Comment choisir une entreprise de tests de pénétration

Évaluations des risques, politiques de sécurité de l'information, audits de conformité annuels, certifications. Votre organisation consacre une quantité de temps et de ressources considérable à la mise en place de processus de sécurité pour se défendre contre les menaces externes.

Mais comment tester ces défenses de manière significative ? Un test de pénétration peut agir comme une répétition pour évaluer la solidité de votre posture de sécurité.

Qu'est-ce que le test de pénétration ?

Avec un test de pénétration, également connu sous le nom de « pen test », une entreprise engage un tiers pour lancer une attaque simulée destinée à identifier les vulnérabilités de son infrastructure, de ses systèmes et de ses applications. Elle peut ensuite utiliser les résultats de cette attaque simulée pour corriger toute vulnérabilité potentielle. C'est un moyen pour les organisations d'évaluer et de renforcer leur posture de sécurité globale.

Les tests de pénétration peuvent sembler être une étape inutile dans un processus de conformité déjà long, mais les avantages en valent généralement la peine. Voici quelques avantages des tests de pénétration :

Prévenir les violations coûteuses

À mesure que les attaques deviennent plus courantes et prennent de nouvelles formes, les entreprises se tournent de plus en plus vers les tests de sécurité pour identifier et traiter les vulnérabilités de sécurité potentielles.

Un examen des violations de la cybersécurité depuis 2011 a révélé que le coût moyen d'une cyberattaque dans une entreprise cotée en bourse est de 116 millions de dollars. Parmi les violations les plus coûteuses figurent Equifax en 2017 (1,7 milliard de dollars), The Home Depot en 2014 (298 millions de dollars), Target en 2013 (292 millions de dollars) et Marriott en 2018 (118 millions de dollars).

Renforcer la confiance des clients

Les clients peuvent vous demander de réaliser un test de pénétration annuel par un tiers dans le cadre de leur diligence raisonnable en matière d'approvisionnement, juridique et sécurité.

Dissiper les doutes

Un test de pénétration peut prouver que les problèmes de sécurité des applications précédents, le cas échéant, ont été résolus afin de restaurer la confiance des clients et des partenaires.

Aider à la conformité

Les tests de pénétration sont souvent nécessaires pour se conformer à certains cadres de réglementation et de conformité, notamment SOC 2, RGPD, ISO 27001, PCI DSS, HIPAA et FedRamp.

Satisfaire les exigences des fournisseurs

Prévoyez-vous d'intégrer des services tels que Google Workplace ? Si oui, Google peut vous demander de réaliser un test de pénétration afin d'accéder à certaines API restreintes.

Que se passe-t-il pendant un test de pénétration ?

Maintenant que nous avons couvert ce qu'est le test de pénétration et pourquoi il est important, passons aux détails du processus.

Tout d'abord, qui effectue les tests de pénétration ?

Avec les tests de pénétration, vous invitez essentiellement quelqu'un à essayer de pénétrer dans vos systèmes afin que vous puissiez empêcher d'autres de le faire. L'utilisation d'un testeur de pénétration qui n'a pas de connaissances ou de compréhension préalable de votre architecture vous donnera les meilleurs résultats.

C'est pourquoi les tests de pénétration sont le plus souvent effectués par des consultants externes. Ces experts en sécurité sont formés pour identifier, exploiter et documenter les vulnérabilités et utiliser leurs conclusions pour vous aider à améliorer votre posture de sécurité. La plupart des testeurs de pénétration sont des consultants en sécurité ou des développeurs expérimentés qui possèdent une certification pour les tests de pénétration. Des outils de test de pénétration comme NMap et Nessus sont également disponibles.

Ensuite, comment se font les tests de pénétration ? En général, un test de pénétration suit ces étapes :

Le processus de test de pénétration

Définition du périmètre

Quels systèmes d'exploitation et quelles méthodologies de définition du périmètre seront utilisés dans votre test de pénétration ? Comme le testeur de pénétration pourrait avoir accès à des informations privées dans le cadre de son travail, les deux parties doivent signer un accord de non-divulgation avant de commencer le test de pénétration.

