Les tests d’intrusion sont importants pour les responsables de la gestion du risque et de la sécurité afin d’évaluer l’exposition de l’entreprise aux menaces et aux vulnérabilités, ainsi que sa capacité à satisfaire aux impératifs réglementaires et à tester les opérations de sécurité.
Appel d’offres : quatre parties fondamentales
Votre appel d’offres doit comporter quatre parties fondamentales, qui sont décrites plus en détail ci-après :
1. les détails de votre entreprise, les informations de base pertinentes, les moteurs de l’engagement, ainsi que la portée et les objectifs du test d’intrusion ;
2. les impératifs et limites (ou « garde-fous ») pertinents ;
3. les questions spécifiques auxquelles les fournisseurs doivent répondre dans leur réponse à l’appel d’offres ;
4. les informations et questions standard sur l’appel d’offres, notamment le format de la réponse à l’appel d’offres, les coordonnées de contact, les renseignements commerciaux, les références de clients et la date d’échéance pour les réponses.
La première partie doit inclure de brèves informations de base sur votre entreprise et les moteurs de l’engagement. Soyez aussi précis que possible dans le cadre de ce que votre entreprise peut accepter de partager à l’extérieur. Il s’agit d’un élément important du document qui est souvent négligé lors de l’élaboration de l’appel d’offres.
La deuxième partie doit comporter une description des objectifs et de la portée de l’engagement. Une fois ceux-ci énoncés, les limites de l’engagement doivent être décrites. Ensuite, fournissez une liste numérotée de vos impératifs spécifiques, comme le télétravail ou la présence physique et les heures de test autorisées (par exemple, entre 18 h et 6 h). Documentez clairement les méthodes de communication. De plus, il est nécessaire d’être très clair sur les impératifs susceptibles de limiter la capacité d’un testeur à respecter ses méthodologies et pratiques (par exemple, lorsque les impératifs dictent les outils ou l’hôte à utiliser pour effectuer les tests).
Il est également important de définir une date d’achèvement prévue pour l’engagement, à laquelle le testeur doit remettre au plus tard un rapport final et des recommandations. Même si les attaquants ont un temps quasiment infini, un test d’intrusion doit être limité dans le temps, car les entreprises n’ont pas des budgets illimités. Si l’engagement est susceptible d’inclure de nouveaux tests, indiquez clairement le nombre de tests supplémentaires requis, ainsi que les critères de décision et d’autorisation s’y rapportant.
La troisième partie doit comporter des questions visant à cerner les capacités des fournisseurs et à faciliter leur comparaison. Vous trouverez ci-après des suggestions de questions.
Les paragraphes commençant par « Remarque » fournissent des explications supplémentaires sur la question ou la demande et doivent être supprimés si vous reprenez textuellement les questions du présent document.
Nous recommandons également que les questions portant sur le personnel, la méthodologie des tests, la gestion de l’engagement et les rapports soient obligatoires : les réponses à ces questions seront essentielles pendant la phase de comparaison et de sélection finale.
À qui allez-vous attribuer cet engagement ? Quelles sont les compétences, l’expérience et les qualifications des testeurs qui seront désignés ? Quel est le nombre moyen d’années d’expérience par testeur ? Veuillez fournir des biographies en compléments.
Remarque : les tests d’intrusion standard et ciblés sont principalement pilotés par les attributs du testeur, et non par les outils et méthodes utilisés. Il est important de passer en revue les capacités des collaborateurs qui sont employés par le fournisseur comme facteurs de différenciation. Le fournisseur doit être en mesure de comprendre les impératifs du test (si ce n’est pas le cas, il doit vous demander des éclaircissements) et de savoir qui il va désigner.
Recherchez des testeurs qui ont plusieurs années d’expérience et, éventuellement, des certifications reconnues telles que celles de CREST, du programme de certification mondiale en assurance de l’information (GIAC) et d’Offensive Security. Pour les engagements portant sur des tests d’intrusion standard, il vaut la peine de passer quelques minutes à chercher en ligne pour voir si les collaborateurs du fournisseur sont des membres visibles de la communauté de la sécurité des informations.
Par exemple, font-ils des présentations lors de conférences et publient-ils des exploitations de failles ? Sont-ils crédités pour avoir découvert des vulnérabilités ? Tiennent-ils un blog sur leurs recherches ? Si un fournisseur n’indique pas à ce stade qui il affectera à votre engagement, assurezvous de lui demander une liste finale du personnel, avec la possibilité d’approuver toute substitution avant de signer un accord.
Comment validez-vous vos collaborateurs ? Faites-vous appel à des ressources à l’extérieur du pays ?
Remarque : les fournisseurs doivent vérifier régulièrement les antécédents du personnel qui effectue les tests de pénétration. Toutefois, la nature et la régularité de ces contrôles varient selon les pays, car les lois diffèrent. Déterminez si le recours à des ressources à l’extérieur de votre pays crée des problèmes de conformité aux politiques ou de responsabilité pour votre entreprise.
Combien de tests manuels, par opposition aux tests automatisés, effectuez-vous habituellement ?
