Questions fréquemment posées sur les tests de pénétration
L'une des étapes typiquement requises lors d'un audit SOC ou d'un audit ISO 27001 est de réaliser un test de pénétration pour votre entreprise. Un test de pénétration (souvent appelé « pen test ») est une attaque simulée par un tiers qui aide à trouver des vulnérabilités dans l'infrastructure, les systèmes et les applications d'une entreprise. Un testeur de pénétration fournit ensuite un rapport de ses conclusions qu'une entreprise peut utiliser pour corriger les problèmes en suspens.
Malheureusement, le monde des tests de pénétration est tout aussi opaque que le processus de conformité. Ci-dessous, nous discutons avec Alex Lauerman, fondateur et consultant principal en sécurité chez TrustFoundry, pour répondre à certaines des questions les plus courantes que nous recevons de nos clients concernant les tests de pénétration.
Quelle devrait être la portée du test de pénétration pour un cadre de conformité spécifique tel que SOC 2 ?
Alex Lauerman, TrustFoundry : Si vous devez effectuer un test de pénétration dans le cadre d'un cadre de conformité comme SOC 2, il est toujours préférable de travailler avec votre auditeur pour définir la portée et s'assurer que votre approche est acceptable.
En général, l'exigence de SOC 2 ou ISO 27001 sera quelque chose comme « tests de pénétration annuels », ce qui laisse une marge d'interprétation. L'option la plus sûre est de travailler avec votre auditeur pour déterminer ce que votre test de pénétration doit couvrir.
Une société de tests de pénétration comme TrustFoundry peut fournir des conseils basés sur les expériences précédentes, mais étant donné que votre auditeur a le dernier mot sur ce qui est acceptable, il est important d'obtenir son approbation à la fin.
Quand un test de pénétration doit-il avoir lieu ?
Alex Lauerman, TrustFoundry : Les tests de pénétration ont généralement lieu chaque année car un test annuel est souvent l'exigence du cadre de conformité, et également une exigence interne raisonnable.
Les entreprises peuvent le faire moins fréquemment si ce n'est pas nécessaire ou exigé chaque année. Elles peuvent également le faire plus fréquemment s'il y a des changements importants ou des mises à jour de fonctionnalités, et si une entreprise estime qu'il vaut la peine de rechercher des vulnérabilités potentielles.
Les tests continus gagnent en popularité et peuvent être mis en œuvre sous différentes formes, avec l'objectif global de tester les nouvelles fonctionnalités à mesure qu'elles sont introduites afin de suivre des équipes de développement rapides.
Combien coûte un test de pénétration ?
Alex Lauerman, TrustFoundry : Les tests de pénétration peuvent coûter de 1 000 $ ou moins pour une portée extrêmement limitée, jusqu'à 100 000 $ ou plus pour une évaluation très complète. Les évaluations les plus vastes et les plus coûteuses contiennent souvent plusieurs composants, tels que les tests de pénétration de réseau, les tests de pénétration d'application et les tests de pénétration mobile.
La majorité des tests de pénétration se situent généralement dans une fourchette de 5 000 à 20 000 $, la moyenne étant d'environ 8 000 à 10 000 $. Si c'est le premier test de pénétration de votre entreprise, votre portée est probablement petite et donc en dessous de la moyenne en termes de coût.
Il est important de noter que les prix sont généralement associés au niveau d'effort requis par un testeur de pénétration, bien que les tarifs puissent varier d'une entreprise à l'autre. Si vous avez des questions sur la structuration des prix ou sur ce qui sera inclus dans le test de pénétration, vous devez poser des questions à votre testeur de pénétration.
Comment une entreprise doit-elle choisir un prestataire de test de pénétration ?
Alex Lauerman, TrustFoundry : Il n'est pas facile de différencier les différents prestataires de tests de pénétration, même si leur capacité à livrer peut varier considérablement. Vous devez vous assurer de connaître l'offre, le niveau d'effort et la qualité que vous recevrez tout en équilibrant le coût, le calendrier et d'autres facteurs de décision que vous avez.
Voici quelques-uns de mes conseils pour choisir un testeur de pénétration.