Collecte d'informations

Une fois que vous vous êtes mis d'accord sur le périmètre de votre test de pénétration, le testeur de pénétration recueillera des informations publiquement disponibles pour mieux comprendre le fonctionnement de votre entreprise. Cela pourrait impliquer l'utilisation d'explorateurs web pour identifier les cibles les plus attractives dans l'architecture de votre entreprise, les noms de réseau, les noms de domaine et un serveur de messagerie.

Identification des menaces et des vulnérabilités

Le testeur de pénétration identifiera les vulnérabilités potentielles et créera un plan d'attaque. Il cherchera des vulnérabilités et des ports ouverts ou d'autres points d'accès qui pourraient fournir des informations sur l'architecture du système.

Exploitation des vulnérabilités

Le testeur de pénétration exploitera les vulnérabilités identifiées via des attaques typiques des applications web telles que l'injection SQL ou le cross-site scripting, et tentera de recréer les conséquences qui pourraient survenir d'une réelle attaque. Cela signifie généralement que le testeur de pénétration se concentrera sur l'accès à des données restreintes, confidentielles et/ou privées.

Maintien des exploits/déplacement latéral

Alors que le testeur de pénétration maintient l'accès à un système, il collectera davantage de données. L'objectif est de simuler une présence persistante et d'obtenir un accès approfondi. Les menaces avancées se cachent souvent dans le système d'une entreprise pendant des mois (ou plus) afin d'accéder aux données les plus sensibles de l'organisation.

Remédiation

La société de test de pénétration vous fournit généralement un rapport initial de ses conclusions et vous offre l'occasion de remédier aux problèmes découverts. Après l'achèvement des remédiations, la société tentera à nouveau ces exploits connus pour déterminer si ces correctifs suffisent à prévenir de futures attaques.

Analyse et rapport

Le testeur de pénétration crée un rapport final résumant :

1. Les vulnérabilités exploitables et l'impact potentiel d'une violation. Les vulnérabilités doivent être classées par niveau de risque et par type.
2. Les données restreintes, confidentielles et/ou privées qui ont été consultées.
3. La durée pendant laquelle le testeur de pénétration est resté indétecté dans les systèmes de l'entreprise.
4. Si les vulnérabilités identifiées ont été remédiées avec succès.

En fin de compte, ce rapport doit couvrir deux éléments : exposer les plus grandes menaces stratégiques d'un point de vue commercial (pour la direction) et décrire les menaces techniques qui doivent être corrigées (par exemple, par des mises à niveau de sécurité).

Quels sont les types de tests de pénétration ?

Il existe deux façons générales de penser aux tests de pénétration : la conception du test et les méthodes d'attaque.

Types de tests de pénétration

Conception du test

Boîte noire ou test de pénétration externe

Parce que les testeurs de pénétration ne reçoivent aucune information sur l'environnement qu'ils évaluent, les tests en boîte noire simulent une attaque par un tiers externe connecté à Internet sans aucune connaissance préalable ou interne de l'entreprise.

Test en double aveugle

Un test de pénétration en « double aveugle » est un type spécialisé de test en boîte noire. Pendant les tests en double aveugle, l'entreprise subissant le test de pénétration s'assure que le moins de salariés possible sont au courant du test. Ce type de test de pénétration permet d'évaluer précisément la posture de sécurité interne de vos employés.

Test en boîte grise

Lors d'un test de pénétration en boîte grise, le testeur de pénétration reçoit une connaissance limitée de l'environnement qu'il évalue et un compte utilisateur standard. Avec cela, ils peuvent évaluer le niveau d'accès et d'information qu'un utilisateur légitime d'un client ou d'un partenaire qui dispose d'un compte aurait.

Test en boîte blanche

Lors d'un test de pénétration en boîte blanche, le testeur de pénétration reçoit des connaissances internes de l'architecture interne de l'environnement qu'il évalue. Cela leur permet de déterminer les dommages qu'un employé actuel ou ancien malveillant pourrait infliger à l'entreprise.

