurer que les services fourniront des résultats pertinents qui assureront un bon rendement sur l’investissement. Voici 5 éléments à retrouver dans un rapport de test d’intrusion pour en garantir un succès :

1. Le sommaire exécutif

Le sommaire exécutif fournit une description facile à comprendre des risques décelés et de leur impact potentiel (financier et autre) sur l’entreprise. Le sommaire exécutif doit fournir une description complète, claire et facilement compréhensible pour tous les intervenants, y compris ceux n’ayant aucune connaissance technique. À la lecture du sommaire, tous les intervenants devraient avoir une compréhension de base sur l’ampleur des risques identifiés et des meilleures solutions pour les résoudre.

Si les résultats des tests ne sont compris que par votre personnel technique, votre démarche pour sécuriser votre entreprise contre les cyberattaques aura échoué, principalement parce que votre équipe ne sera pas en mesure de prendre les décisions nécessaires pour implanter les solutions recommandées. Autrement dit, si votre équipe de direction ne comprend pas bien votre rapport de test d’intrusion et que les questions sont plus nombreuses que les réponses, elle ne sera pas en mesure de décider si les solutions proposées méritent l’investissement en temps et en argent.

Ainsi, il est nécessaire d’obtenir un sommaire rédigé dans un langage clair, concis et dénué de jargon technique. Tous les termes techniques utilisés doivent être clairement définis de façon à ce que le personnel cadre puisse les comprendre. Un bon sommaire comprend également des tableaux et des graphiques sommaires qui sont utiles à tous les lecteurs.

2. Les détails techniques des vulnérabilités identifiées

Cette section du rapport doit contenir des détails techniques sur les vulnérabilités identifiées sans lesquels le personnel informatique n’aurait pas suffisamment de directives pour élaborer des solutions efficaces. Toutefois, ces détails doivent être contextualisés et expliqués clairement afin que tous les lecteurs puissent comprendre la nature des risques qui y sont associés. En d’autres termes, cette section d’un rapport de test d’intrusion décrira avec précision les risques en termes techniques, y compris la preuve de la présence des failles de sécurité ainsi qu’une démarche permettant à l’équipe d’y répondre et de mieux les comprendre.

Les vulnérabilités sont habituellement réparties en quelques catégories, telles que les suivantes :

  • Catégorie de la vulnérabilité (réseau, application, etc.)
  • Sévérité et niveau de priorité de chaque vulnérabilité
  • Note CVSS (système de notation des vulnérabilités)

Par exemple, si une entreprise de soins de santé est vulnérable pour des fichiers téléchargés par le biais de son portail, il ne suffit pas de décrire le processus technique par lequel le piratage pourrait avoir lieu, soit en se reportant à l’exécution du « code arbitraire à distance ». Il faudrait également inclure un langage qui explique clairement ce que cela signifie pour l’entreprise (en utilisant des exemples concrets, tels que « cela signifie que les pirates, agissant comme des administrateurs, seront en mesure de consulter les dossiers médicaux de tous les utilisateurs. ») En d’autres termes, la description des répercussions éventuelles pour les entreprises est d’une importance capitale pour l’utilité du rapport.

Découvrez pourquoi plus de 1,000 organisations font confiance aux rapports de Vumetric.

Quelle que soit la taille de votre entreprise ou votre secteur d’activité, nos rapports détaillés sont adaptés à vos besoins et votre contexte. De cette façon, nos recommandations sont réalistes pour votre organisation et fournissent les ressources nécessaires pour corriger vos vulnérabilités.

3. L’impact potentiel des vulnérabilités et le niveau de risque associé

Cette section du rapport devrait décrire à la fois la probabilité des divers risques auxquels votre entreprise fait face de même que l’incidence possible de chaque vulnérabilité sur votre entreprise (tel que mentionné ci-dessus, le niveau de risque devrait être clairement contextualisé et présenté dans un langage concis pour chaque vulnérabilité). En ce qui concerne le niveau de risque, chaque vulnérabilité devrait être présentée avec son niveau de priorité respectif afin qu’elle puisse être traitée en fonction du risque qu’elle représente. En d’autres termes, certains risques sont plus graves et ont plus d’impact que d’autres.

4. Les solutions concrètes permettant de corriger les vulnérabilités

Bien entendu, le rapport de test d’intrusion doit présenter une description générale de la meilleure façon de remédier à chaque vulnérabilité. Il est également important que cette description soit adaptée aux besoins uniques de votre entreprise.

