Que demander lors de l'achat d'un test d'intrusion premium pour votre entreprise ?

Que demander lors de l'achat d'un test d'intrusion (PT) Premium pour votre entreprise ?

Trouver un bon fournisseur de tests d'intrusion de confiance n'est pas une tâche facile, quels que soient vos besoins. Dans ce court article, nous passerons en revue les principaux aspects que vous devriez examiner lorsque vous magasinez pour un fournisseur de tests d'intrusion.

Avant de commencer, il est important de comprendre qu'il n'y a pas de solution unique. Différentes entreprises ont besoin de différents fournisseurs. A vous de trouver l'entreprise la mieux adaptée à vos besoins. 

Ai-je besoin de tests d'intrusion premium pour mon entreprise ?

C'est une décision que vous devez prendre par vous-même, plutôt qu'avec les fournisseurs avec lesquels vous parlez. « Tests d'intrusion » est un terme très large et pourrait être utilisé pour décrire de nombreux audits de sécurité possibles sur le marché.

La différence entre un test de pénétration léger et un test premium réside principalement dans le temps et l'expertise investis dans le test de votre sécurité. En fin de compte, cela se traduit par la compensation que vous devrez effectuer.

Les quatre principaux facteurs à prendre en compte pour décider si des tests d'intrusion de qualité sont nécessaires pour vous sont :

• Prévenir les failles de sécurité - si une faille de sécurité est quelque chose qui peut dévaster votre entreprise, nuire à votre réputation ou empêcher les clients de travailler avec vous à l'avenir, il est fortement recommandé d'investir dans des tests d'intrusion de meilleure qualité afin de réduire ce risque à un le minimum. 
• Clients d'entreprise - Lors de la conclusion de nouveaux accords avec des clients, en particulier des entreprises, certains peuvent vous demander de présenter un rapport de test d'intrusion pour vous assurer que vos services sont sécurisés et ne compromettront pas leurs données. Si les tests d'intrusion ne sont pas conformes à leurs normes, ils peuvent les rejeter ou vous demander d'en effectuer un plus complet. Cela pourrait être un facteur décisif pour de nombreuses entreprises.
• Données sensibles - Si votre entreprise détient des données sensibles telles que des informations personnelles ou des enregistrements de transactions financières, vous courez un risque plus élevé d'être ciblé par des acteurs malveillants. De plus, en cas de violation, vous pouvez être contraint par la loi de verser des dommages et intérêts aux clients dont les informations ont été compromises. Un test de pénétration de meilleure qualité est donc justifié pour éviter de futures pertes.

Ce fournisseur a-t-il l'expérience des tests de ma technologie ?

Comme il existe un nombre croissant de technologies utilisées sur le marché, vous devez vous assurer que le fournisseur que vous choisissez a de l'expérience avec la technologie spécifique que vous utilisez.

Les deux principales catégories pour cela sont les tests de pénétration des applications et des infrastructures. 

Tests de pénétration des applications peut être divisé en fonction des différentes plates-formes d'applications cibles, telles que Web, Android/IOS, Windows/Linux/Mac. Un fournisseur de tests d'intrusion qui a de l'expérience avec Android, par exemple, peut ou non être compétent dans les applications Web. Vous devriez donc interroger les vendeurs potentiels sur leur expérience avant de vous engager.

Tests de pénétration des infrastructures peuvent être divisés en différentes catégories. Les tests d'infrastructure back-end pour une multinationale comptant des centaines de milliers de clients sont une bête complètement différente des tests d'infrastructure pour une petite start-up. Un fournisseur de tests d'intrusion qui n'a pas l'expérience des opérations à grande échelle ne convient probablement pas à une grande entreprise. La technologie utilisée dans votre back-end est également importante lors de la recherche d'un fournisseur. Vous devriez sonder vos fournisseurs potentiels pour savoir avec quelles technologies ils travaillaient auparavant.

