Comment sélectionner un fournisseur de tests d’intrusion

0

Les tests d’intrusion sont importants pour les responsables de la gestion du risque et de la sécurité afin d’évaluer l’exposition de l’entreprise aux menaces et aux vulnérabilités, ainsi que sa capacité à satisfaire aux impératifs réglementaires et à tester les opérations de sécurité.

Introduction

Les tests d’intrusion constituent une part importante de la capacité de gestion des menaces et des vulnérabilités d’une équipe en charge de la sécurité. De nombreux responsables de la gestion du risque et de la sécurité s’appuient sur les tests d’intrusion comme mécanisme de vérification indépendant pour évaluer leurs contrôles et l’environnement informatique de leur entreprise.

Les  résultats de ces tests sont utilisés à plusieurs fins, comme l’indiquent les clients de Gartner ; par exemple :

■ pour contribuer à l’élaboration de programmes d’amélioration de la gestion du risque et de la sécurité (si le responsable est nouveau dans l’entreprise, par exemple) ;
■ pour valider l’efficacité des capacités et contrôles de sécurité (à l’aide d’un exercice en équipe rouge, par exemple) ;
■ dans le cadre des activités continues de gestion des vulnérabilités et des menaces (par exemple, évaluation des plates-formes et des applications prenant en charge de nouvelles initiatives cruciales).

Pour certaines entreprises, ces tests sont obligatoires, par exemple pour répondre aux impératifs de la norme de sécurité des données de l’industrie des cartes de paiement.

D’autres entreprises peuvent avoir besoin de tests d’intrusion afin de se conformer à une norme spécifique de gestion de la sécurité des informations, comme les normes de l’Institut national des normes et de la technologie (NIST) ou du Center for Internet Security (CIS).

Les tests d’intrusion peuvent englober un large éventail d’activités et de résultats. Les clients de Gartner qui utilisent des tests d’intrusion se concentrent généralement sur des tests de réseaux externes et internes, ainsi que sur des applications web internes cruciales et externes.

Plus récemment, les tests des réseaux sans fil sont devenus plus courants, parfois pour répondre à des impératifs réglementaires tels que la norme de sécurité des données de l’industrie des cartes de paiement , de même que des tests physiques, en fonction du secteur vertical de l’entreprise (par exemple, les services publics ou la vente au détail). Des tests portant spécifiquement sur l’hameçonnage et l’ingénierie sociale sont quelquefois réalisés.

Les tests avec équipe rouge gagnent en visibilité sur le marché, ce qui ne fait que semer la confusion chez les acheteurs.

Pourquoi cette confusion ? Parce que les tests avec équipe rouge semblent très similaires à ce qui peut être commercialisé en tant que test d’intrusion de réseau « avancé », mais aussi parce que certains fournisseurs adoptent ce terme pour se différencier sur le marché.
La réalité est que le principe de l’équipe rouge est similaire, mais néanmoins différent des tests traditionnels d’intrusion du réseau. Certains fournisseurs proposent légitimement l’un ou l’autre ou les deux types de tests, tandis que d’autres ne font en réalité que des tests d’intrusion du réseau et abusent de l’utilisation du terme « équipe rouge ».

Gartner définit les tests d’intrusion comme « allant au-delà de l’analyse des vulnérabilités pour utiliser des scénarios d’attaque à multiples étapes et vecteurs, qui d’abord trouvent les vulnérabilités et ensuite tentent de les exploiter pour pénétrer plus en profondeur dans l’infrastructure de l’entreprise » .

Le principe de l’équipe rouge peut se décliner en plusieurs styles qui incluent des tests d’intrusion plus avancés à une extrémité du spectre jusqu’à un exercice de jeu de guerre où les attaques contre une entreprise et ses défenses de sécurité par des adversaires sont émulées par les testeurs. Les caractéristiques qui différencient ces tests incluent des durées d’engagement plus longues (des semaines au lieu de jours), moins de limites autour de vecteurs d’attaque particuliers (apps web, hameçonnage, hameçonnage vocal, physique), les armes utilisées (nouveau code malveillant exploitant une faille de sécurité ou programmes malveillants et implants personnalisés) et un effort accru pour éviter la détection. Cela peut inclure des tests d’intrusion de type boîte noire et boîte grise. Ces caractéristiques se reflètent également dans le prix, car ces tests imposent un surcoût en raison de la durée de l’engagement, de la préparation requise et de l’expertise employée.

