Les tests d’intrusion sont importants pour les responsables de la gestion du risque et de la sécurité afin d’évaluer l’exposition de l’entreprise aux menaces et aux vulnérabilités, ainsi que sa capacité à satisfaire aux impératifs réglementaires et à tester les opérations de sécurité.
Analyse
Avant de commencer le processus de sélection d’un fournisseur, vous devez comprendre les types, la portée et les objectifs des tests de pénétration.
Une fois que l’équipe chargée de la sécurité et les principales parties prenantes se sont mises d’accord sur les objectifs et la portée du test d’intrusion et les ont documentés, les impératifs et les limites doivent être définis, acceptés et documentés. Ceux-ci précisent comment un fournisseur doit procéder pour atteindre les objectifs du test dans le respect de la portée convenue.
Les impératifs doivent être établis à partir de la portée et des objectifs, conjointement avec la contribution des parties prenantes concernées, notamment les responsables d’applications d’entreprise et de l’infrastructure informatique. De plus, les dirigeants en dehors du département informatique doivent signifier leur tolérance au risque concernant leurs opérations, en lien avec la portée et les objectifs de l’exercice, car les tests pourraient avoir une incidence négative sur les opérations.
Voici des exemples de questions auxquelles vous devez répondre lorsque vous définissez vos impératifs et les limites du test (notez que plusieurs de ces questions se recoupent, alors considérez la liste dans son ensemble).
■ Quels types de ressources (appareils, hôtes et applications) sont explicitement dans la portée et lesquels sont hors limites pour le fournisseur de tests ? Sont-ils en permanence hors limites ou seulement certains jours ou à certaines heures ? Les ressources qui sont hors limites varient généralement selon le type de test. Les évaluations légères et ciblées (tests de boîte blanche et de boîte grise) spécifient généralement les ressources hors limites, tandis que les tests d’intrusion standard (tests de boîte noire) et les exercices avec équipe rouge en auront peu, voire aucune. Si le style avec équipe rouge est préféré, l’objectif est-il ou pas d’être furtif et non détectable par l’équipe bleue ?
■ Y a-t-il des restrictions sur la période de fonctionnement ? Par exemple, si un test d’intrusion standard doit être effectué, voulez-vous qu’il ait lieu uniquement les jours ouvrables et pendant les heures de bureau, de sorte que, si une exploitation provoque la défaillance d’une application ou d’un serveur, le personnel informatique soit disponible pour rétablir les opérations normales ? Y a-t-il des périodes d’interruption normales imposées par l’entreprise (par exemple, pendant les périodes de vacances pour les détaillants) pendant lesquelles les tests ne doivent pas avoir lieu ?
■ Selon le type de test de pénétration, quel niveau de risque quant à la disponibilité et l’intégrité des ressources concernées par le test votre entreprise est-elle prête à accepter lorsque le testeur utilise des codes malveillants réels exploitant une faille de sécurité ? Si un test d’intrusion standard doit être effectué, votre entreprise acceptera-t-elle l’utilisation de codes malveillants réels pour atteindre les objectifs du test ? Il est en outre important de vérifier auprès du fournisseur de quelle façon il applique et surveille les limites pendant les tests.
■ Le testeur devra-t-il se trouver physiquement dans vos locaux ou le télétravail sera-t-il acceptable ? Comment l’accès (physique et à distance) sera-t-il accordé, surveillé et révoqué à la fin du test ? Le fournisseur doit-il déployer ses propres ressources, comme une machine virtuelle ou un ordinateur portable physique sur votre réseau pour faciliter les tests d’intrusion internes ? Habituellement, le type de test détermine l’emplacement du testeur. Un test d’intrusion contre un système ou une application spécifique peut nécessiter un accès intégral à votre réseau interne. Cela ne sera pas forcément le cas pour la simulation d’une attaque provenant de l’extérieur du périmètre réseau de votre entreprise.
■ Quels environnements les testeurs sont-ils censés utiliser ? Par exemple, les environnements de développement ou de tests uniquement, ou bien tous les environnements, y compris de production ? Le type de test d’intrusion utilisé peut orienter le choix de l’environnement. Par exemple, un test de boîte grise contre une nouvelle plate-forme et une nouvelle application qui ne sont pas encore exposées à l’extérieur peut être réalisé sur des versions de préproduction.
■ Quel est le plan de signalement progressif ? Il n’est pas toujours approprié de s’en remettre aux communications par messagerie électronique et aux réunions ; vous avez besoin d’un plan détaillé de communication et de signalement progressif. Les deux parties doivent s’entendre sur une politique « sans hypothèses », par exemple, si un système ne répond plus, si une vulnérabilité importante est découverte ou s’il y a la preuve d’une violation de la sécurité. Les communications doivent être faites en temps opportun et être précises dans leurs détails (par exemple, ce qui s’est produit, ce qui a été identifié, la gravité du problème, si une violation est active ou s’il y a indication d’une activité passée et quels artefacts témoignent d’une violation).
■ Quel degré d’indépendance êtes-vous prêt à donner au fournisseur de tests ? Il est crucial de comprendre ce point. L’autorisez-vous à utiliser des techniques d’ingénierie sociale (par exemple, le hameçonnage de messages électroniques et d’appels téléphoniques) ? Accorderez-vous un accès physique pour atteindre les objectifs du test ? Plus vous donnez d’autonomie à un prestataire, plus le risque est élevé, mais plus les résultats sont susceptibles d’être précis.
Une fois que vous avez documenté vos objectifs, votre portée, vos impératifs et vos limites, dressez une liste restreinte de fournisseurs de tests de pénétration. La taille des prestataires varie entre des consultants individuels et des cabinets de conseil internationaux.
Pour identifier des fournisseurs potentiels auxquels recourir, les sources ne manquent pas : recommandations de pairs, relations existantes avec des prestataires de services informatiques et des cabinets de conseil, fournisseurs expérimentés dans des réglementations spécifiques telles que la norme de sécurité des données de l’industrie des cartes de paiement, ou encore fournisseurs associés à des programmes de certification et d’accréditation afférents tels que CREST et Tigerscheme. Une fois que vous avez une liste restreinte de fournisseurs, il est recommandé de lancer un appel d’offres.
En introduction de l’appel d’offres, les objectifs, la portée et les limites du test doivent être stipulés. Il est également important d’être très précis et de fournir suffisamment de détails pour qu’un fournisseur puisse déterminer s’il peut atteindre vos objectifs et opérer dans le cadre de vos limites. Certains consultants et cabinets sont susceptibles de refuser un engagement en fonction de ces facteurs. Par exemple, certains cabinets ne veulent effectuer que des tests d’intrusion standard à distance et ne disposent pas des ressources nécessaires pour réaliser des tests sur site.
Votre objectif est d’émettre un appel d’offres qui permette, dans la mesure du possible, une comparaison cohérente des points forts et des points faibles des fournisseurs. Donnez-leur une certaine latitude pour expliquer leur différenciation, mais formulez les questions de sorte à obtenir des réponses claires.