Test de pénétration interne

Un test de pénétration interne est similaire à un test en boîte blanche. Lors d'un test de pénétration interne, le testeur de pénétration reçoit une grande quantité d'informations spécifiques sur l'environnement qu'il évalue, c'est-à-dire des adresses IP, des schémas de l'infrastructure réseau et des protocoles utilisés ainsi que du code source.

Méthodes d'attaque

Vous pouvez également demander à des testeurs de pénétration ayant une expertise dans des méthodes de piratage éthique spécifiques si vous pensez que votre entreprise est particulièrement vulnérable. Voici quelques exemples de tests de pénétration :

• Tests d'application, y compris les applications mobiles, logicielles et web.
• Tests de réseau, y compris les problèmes de routage, les pare-feu, la numérisation des ports, le FTP et les sockets sécurisés.
• Tests sans fil, y compris les réseaux sans fil, les hotspots à faible sécurité et les points d'accès.
• Tests physiques, y compris les attaques par force brute et sur site pour accéder aux dispositifs et points d'accès du réseau physique.
• Tests d'ingénierie sociale tels que le phishing, conçus pour tromper les employés afin de révéler des informations sensibles, généralement par téléphone ou par email.
• Tests cloud, y compris le stockage cloud et la gestion de documents.
• Tests côté client, où les vulnérabilités des programmes logiciels côté client sont exploitées.

Combien coûte un test de pénétration ?

Le coût d'un test de pénétration est largement déterminé par la portée et la complexité des systèmes de l'entreprise. Plus vous avez d'actifs physiques et de données, de systèmes informatiques, d'applications/produits, de points d'accès, de bureaux physiques, de fournisseurs et de réseaux, plus votre test de pénétration sera coûteux.

Le coût de votre test de pénétration peut également être affecté par la durée de l'engagement, le niveau d'expérience du testeur de pénétration que vous choisissez, les outils nécessaires pour réaliser le test de pénétration et le nombre de testeurs de pénétration tiers impliqués.

Alex Lauerman, fondateur et consultant principal en sécurité chez TrustFoundry, explique : « Les tests de pénétration peuvent coûter de 1 000 $ ou moins pour une portée extrêmement étroite, et jusqu'à 100 000 $ ou plus pour une très grande évaluation de vulnérabilité. Les évaluations de sécurité les plus importantes et les plus coûteuses contiennent souvent plusieurs composants, tels que les tests de pénétration réseau, les tests de pénétration d'application et les tests de pénétration mobile.»

Selon Lauerman, la majorité des tests de pénétration coûtent entre 5 000 $ et 20 000 $, la moyenne se situant entre 8 000 $ et 10 000 $.

Les normes SOC 2 et ISO 27001 nécessitent-elles un test de pénétration ?

La réponse courte est : la plupart du temps.

D'une manière générale, vous remplirez les exigences d'audit de SOC 2 et ISO 27001 pour obtenir des preuves suffisantes si vous effectuez un test de pénétration de tiers avec un fournisseur réputé au moins une fois par an, et vous assurez d'identifier et de résoudre toutes les vulnérabilités critiques et à haut risque qui sont identifiées.

Exigences de tests de pénétration SOC 2

Bien qu'un test de pénétration ne soit pas une exigence explicite pour la conformité SOC 2, presque tous les rapports SOC 2 les incluent et de nombreux auditeurs en demandent un. Ils sont également une demande très fréquente des clients et nous recommandons vivement de réaliser un test de pénétration approfondi avec un fournisseur réputé.

Dans les cas où les auditeurs ne vous obligent pas à réaliser un test de pénétration de tiers, il vous sera tout de même généralement demandé de faire des analyses de vulnérabilité, de classer les risques résultant de ces analyses et de prendre des mesures pour atténuer les risques les plus élevés de manière régulière.

Exigences de tests de pénétration ISO 27001

L'ISO 27001 exige que les entreprises préviennent l'exploitation des vulnérabilités techniques (contrôle A.12.6.1, Annexe A, ISO 27001:2013). Effectuer des analyses de vulnérabilité et des analyses de vos réseaux et systèmes d'information identifie les risques de sécurité, mais ne vous dira pas nécessairement si ces vulnérabilités sont exploitables.