La sélection d’un fournisseur de tests d’intrusion peut être un défi colossal en raison du grand nombre d’entreprises offrant ces services. Une recherche sur Google de « tests de pénétration » révèle des centaines de prestataires de services qui varient à bien des égards, comme la taille de l’entreprise (et des effectifs), l’emplacement géographique, les années d’expérience et la réputation.

Ainsi, les prestataires peuvent aussi bien être de grands cabinets de conseil ayant des bureaux partout dans le monde que des prestataires régionaux de services de sécurité personnalisés, ou encore des individus travaillant à domicile. L’expérience des testeurs varie entre des vétérans qui ont effectué des centaines de tests d’intrusion et des individus récemment agréés qui ont décidé de lancer une activité de tests de pénétration.

Il est important de noter qu’une plus grande taille ou reconnaissance de la marque mondiale n’équivaut pas nécessairement à de meilleurs résultats lorsqu’il s’agit de tests de pénétration.

De plus, le nombre d’années d’expérience n’est pas forcément un bon indicateur pour les technologies émergentes (telles que les environnements de cloud computing) ou les cas d’utilisation pour lesquels une expertise de niche est requise (par exemple, les tests d’environnements SCADA ou de systèmes de contrôles industriels).
L’expérience du testeur est par conséquent un facteur clé.

De nouvelles approches des tests d’intrusion sont également apparues sur le marché.

Pour les tests d’intrusion de type boîte noire, les options en crowdsourcing se sont développées sur le marché. Ces tests sont dispensés par des fournisseurs qui agissent au titre du prestataire de tests d’intrusion sous contrat et qui soumettent le travail à des testeurs agréés une fois que l’acheteur a enregistré le type de test requis.
Les plates-formes de ces fournisseurs visent à optimiser le temps des testeurs d’intrusion en automatisant une grande partie des activités de gestion de projet et de collecte d’informations, ce qui laisse aux testeurs plus de temps pour réaliser les tests ; elles offrent en outre aux acheteurs un plus grand vivier de testeurs. Elles peuvent également raccourcir le temps qu’il faut à un acheteur pour identifier et planifier un test, ce qui est devenu un aspect problématique pour les acheteurs de tests de pénétration.
Le délai nécessaire pour planifier un test auprès des prestataires de tests d’intrusion peut en effet atteindre au minimum 10 jours ouvrables. Dans certains cas, il est même impossible de planifier un test avant plusieurs semaines, selon le degré d’occupation du prestataire au moment où le test est requis.

Des outils de simulation d’attaque et de violation de la sécurité et des outils de tests d’intrusion automatisés sont disponibles.

Les outils de simulation d’attaque et de violation de la sécurité visent à fournir une surveillance en temps réel et une évaluation de la surface d’attaque de l’environnement informatique d’une entreprise. Ces outils mettent en évidence les ressources présentant le risque le plus fort qui pourraient être compromises par un attaquant et ensuite exploitées pour se déplacer latéralement au sein du réseau d’une entreprise. Il existe aussi des outils qui tentent d’automatiser entièrement un testeur humain d’intrusion en utilisant une boîte à outils et un ensemble de techniques et de tactiques d’attaque pour effectuer un test d’intrusion du réseau.

Pour tester les applications web et mobiles, il existe désormais des programmes de primes aux bugs (à la fois privés ou fermés et ouverts aux modèles publics). Les primes aux bugs sont différentes dans le sens où vous, le client, ne payez que pour les problèmes ou vulnérabilités confirmés qui sont trouvés, et non pour les heures passées sur une cible.
Cette prestation s’effectue également selon un modèle de crowdsourcing, si bien qu’au lieu d’un seul consultant, il peut y avoir des douzaines de personnes qui travaillent sur votre cible de test.