Test d’Intrusion vs Bug Bounty

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Table Des Matières

En raison de la récente vague d’incidents liés aux ransomwares, les organisations et les administrateurs informatiques se demandent comment se protéger pour ne pas être victimes de telles attaques. Une chose est certaine: réaliser des tests de sécurité uniquement à l’interne n’est plus suffisants pour prévenir les incidents dans l’ère numérique moderne. Si un simple oubli est fait par une équipe informatique lors de la mise en œuvre de vos systèmes, ce même oubli risque d’être fait lors des tests internes sont réalisés, car l’analyse sera réalisée par la même personne en cause.

C’est pour cette raison que les organisations se fient désormais aux tests d’intrusion et aux bug bounties pour améliorer leur cybersécurité. Impliquer une expertise externe est nécessaire afin de détecter les vulnérabilités qui ne sont pas détectées par les processus internes et qui sont activement exploitées par les cybercriminels modernes. Ce besoin soulève un important questionnement: quelle approche est la plus adaptée pour mon organisation? Les tests d’intrusion ou les bug bounties?

Dans cet article, nous aborderons les différences entre les deux initiatives, nous analyserons les coûts ainsi que les efforts associés et nous vous aiderons à déterminer laquelle est la mieux adaptée à votre contexte.

C’est quoi un Bug Bounty?

En bref : les bug bounties sont des projets d’audit de sécurité accessibles à tous ceux qui se portent volontaires. Essentiellement, les organisations participantes invitent les gens à essayer de les pirater selon des cibles très précises afin de déterminer la possibilité d’un attaquant d’exploiter des failles de sécurité. Ceux qui y parviennent réclament une prime. Des chercheurs indépendants en sécurité situés à travers le monde tentent ainsi de découvrir et de signaler ces vulnérabilités que les acteurs malveillants pourraient être en mesure d’exploiter, avec l’autorisation de l’organisme ciblée. Les sommes d’argents qui sont déboursés à ces chercheurs varient généralement en fonction de la gravité des vulnérabilités qui sont identifiées.

Voila l’essentiel à savoir concernant les bug bounties. Les programmes de bug bounty peuvent être réalisés à l’interne ou à l’aide de plateformes telles que HackerOne ou Bugcrowd. L’organisation publie un ensemble de règles d’engagement (espérant que la communauté respecte cet encadrement) et attend les résultats.

C’est quoi un test d’intrusion?

Tandis que les bug bounties sont une invitation à tous les amateurs qui agissent sur une base volontaire, les tests d’intrusion sont un engagement structuré réalisé par une équipe d’experts entièrement spécialisés dans cette industrie. Dans ce contexte, les organisations travaillent avec une entreprise de cybersécurité spécialisée dans les audits de sécurité pour réaliser le test. Les deux parties travaillent ensemble pour définir la portée et les objectifs de la mission tout en collaborant tout au long du processus dans un délai convenu. À la fin du projet, les entreprises reçoivent généralement un rapport professionnel détaillant les vulnérabilités découvertes et des recommandations pour les corriger. Par la suite, les spécialistes sont disponibles pour de futurs échanges et conseils en matière de sécurité afin d’assurer une mise en oeuvre adéquate des correctifs.

Si les bug bounties étaient effectués par des cow-boys, les tests d’intrusion seraient réalisés par les shérifs et les adjoints dont les insignes prennent la forme de certifications et de pratiques reconnues par l’industrie. C’est moins « Wild West » et plus « Johnny Law ».

Découvrez comment l'expertise de Vumetric a amélioré la cybersécurité de 1,000+ organisations.

Quelle que soit la taille de votre entreprise ou votre secteur d’activité, nos experts comprennent les risques les plus complexes auxquels vous êtes confrontés quotidiennement et qui pourraient être désastreux s’ils sont exploités par un pirate.

Les différences entre un test d’intrusion et un bug bounty

Les critères suivants permettent d’illustrer les principales différences entre les programmes de bug bounty et les tests d’intrusion :

Catégorie Bug Bounty Test d’Intrusion
Portée

Ensemble de règles créées par l’organisation.

Généralement limité aux ressources publiquement accessibles de l’organisation*.

Établi au début du projet.

Peut inclure des services exigeant une authentification et contenant des informations sensibles.

Peut cibler l’infrastructure interne.

Ressources

Le personnel interne doit gérer le projet et répondre aux soumissions des chercheurs indépendants pendant qu’il est en cours.

Un logiciel est nécessaire pour suivre ces soumissions.

Certains frais en lien avec cette gestion peuvent être atténués par l’utilisation d’une plateforme de bug bounty.

Réunions de gestion de projet tout au long du test.

Recueil d’informations (par exemple, documentation du service et plages de réseau) et configuration de l’accès fournit aux testeurs.

Coûts

Coûts imprévisibles.

Les paiements déboursés aux chercheurs doivent être suffisamment élevées pour susciter l’intérêt.

Un grand nombre de découvertes peut conduire à des frais plus élevés que prévu.

Des coûts additionnels peuvent être générés par le personnel qui doit gérer le projet à l’interne.

Prévisible et préétabli lors de l’entente initiale.

Les coûts varient en fonction de l’étendue du travail, mais peuvent être aussi bas que $5,000 à $7,000 pour les startups et petites entreprises.

Résultats Rapports individuels pour chaque vulnérabilité découverte.

Rapport complet comprenant les vulnérabilités priorisées par niveau de risque, les mesures correctives ainsi que des recommandations supplémentaires.

Réunion à la fin du projet pour discuter des résultats afin d’assurer sa compréhension.

