Pentesting : une arme de choix dans les stratégies de cybersécurité

Politique de sécuritéSécurité

Le pentesting, ou test de pénétration est une pratique de sécurité collaborative en plein essor dans le contexte de pandémie. Comment cette pratique s’intègre t-elle dans une stratégie plus globale et dans quelle mesure permet-elle d’améliorer sa posture en cybersécurité ?

Par conviction ou nécessité, de nombreuses organisations avaient déjà amorcé leur transformation numérique avant la pandémie, adoptant de nouveaux outils et de nouvelles méthodes de travail. Avec la pandémie, cette transformation n’est plus une option, et l’augmentation massive du télétravail incite clairement à revoir sa stratégie de cybersécurité.

Pour renforcer la protection de ses données et de ses clients, il apparaît crucial de privilégier une approche proactive à une approche réactive. Activer un plan d’action à chaque nouvelle menace est chronophage, coûteux et très peu durable. Les menaces étant par nature dynamiques, une stratégie à un instant T ne sera certainement pas efficace 6 mois plus tard.
Pour ne pas se laisser déborder ou dépasser, il est important de faire des tests de sécurité en continu (pentesting), et d’en faire une partie intégrante du cycle de développement logiciel de l’entreprise. C’est à ce titre que la pratique devient efficace.

Comment intégrer le pentesting dans sa stratégie globale de cybersécurité ?

Si le pentesting est particulièrement efficace pour évaluer l’efficacité d’un système de cybersécurité, certaines entreprises y sont encore réticentes, principalement par manque d’expérience, la pratique étant encore relativement nouvelle. Le pentesting est par ailleurs un outil, pas une stratégie en soi. Il faut l’envisager dans une stratégie plus globale.

La première chose à faire est d’identifier les priorités. Quelles sont les données les plus essentielles ou sensibles à protéger ? L’étape suivante est d’évaluer leur vulnérabilité, c’est à dire leur exposition aux cybermenaces. Cela peut paraître simpliste, mais souvent, les approches les plus basiques sont négligées.

Les tests de pénétration permettent non seulement d’évaluer la vulnérabilité d’un système, d’une solution, d’une application, mais ils permettent également de répondre aux exigences réglementaires en matière de cybersécurité. Les mesures correctives qui résultent d’un programme de pentesting avortent les tentatives des cybercriminels d’altérer la confidentialité, la disponibilité ou l’intégrité des données.

Faire du pentesting une partie intégrante de sa stratégie de cybersécurité est la meilleure façon de consolider une véritable approche proactive. En outre, associés à un programme de bug bounty, les tests de pénétration fournissent une cybersécurité en continu, pour prévenir les cyberattaques, les vol de données et les abus.

Un investissement durable pour la sécurité

Pour instaurer une culture de la sécurité durable, il faut que tous les membres de l’entreprise en soient acteurs, y compris au niveau du comité de direction (Comex). Cela permet notamment à une organisation de mieux évaluer le cyber risque et de connecter les enjeux de cybersécurité aux objectifs commerciaux.
Selon la 21e enquête mondiale de PwC Global CEO Survey, 87 % des PDG du monde entier investissent dans la cybersécurité pour établir un rapport de confiance avec leurs clients. A l’heure où les données sont le moteur de l’économie numérique, instaurer et maintenir une confiance numérique est essentiel pour prospérer.

Migration vers le cloud, augmentation de la mobilité et du télétravail… La surface d’attaque des organisations ne cesse de s’étendre, et sécuriser l’entreprise est devenu de plus en plus difficile. Investir dans de nouveaux outils et technologies de sécurité ne suffit pas, ce qui fait la différence, c’est le facteur humain. C’est la meilleure façon Le facteur humain apporte en effet une forme de créativité, une expérience et une adaptabilité que les outils et technologies peuvent difficilement apporter.

Tout le monde veut pouvoir renforcer sa sécurité de manière efficace. Mais ne pas remettre en question des processus parfois dépassés est le meilleur moyen de ne pas y parvenir. Repousser les limites d’une approche, apporter une nouvelle façon de penser, c’est ce que l’humain peut apporter.

Dans la cadre des tests de pentesting en l’occurrence, il s’agit de hackers. Travailler avec ces ressources permet d’identifier ses priorités plus facilement, de gérer plus efficacement une faille, d’instaurer de nouvelles méthodes et de s’enrichir de bonnes pratiques, bref, d’améliorer sa posture globale en matière de cybersécurité.

Auteur
En savoir plus 
Ingénieur en Sécurité
HackerOne
Laurie Mercer est Ingénieur en Sécurité chez HackerOne
En savoir plus 

Livres blancs A la Une