En général, les tests d'intrusion peuvent être en boîte noire ou en boîte blanche. Les tests d'intrusion Blackbox signifient que les testeurs n'enquêtent pas sur les éléments internes du système (code source, etc.), simulant une attaque réelle. Néanmoins, il y a quelques inconvénients à cette méthode. Premièrement, les vrais attaquants ne sont pas limités dans le temps comme les testeurs, et deuxièmement, les testeurs peuvent manquer des vulnérabilités importantes. Les tests Whitebox sont exactement le contraire, les testeurs sont exposés aux éléments internes du système. Cela implique souvent une révision approfondie du code, ce qui nécessite plus de temps et d'efforts de la part des testeurs. Ainsi, à son tour, rendant le test plus cher.

Les fournisseurs se spécialisent généralement dans les PT en boîte noire ou en boîte blanche, il est donc important de revoir leur expérience. Un fournisseur connaissant les tests de boîte noire, par exemple, peut ne pas être expérimenté dans les pratiques de révision de code méthodiques.

Dans de nombreux cas, la combinaison des deux approches permettra d'obtenir les meilleurs résultats. Le nom de ce test combiné est test de boîte grise. Puisqu'il n'y a pas de définition précise du test, il variera entre les différents tests et entreprises. Communiquer vos délais, vos exigences techniques et vos objectifs à votre fournisseur vous aidera à définir les tests de la boîte grise (accorder un accès VPN, des comptes d'administrateur, une liste de points de terminaison, etc.). De plus, une communication efficace rendra le processus de test efficace en termes de temps et de prix.

Qui effectuera les tests ? 

Le facteur le plus important, mais presque toujours le plus négligé dans la détermination de la qualité du ressuage est le testeur ou les testeurs qui effectueront le travail. 

Lorsque vous vous engagez pour un PT, assurez-vous de connaître le nom et les qualifications des personnes qui effectueront les tests. Pensez aux questions suivantes à poser à votre fournisseur sur les testeurs :

• Ont-ils plus de 2 ans d'expérience dans le domaine? 
• Travaillent-ils directement pour le fournisseur ou sont-ils des sous-traitants ? La pratique consistant à déléguer le travail à des sous-traitants est très courante chez les grands éditeurs de sécurité. Cette pratique peut nuire à la qualité du service. De plus, la délégation de travail à des sous-traitants peut également nuire à la responsabilité, car les sous-traitants sont généralement laissés anonymes.
• Les testeurs sont-ils dédiés à mon projet ou font-ils plusieurs projets simultanément ?

Demandez à revoir leurs travaux antérieurs. Ont-ils reçu des CVE (vulnérabilités divulguées publiquement) pour des découvertes passées ? Ont-ils travaillé avec une pile technologique similaire à la mienne ?

Quelle méthodologie sera utilisée pour mon test ?

Un fournisseur de pénétration respecté utilisera une méthodologie et un cadre bien définis comme assurance qualité. Il existe de nombreuses normes concurrentes – voici un bref aperçu :