Produit une attestation pouvant être fournie aux clients/compagnies d’assurance prouvant que vous avez mené le processus et traité les vulnérabilités à l’aide d’un fournisseur reconnu.

* Des projets de bug bounties privés existent pour des services plus sensibles

Choisir entre les deux

Choisir un test d’intrusion

La nature structurée et les coûts prévisibles des tests d’intrusion peuvent être attrayants pour les organisations, plus particulièrement pour celles qui ne disposent pas d’un personnel dédié à la sécurité informatique. Faire appel à des experts pour un projet structuré avec un échéancier spécifique et un ensemble de produits livrables est facile à comprendre pour la direction et produit des résultats tangibles tels que des rapports et des attestations. Cette approche permet également de s’assurer que tout ce qui est défini dans la porté est audité correctement et que les services sensibles sont traités avec discrétion – ce qui n’est pas garanti avec un programme de bug bounty.

Avec un test d’intrusion, les organisations sont en mesure de prouver qu’elles ont corrigé toutes les vulnérabilités identifiées et qu’elles disposent de la documentation nécessaire pour le prouver. Cela peut contribuer grandement à renforcer la confiance des clients et à satisfaire les exigences de sécurité des tiers, tels que les assureurs et les régulateurs.

Choisir un bug bounty

Pour les grandes organisations disposant de ressources pour une équipe dédiée à la sécurité informatique, les bug bounties sont d’une grande utilité. Surtout si l’organisation oeuvre dans l’industrie technologique comme le « Software as a Service » (SaaS). En exploitant les connaissances collectives de la communauté mondiale de la sécurité de l’information, les vulnérabilités peuvent être identifiées et corrigées en toute sécurité avant qu’elles ne soient exploitées par un acteur malveillant.

Si vous décidez de mettre en place un programme de bug bounty, assurez-vous que votre organisation est prête à y consacrer les ressources nécessaires. Le programme a besoin de personnel pour le gérer, de primes suffisamment élevées pour attirer l’attention et d’une initiative marketing pour le promouvoir au sein de la communauté de la sécurité. Préparez-vous à recevoir un grand volume des resultat de piètre qualité émanant de testeurs qui n’ont pas lu les règlements ou qui tentent de gagner de l’argent rapidement. Cela va sans dire que la réalisation de bug bounty n’est pas problématiques en soi, mais plutôt l’accessibilité du projet aux chercheurs avec moins d’expérience. Bref, les bug bounties demandent plus d’effort de votre côté, mais peuvent en valoir la peine au bout du compte.

La bonne nouvelle: vous pouvez choisir les deux.

En général, il est recommandé de commencer par un test d’intrusion et d’en effectuer un sur une base annuelle ou précédant le lancement d’un nouveau produit. Cela garantit que rien n’est laissé au hazard et que votre cybersécurité est conforme aux standards de l’industries. Pour les organisations qui effectuent déjà des tests d’intrusion sur une base annuelle, l’ajout d’un programme de bug bounty permet d’assurer sa sécurité entre chaque test.

Conclusion

À mesure que les infrastructures informatiques vieillissent et deviennent plus complexes, les techniques utilisées par les cybercriminels pour extorquer leurs victimes sont de plus en plus sophistiquées. Au minimum, une défense appropriée contre ces menaces comprend des tests d’intrusion effectués par une entreprise spécialisée. Pour les organisations qui veulent aller plus loin, les bug bounties sont une initiative de sécurité supplémentaire qui permet de garder une longueur d’avance sur les pirates. C’est une bataille qui se déroule sur plusieurs fronts.

Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses. Cet exercice s’appuie généralement sur les outils utilisés par les pirates informatiques ainsi que diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.

De plus, un test tente d’exploiter vos vulnérabilités afin de déterminer leur impact potentiel sur votre entreprise si elles étaient utilisées dans un scénario de piratage réel. Ultimement, ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques. Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:

  • Un pirate informatique peut-il accéder à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour commettre des actes malicieux ?
  • Une infection par un logiciel malveillant peut-elle se propager sur notre réseau ?
  • Un pirate peut-il altérer son rôle d’utilisateur dans une application afin d’obtenir des permissions administratives ?

Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué. Voici quelques cas d’utilisation courante pour un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
  • Pour protéger les données sensibles contre l’exfiltration.
  • Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
  • Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.

Il est conseillé à toutes les entreprises de procéder à un test d’intrusion au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.

Diverses mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales. C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.

Bien que nous utilisons une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est  basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • L’impact potentiel: L’impact potentiel d’une attaque qui exploite la vulnérabilité combiné à son effet sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)

Autres Articles du Blogue de Vumetric

Impact d'une cyberattaque

Les Conséquences d’une Cyberattaque sur Votre Entreprise

Une cyberattaque est une attaque menée par des pirates informatiques dans le but d’endommager un …

Lire l'Article
Comment Protéger WordPress des Pirates

Comment Protéger WordPress des Cyberattaques Courantes

Les sites WordPress sont régulièrement piratés, car il s’agit de loin du logiciel le plus …

Lire l'Article
Comment sécuriser un site Wordpress

Comment Sécuriser Un Site WordPress (Version Débutante)

Selon WordFence, il y a 90,000 attaques par minute sur les sites WordPress. Bien que …

Lire l'Article

Certifications

Nous Détenons des Certifications Reconnues Mondialement

Contactez un Expert Certifié

Parlez avec un vrai spécialiste. Aucun engagement. Réponse sous 24h.

fournisseur de test d'Intrusion

Confidentialité

Appelez-nous au: 1-877-805-7475

Besoin d'un Test d'Intrusion Complet?

ou appelez nous directement au: