Comment sélectionner un fournisseur de tests d’intrusion

0

Les tests d’intrusion sont importants pour les responsables de la gestion du risque et de la sécurité afin d’évaluer l’exposition de l’entreprise aux menaces et aux vulnérabilités, ainsi que sa capacité à satisfaire aux impératifs réglementaires et à tester les opérations de sécurité.

Résultats

Passez en revue les exemples de rapports et tout autre document supplémentaire. Demandez-vous quels fournisseurs ont transmis des rapports prédéfinis, plutôt que des rapports qui sont plus orientés sur votre engagement. Le contenu des rapports est-il suffisamment détaillé ? Les informations fournies sont-elles utiles ? Sont-elles suffisamment détaillées pour aider à classer par ordre de priorité la correction des points faibles, aussi bien immédiatement qu’à long terme ? Avez-vous la possibilité d’influer sur le format du rapport ou de sortie du fournisseur, ou bien devez-vous accepter sa version par défaut ? Quels fournisseurs sont prêts à travailler selon vos besoins et dans le respect de vos limites ?

Gestion de l’engagement et canaux de communication

Considérez également de quelle façon l’engagement sera géré. Existe-t-il une ressource dédiée à la gestion du projet pour soutenir les testeurs, ou bien les testeurs sont-ils également chargés de gérer l’engagement ? Les canaux et la cadence de communication sont-ils adaptés à la complexité de l’engagement ? Par exemple, si les testeurs causent un impact présumé sur votre environnement ou s’ils trouvent la preuve d’une violation active ou passée, les deux parties sauront-elles comment et à qui le signaler ? Il s’agit là d’éléments cruciaux qui doivent être documentés dans la réponse du fournisseur et/ou l’énoncé des travaux.

Expertise et expérience

Il n’est pas recommandé de sélectionner un fournisseur uniquement en fonction du coût. L’adage « vous en avez pour votre argent » s’applique également au choix d’un fournisseur de tests de pénétration.

Concentrez-vous d’abord sur la qualité de la réponse et du travail du fournisseur, ainsi que sur sa capacité à atteindre les objectifs, puis comparez les prix. Lorsque vous comparez les prix, portez une attention particulière au nombre de jours alloués à l’évaluation, à la gestion du projet et à la génération de rapports. Les différences dans le nombre de jours alloués à ces activités expliquent souvent pourquoi les prix des fournisseurs divergent considérablement. Si le nombre de jours que les fournisseurs prévoient pour mener à bien l’engagement varie considérablement d’un fournisseur à l’autre, discutez-en avec eux.

Prenez conscience que le temps consacré à l’évaluation est crucial ; une durée d’engagement sensiblement plus courte peut indiquer un test moins approfondi. Par exemple, une plus grande part d’automatisation peut être utilisée pour tenter de découvrir plus de vulnérabilités afin de démontrer la valeur au client, alors même que ces vulnérabilités peuvent être de faible valeur et cacher le fait que des vulnérabilités plus importantes n’ont pas été découvertes.