• Guide de test de sécurité Web OWASP (WSTG) - Utilisé pour être appelé OTG (Guide de test OWASP). Cette norme est le meilleur guide pour les applications Web et mobiles. En effet, il est le plus à jour et le plus techniquement informatif sur les tests qui doivent être effectués lors d'un test d'intrusion. Cette norme est actuellement la norme de facto de l'industrie pour PT et est généralement une exigence des entreprises de leurs fournisseurs.
• Norme d'exécution des tests d'intrusion (PTES) – une norme de haut niveau qui couvre la méthodologie générale que les pen-testeurs doivent suivre. La norme elle-même n'entre pas dans les détails techniques du test d'intrusion (c'est-à-dire ce qu'il faut tester exactement), mais contient une directive supplémentaire contenant des informations très détaillées. Cette norme est meilleure pour les tests de pénétration d'infrastructure. 
• NIST Cybersecurity Framework (CST) - Cette norme de l'Institut national américain des normes et de la technologie (NIST) est la mieux adaptée pour auditer l'état global de la cybersécurité d'une organisation. Cependant, il n'est pas spécialement conçu pour les tests d'intrusion. Le NIST a également publié un guide (NIST 800-115) couvrant les aspects techniques des tests de sécurité.
• Building Security in Maturity Model (BSIMM) - Ce cadre a été créé en utilisant une approche différente : à l'origine, les auteurs ont examiné les pratiques de sécurité de 9 éditeurs de logiciels performants et les ont présentés dans un modèle unique. La version la plus récente, BSIMM12, était basée sur les pratiques de 128 organisations différentes. Ce cadre est similaire à celui du NIST car il couvre toutes sortes d'activités que les organisations devraient entreprendre pour améliorer leur sécurité, plutôt que de se concentrer uniquement sur les tests d'intrusion.
• Le cadre d'évaluation de la sécurité du système d'information (ISSAF) est une norme obsolète, sa dernière version (0.2.1B) a été publiée en mai 2006 et, à ce titre, une grande partie des informations techniques de l'ISSAF ne sont pas particulièrement pertinentes.

Lors de l'achat d'un test d'intrusion premium ou de tout audit de sécurité, assurez-vous que la bonne méthodologie est utilisée. Si votre fournisseur PT n'utilise aucune méthodologie ou en utilise une obsolète, cela peut conduire à un test de faible niveau, qui sera souvent rejeté par vos clients.

Le test est-il manuel ou automatique ?

Les tests automatiques sont bons pour les tests de pénétration de la lumière et fourniront une couverture initiale. Ils sont peu coûteux à réaliser et réduiront donc le coût global du test. Les tests d'intrusion manuels sont plus efficaces pour trouver des « jours zéro », des vulnérabilités inconnues dans votre configuration qui pourraient affecter considérablement votre entreprise.

Un PT de haute qualité doit être un mélange de scripts automatiques et de recherche manuelle effectuée par un testeur expert. 

Les scripts automatiques sont parfaits pour trouver les vulnérabilités connues d'un jour qui sont fréquemment présentes dans les services et bibliothèques tiers.

Les tests manuels vous aident à trouver des vulnérabilités dans votre propre code personnel, c'est-à-dire votre propre logique métier. Ce type de test de vulnérabilité ne peut pas être facilement automatisé car chaque système est différent et unique et possède sa propre part de vulnérabilités uniques.

Lors de l'achat d'un test, vous devez vous assurer que vous payez pour un test d'intrusion de haute qualité qui fournira à la fois une analyse automatique et une recherche manuelle. Gardez à l'esprit que la majorité de la commission ira à la recherche manuelle car elle coûte beaucoup plus cher à effectuer et ne peut pas être automatisée.

Résumé

L'achat d'un test d'intrusion est une tâche complexe, en particulier lorsque l'on compare deux fournisseurs. Nous vous recommandons fortement de comprendre l'objectif du test d'intrusion avant de demander des devis. Est-ce uniquement pour la certification ? Vos clients en font-ils la demande ? Quelle est l'importance du niveau de sécurité pour votre entreprise ? 

Après avoir compris vos besoins internes, assurez-vous que le fournisseur avec lequel vous travaillez a de l'expérience dans votre domaine technologique. Et le testeur d'intrusion qui travaillera sur votre plate-forme a une expérience passée dans le domaine ainsi que des CVE accessibles au public. 

Vérifiez auprès du fournisseur quelle part du budget est destinée aux tests automatisés et quelle part est destinée aux tests manuels, les tests manuels devraient prendre la majorité du prix.

Demandez au fournisseur un exemple de rapport de test d'intrusion et examinez la gravité et la complexité des résultats, demandez également des références d'anciens clients.

Et comme pour toutes les décisions complexes, faites confiance à votre instinct et restez en sécurité !