Obtenez une recommandation
Dans la mesure du possible, obtenez des recommandations de personnes en qui vous avez confiance. Idéalement, c'est quelqu'un qui a une bonne expérience ou connaissance des tests de pénétration
Ne vous laissez pas berner par l'automatisation
Les tests de pénétration doivent tirer parti de l'automatisation lorsque cela est possible, mais l'effort principal dans un test de pénétration est l'analyse manuelle. Une analyse entièrement automatisée ne peut trouver que 10-20% des vulnérabilités dans la plupart des cas.
Si quelqu'un se contente de lancer un scan, cela ne constitue pas un test de pénétration et ne sera pas efficace pour identifier toutes les vulnérabilités potentielles. N'oubliez pas qu'un test de pénétration vise à identifier ce qu'un véritable attaquant pourrait exploiter. Vous devriez discuter avec votre fournisseur de l'endroit où l'automatisation sera utilisée et de la quantité d'analyse manuelle qui sera effectuée.
Un signal d'alerte serait de voir dans votre rapport des résultats provenant directement d'un outil. Cela est généralement facile à repérer car ces outils ont un texte de mauvaise qualité, mais si vous cherchez sur Google des phrases spécifiques ou des titres de découvertes, ils se trouveront généralement tels quels sur Internet s'ils sont intégrés à un outil.
Examinez des rapports d'échantillons
Il existe une corrélation entre la qualité des rapports et la qualité des tests de pénétration. Ne vous concentrez pas sur la qualité des découvertes dans un rapport d'échantillon car les entreprises peuvent choisir des vulnérabilités spécifiques. Au lieu de cela, regardez le format du rapport lui-même et voyez s'il est visuellement attrayant et présenté dans un format facile à comprendre. Cela devrait aider à fournir une indication de la qualité du testeur de pénétration.
Les rapports peuvent parfois être trop longs et contenir trop de données inutiles. Recherchez une rédaction claire et succincte pour chaque découverte, complète avec des captures d'écran et des données pertinentes. Si quelque chose est plus facile à comprendre, c'est généralement la marque d'un testeur de pénétration qualifié. Un bon testeur de pénétration rédigera son propre rapport en pensant à la fin: Le client prenant ces résultats et formant des actions concrètes pour la remédiation.
Un bon formatage peut être un vrai plaisir à utiliser. Vérifiez que le rapport d'échantillon dispose d'une table des matières et est indexable à partir de la barre latérale. Cela permet de passer facilement d'une découverte à une autre. Vos ingénieurs vous remercieront.
Faites des recherches sur les consultants en tests de pénétration qui feraient le travail
L'industrie des tests de pénétration évolue constamment, vous devez donc chercher une entreprise dont les consultants sont entièrement dédiés aux tests de pénétration au lieu de diviser leur temps entre diverses tâches liées à la sécurité. Vous pouvez également demander qui est susceptible d'effectuer le travail et leurs biographies. De là, vous pouvez voir si ces consultants ont des certifications bien respectées, telles que celles de Offensive Security, ou sont autrement impliqués dans l'industrie des tests de pénétration à travers des blogs ou des conférences.
Choisissez une entreprise de taille appropriée pour votre société
Si vous êtes une grande entreprise avec un long processus de passation de marché, une organisation de tests de pénétration plus grande qui offre plus de services pourrait être un bon choix. Si vous êtes une petite ou moyenne entreprise et que vous souhaitez un testeur de pénétration plus agile, enthousiaste à l'idée de gagner votre entreprise et de vous offrir une excellente expérience, vous pourriez envisager de choisir une entreprise plus petite.
Évitez les entreprises qui n'ont pas été dans le domaine trop longtemps ou qui n'ont pas grandi, car c'est souvent une indication de leur qualité.
Lisez leur contenu
Un moyen utile d'évaluer une entreprise est de consulter son blog. Les entreprises qui fournissent des tests de pénétration de qualité auront généralement du contenu de qualité et des informations sur les défis de leurs clients ou des recherches en sécurité.
Obtenez plusieurs offres
Si après avoir suivi toutes ces étapes, vous n'êtes toujours pas sûr, obtenez plusieurs offres de différentes entreprises. Lors de ces discussions, vous en apprendrez plus sur ce que les gens offrent et pourquoi, et quelle entreprise semble être la mieux adaptée à vos besoins, votre budget et votre calendrier.
Si vous souhaitez obtenir la conformité SOC 2 et être mis en relation avec l'un des testeurs de pénétration préférés de Secureframe, comme TrustFoundry, planifiez une démo gratuite dès aujourd'hui !