Remarque : les tests initiaux utilisent généralement des outils automatisés pour cartographier un réseau et recueillir des informations détaillées sur les cibles potentielles, mais, selon la portée et les limites du test, un bon fournisseur peut se fier davantage à des tests manuels. La quantité de tests manuels est susceptible d’influer sur la durée et le coût de l’engagement, de sorte que les différences de coûts entre les fournisseurs peuvent s’expliquer notamment en comprenant les proportions relatives des tests manuels et automatisés.
Décrivez vos expériences et donnez des exemples de vos engagements, incluant des objectifs similaires.
Décrivez vos expériences avec des entreprises et des environnements informatiques de taille similaire.
Vos rapports sont-ils rédigés par les testeurs eux-mêmes ou par des rédacteurs dédiés ? Utilisez-vous un modèle standard ou le format des rapports est-il propre à chaque engagement ? Le rapport contient-il un résumé, une description technique détaillée des constatations, des conseils en matière de mesures correctives et une liste des méthodologies et des outils utilisés et des tests effectués ? Les résultats sont-ils contextualisés dans une approche basée sur le risque, y compris le niveau de complexité requis pour corriger une vulnérabilité ? Des enregistrements sont-ils mis à disposition pour démontrer comment une exploitation a été réalisée ? Donnez des exemples de rapports concernant des engagements similaires.
Remarque : cela fait partie des questions les plus importantes à poser. Il est en outre essentiel que le fournisseur produise des rapports concrets (avec des détails expurgés, si nécessaire). Le rapport final sera le produit que vous recevrez et sur lequel vous vous appuierez pour déterminer si l’engagement a atteint ses objectifs.
Comment allez-vous gérer l’engagement ? Comment allez-vous communiquer les mises à jour de l’état et les constatations au client au cours de l’engagement ?
Remarque : il est important de gérer l’engagement comme un projet. La tenue de réunions régulières, voire quotidiennes, au cours de l’engagement pour traiter les problèmes ou les constatations urgentes et de réunions hebdomadaires pour évaluer les progrès contribuera à la réussite de l’opération.
Signez-vous des accords de confidentialité ? Comment stockez-vous en toute sécurité les données des clients afin d’éviter toute divulgation non autorisée ? Quelles sont les périodes de conservation des données brutes et des rapports ? Qui est autorisé à consulter les résultats, aussi bien chez le fournisseur que le client ?
Remarque : le fournisseur collectera des informations sur vos ressources informatiques, en particulier les hôtes, les appareils de sécurité, les réseaux et les applications. Plus important encore, il enregistrera les vulnérabilités et les points faibles. Il est de la plus haute importance que le fournisseur accepte de garder confidentielles toutes les informations, qu’il dispose de processus et d’outils en place pour protéger vos informations et qu’il les détruise après une période donnée. Les fournisseurs doivent offrir cette protection à leurs clients.
Fournissez deux ou trois références de clients concernant des engagements ayant une portée et des objectifs similaires.
Remarque : les clients qui fournissent des références ne doivent pas nécessairement être des clients de référence officiels auxquels vous pouvez parler, mais leurs références doivent vous permettre de confirmer que le fournisseur a réalisé un travail similaire avec des clients de taille similaire dans la même industrie ou une industrie semblable. Si vous pouvez parler aux clients qui fournissent des références, saisissez cette opportunité.
Quel est le coût estimé de cet engagement ? Veuillez fournir une ventilation des coûts totaux par jour et par heure (entre les ressources s’il existe des taux différents pour différentes compétences, par exemple pour les testeurs ou les chefs de projets). Si l’engagement dure plus longtemps que prévu, comment les ordres de modification sont-ils traités et quel est le tarif pour le temps d’engagement supplémentaire (par jour et par heure) ?
La dernière partie du processus consiste à envoyer l’appel d’offres, ainsi que les documents d’achats standard de votre entreprise, à une sélection gérable de fournisseurs potentiels (pas trop nombreux, mais suffisamment pour que l’analyse des réponses à l’appel d’offres soit possible sans trop de difficultés).
Les clients de Gartner qui font appel à des services de tests d’intrusion choisiront entre trois et cinq fournisseurs pour leur liste restreinte. Sachez que, même après avoir choisi un fournisseur, certaines entreprises conservent une réserve d’autres fournisseurs, en fonction de leurs atouts et de leurs spécialisations (par exemple, les tests d’applications web et la simulation d’attaques). Selon le type de test, elles pourront faire appel aux services de ces autres fournisseurs si leur fournisseur principal n’est pas en mesure d’effectuer un test dans les délais requis, ou bien pour obtenir des perspectives différentes.
L’étape suivante consiste à analyser les réponses des fournisseurs à l’appel d’offres.
Concentrez vous sur les facteurs de sélection cruciaux pour obtenir un test d’intrusion réussi (voir la figure 1). Examinez ensuite leurs réponses aux autres questions, car elles ajouteront du contexte aux réponses cruciales.
Figure 1. Facteurs cruciaux à prendre en compte pour un test d’intrusion réussi
