Un test d’intrusion a pour objectif d’évaluer le niveau de sécurité d’une organisation afin de valider son niveau d’exposition au risque cybermalveillant.
La course au nombre de vulnérabilités trouvées
C’est un constat accablant: les scanners de vulnérabilités encouragent la culture de la quantité, contre celle de la qualité et de la pertinence des résultats. Un test d’intrusion n’est pourtant pas une énumération de tous les problèmes de sécurité, dont l’évaluation du risque peut parfois être faible ou nulle.
Il est commun d’observer cette confusion lorsqu’est évoquée la demande des «pentests» ou test d’intrusion. Quel est l’objectif sous-jacent derrière la demande? Une revue de conformité ou une réelle évaluation du risque en cas d’attaque? Ne confond-on pas scan de vulnérabilité et test d’intrusion ?
À quoi sert un test d’intrusion et comment le préparer efficacement?
Son rôle est de permettre d’identifier si les développements, les systèmes et les procédures sont en mesure de détecter, bloquer et minimiser la surface d’attaque lors d’une tentative d’intrusion réelle.
La préparation d’un test d’intrusion est une partie-clé d’un projet, elle permet notamment:
- La découverte du métier et de ses risques;
- La compréhension du rôle d’une application ou d’une architecture;
- L’identification des objectifs des attaquants susceptibles de cibler la société.
Le test en lui-même permet de simuler une tentative d’attaque réaliste, afin d’évaluer un risque clair lié à l’utilisation d’une application ou d’une infrastructure. L’exploitation des vulnérabilités, parfois de manière chaînée, permet d’évaluer la portée qu’une intrusion peut avoir, parfois bien au-delà du point d’entrée initial.
Cependant, malgré un cadre défini et des objectifs clairs, certains ne sont parfois pas prêts lors de la réalisation du test. Ne pas être prêt pour un test d’intrusion, c’est un aveu de ne pas être prêt lors d’une véritable intrusion.
Entre excès de contrôle et déni de réalité, il faut comprendre les raisons qui font qu’un test d’intrusion induit un stress. Une inquiétude qui est souvent difficile à gérer pour les équipes dont on évalue le travail et les moyens.
Quelles sont les raisons de la crainte du test d’intrusion?
Il s’agit avant tout d’une crainte d’être jugé sur un manquement de moyens ou de compétences. Que cela soit pour les tests d’intrusion sur des applications ou des infrastructures, les conclusions vont inévitablement mettre en avant des anomalies ou des faiblesses. Les auditeurs, internes ou externes, vont pointer du doigt ces manquements et chercher des responsables.
Alors que l’exercice du test d’intrusion devrait avoir une issue positive, en anticipant et en prévenant une intrusion réelle, celui-ci est ressenti comme une démonstration de culpabilité des différents acteurs. La peur d’être jugé comme incompétent, ou celle d’avoir fait de mauvais choix en investissant dans un produit de sécurité coûteux, mais inefficace en pratique.
Adapter les tests en regard du niveau de maturité
L’important est d’adapter les tests en fonction de l’avancement d’un projet et du niveau d’expérience lié au risque d’une intrusion. Nous conseillons de solliciter une entreprise de cybersécurité en amont du projet. Pour un développement applicatif par exemple, il est possible d’aider à inclure la sécurité dès le début. Cela permet d’aborder un test d’intrusion avec plus de confiance.
Une évaluation des vulnérabilités permet de découvrir les faiblesses d’une application ou d’un système. Elle se base souvent sur un référentiel permettant de réaliser un audit exhaustif des différents angles d’attaque.
Un test d’intrusion, quant à lui, permet de valider la mise en œuvre des mesures de protection, qu’elles soient implémentées au niveau applicatif ou au niveau de l’infrastructure. Il demande un niveau de maturité plus élevé pour en tirer de réels bénéfices, que l’on peut concrétiser en plan d’action applicable.
Évaluer sa maturité et progresser via un programme dédié
L’utilisation d’outils permettant l’évaluation de la maturité pour la gestion des tests d’intrusion, tels que celui proposé par le CREST, permettent à la fois de situer, de définir des objectifs à atteindre, et d’utiliser les méthodes de test les plus pertinentes au bon moment.
Définir des programmes ayant pour but l’amélioration de la sécurité et les actions d’accompagnements associées est l’enjeu de la réalisation de tests d’intrusion représentatifs des menaces réelles.
L’objectif étant d’aller vers une évolution nécessaire des mentalités, de l’ensemble de l’entreprise, afin de tirer une issue positive du test d’intrusion, et de l’aborder avec davantage d’efficacité et de sérénité.
Retrouvez toute l’actualité Cybersecurity Corner