Vous devrez associer des analyses de vulnérabilité à un test de pénétration de tiers pour fournir à votre auditeur des preuves suffisantes que vous êtes conscient des vulnérabilités et que vous comprenez comment elles peuvent être exploitées.

Comment choisir une entreprise de tests de pénétration

Les besoins en matière de sécurité et de conformité de chaque entreprise sont uniques, mais voici quelques conseils et meilleures pratiques pour choisir une entreprise de tests de pénétration :

Type de test de pénétration technique

Les tests de pénétration diffèrent par leur portée et leur conception, alors assurez-vous de discuter des deux avec toute entreprise potentielle de tests de pénétration. Pour la portée, vous devrez considérer si vous voulez un test de pénétration de l'ensemble de votre entreprise, d'un produit spécifique, uniquement des applications web ou uniquement du réseau/infrastructure.

Pour la conception du test, vous devrez généralement décider de la quantité d'informations que vous souhaitez fournir aux testeurs de pénétration. En d'autres termes, souhaitez-vous simuler une attaque d'un initié ou d'un étranger ?

Transparence

Demandez à votre fournisseur une déclaration de travail claire couvrant les points suivants :

• Sécurité, y compris les vérifications des antécédents du testeur de pénétration et la recertification continue de la sécurité
• Période d'engagement
• Préoccupations en matière de confidentialité
• Zones "hors limites" convenues mutuellement pour les tests de pénétration, le cas échéant
• Nombre de vecteurs d'attaque traités

Idéalement, votre test de pénétration devrait couvrir une grande variété de vecteurs d'attaque de la sécurité réseau, de l'hôte et de l'application. Les exemples incluent le Top 10 OWASP, les attaques DDoS et DoS, l'IDOR, l'exécution de code à distance, la force brute DNS, la prise de contrôle de sous-domaines DNS, les chiffrements obsolètes et les scripts intersites.

Expérience des testeurs de pénétration et taille de l'équipe de test

Si certains vecteurs d'attaque sont importants pour votre entreprise, engagez des équipes de testeurs de pénétration avec différentes spécialisations.

Vous voudrez également chercher des testeurs de pénétration avec un mélange de formation technique pertinente et d'expérience pratique. Les certifications pertinentes incluent Certified Ethical Hacker (CEH), Licensed Penetration Tester (LPT), GIAC Exploit Researcher & Advanced Penetration Tester (GXPN) et Offensive Security Certified Professional (OSCP).

Flexibilité

Si votre entreprise dispose d'une gamme d'actifs complexes, vous pourriez vouloir trouver un fournisseur capable de personnaliser l'ensemble de votre test de pénétration, y compris le classement des priorités des actifs, l'octroi d'incitations supplémentaires pour identifier et exploiter certaines failles de sécurité, et l'affectation de testeurs de pénétration avec des compétences spécifiques.

Assurance responsabilité

Assurez-vous que votre fournisseur de tests de pénétration dispose d'une assurance adéquate pour couvrir le potentiel de données compromises ou violées à partir des tests de pénétration.

Qualité du rapport final

Vous voudrez établir de fortes attentes en matière de rapport qui fournissent à la fois des conseils stratégiques en matière de sécurité, sans jargon et clairement expliqués, et des vulnérabilités techniques classées avec des suggestions de remédiation, y compris des exemples spécifiques. Les métriques clés des tests de pénétration incluent le niveau de criticité ou le classement des problèmes/vulnérabilités, le type ou la classe de vulnérabilité, et le coût projeté par bug.

Prêt pour votre premier test de pénétration ?

Nous avons la chance de collaborer avec des services de tests de pénétration fantastiques. Une fois votre test de pénétration terminé, nous vous fournirons des conseils sur la manière d'interpréter les résultats de votre test de pénétration et de renforcer la posture de sécurité de votre entreprise. Demandez une démonstration ou contactez sales@secureframe.com si vous souhaitez en savoir plus.