Par exemple, si votre entreprise utilise un serveur Web donné, il ne serait pas raisonnable qu’on vous suggère dans le rapport de vous en débarrasser et de recommencer à zéro. Les solutions présentées doivent tenir compte de ce qui est réaliste et ne l’est pas pour votre entreprise. De ce fait, un rapport de test d’intrusion efficace présentera, pour chaque risque identifié, plusieurs mesures correctives dont chacune comprendra suffisamment de détails pour permettre à votre équipe de résoudre le problème rapidement et efficacement à l’aide de ressources externes.

5. Les méthodologies utilisées dans le test

Il est important, surtout pour votre personnel de TI, de comprendre les méthodes utilisées pour effectuer les tests d’intrusion. D’abord, les tests peuvent être manuels ou automatisés.

Comme son nom l’indique, les tests d’intrusion manuels sont réalisés par une personne, plus précisément un ingénieur expert. Ces tests impliquent généralement des méthodologies utilisant entre autres la collecte de données, l’évaluation de la vulnérabilité, l’exploitation réelle (au cours de laquelle le testeur lance une attaque pour déceler les vulnérabilités) et la présentation du rapport. Aussi, les tests peuvent être soit ciblés – pour déceler des vulnérabilités spécifiques (limitées) – soit exhaustifs.

Les tests d’intrusion automatisés sont plus rapides, plus efficaces et moins consommateurs de temps et généralement plus fiables. Les tests automatisés peuvent être effectués en utilisant plusieurs normes reconnues ou encore des normes développées à l’interne. Parmi les normes disponibles, on compte les suivantes :

  • OWASP (Open Web Application Security Project)
  • OSSTMM (Open Source Security Testing Methodology Manual)
  • NIST (Institut national des normes et de la technologie)

En conclusion

Lorsque ces cinq éléments sont présentés clairement et organisés de façon logique, le rapport de test d’intrusion peut atteindre ses objectifs de façon efficace, soient d’informer les cadres supérieurs du niveau de sécurité de leur entreprise, de conseiller les gestionnaires des TI au sujet des risques à atténuer et de guider les membres du personnel informatique vers des solutions réalisables. De plus, toute entreprise réputée se spécialisant dans les tests d’intrusion devrait fournir à ses clients un rapport complet permettant de réparer les failles de sécurité afin d’avoir l’esprit tranquille et de prévenir les attaques potentiellement dommageables.

Pour en savoir plus sur la façon dont nos tests d’intrusion, nos audits de sécurité et nos services de cybersécurité peuvent protéger votre entreprise contre les cyberattaques, consultez dès aujourd’hui l’un de nos spécialistes certifiés.

Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses. Cet exercice s’appuie généralement sur les outils utilisés par les pirates informatiques ainsi que diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.

De plus, un test tente d’exploiter vos vulnérabilités afin de déterminer leur impact potentiel sur votre entreprise si elles étaient utilisées dans un scénario de piratage réel. Ultimement, ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques. Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:

  • Un pirate informatique peut-il accéder à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour commettre des actes malicieux ?
  • Une infection par un logiciel malveillant peut-elle se propager sur notre réseau ?
  • Un pirate peut-il altérer son rôle d’utilisateur dans une application afin d’obtenir des permissions administratives ?

Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué. Voici quelques cas d’utilisation courante pour un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
  • Pour protéger les données sensibles contre l’exfiltration.
  • Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
  • Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.

Il est conseillé à toutes les entreprises de procéder à un test d’intrusion au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.

Diverses mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales. C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.

Bien que nous utilisons une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est  basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • L’impact potentiel: L’impact potentiel d’une attaque qui exploite la vulnérabilité combiné à son effet sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)

Autres Articles du Blogue de Vumetric

Impact d'une cyberattaque

Les Conséquences d’une Cyberattaque sur Votre Entreprise

Une cyberattaque est une attaque menée par des pirates informatiques dans le but d’endommager un …

Lire l'Article
test d'intrusion vs bug bounty

Test d’Intrusion vs Bug Bounty

En raison de la récente vague d’incidents liés aux ransomwares, les organisations et les …

Lire l'Article
Comment Protéger WordPress des Pirates

Comment Protéger WordPress des Cyberattaques Courantes

Les sites WordPress sont régulièrement piratés, car il s’agit de loin du logiciel le plus …

Lire l'Article

Certifications

Nous Détenons des Certifications Reconnues Mondialement

Contactez un Expert Certifié

Parlez avec un vrai spécialiste. Aucun engagement. Réponse sous 24h.

fournisseur de test d'intrusion

Confidentialité

Appelez-nous au: 1-877-805-7475

Besoin d'Un Test d'Intrusion?

ou appelez nous directement au:
Restez Informés!

Abonnez-vous pour rester au fait des dernières tendances, menaces, nouvelles et statistiques dans l’industrie.