Cet article est rédigé et contribué par la société de tests de pénétration Software Secured, un partenaire fier de Secureframe.

ISO 27001 est l'un des cadres de conformité les plus populaires au monde. Mais entre l'embauche de consultants, l'intervention d'auditeurs, la mise en place de nouveaux processus et outils, et la mise à niveau de votre posture de sécurité, le coût total de la conformité s'accumule rapidement. Sans aucun doute, vous commencez maintenant à vous demander ce qui est vraiment nécessaire et comment vous pouvez tirer le meilleur parti de chaque service.

Que requiert ISO 27001 en matière de tests de pénétration et de services similaires ? Et comment le choix des tests de pénétration peut-il réellement augmenter le retour sur investissement (ROI) de votre conformité ISO 27001 ? Nous allons démêler les exigences et expliquer les avantages des tests de pénétration ci-dessous.

Qu'est-ce que la conformité ISO 27001 ?

ISO 27001 est un cadre de conformité international qui prouve la capacité d'une entreprise à protéger et à gérer de manière sécurisée les données sensibles de ses clients. Le cadre ISO 27001 a été créé par l'Organisation internationale de normalisation (ISO) en partenariat avec la Commission électrotechnique internationale (CEI). Il offre des lignes directrices pour la création, le maintien et l'amélioration d'un système de gestion de la sécurité de l'information (SGSI) capable de protéger les données sensibles.

En obtenant la certification ISO 27001, les organisations en croissance peuvent éviter les violations de données coûteuses, établir une différenciation concurrentielle, améliorer l'infrastructure et les processus commerciaux, et prouver leur crédibilité sur les marchés mondiaux.

La version révisée la plus récente de l'ISO 27001 lancée en 2022 signifie que toutes les entreprises certifiées pour la version précédente (ISO 27001:2013) disposent d'une période de transition de trois ans pour passer au nouveau cadre. La nouvelle version comprend 11 nouveaux contrôles pour les organisations, les personnes, les actifs physiques et les technologies.

Qu'est-ce que les tests de pénétration ?

Les tests de pénétration sont une approche de test de sécurité manuelle et complète. Ils impliquent l'utilisation de hackers éthiques (également appelés hackers « chapeau blanc ») qui tentent de pénétrer dans une application ou un système, de trouver des vulnérabilités et de rendre compte de ces lacunes de sécurité – tout cela pour aider les entreprises à comprendre et à corriger les problèmes avant que des hackers réels ne le fassent.

Bien que les tests de pénétration soient généralement effectués en tant qu'évaluation ponctuelle, les entreprises peuvent également opter pour le Penetration Testing as a Service (PTaaS), qui réalise des tests de pénétration plusieurs fois par an et offre des services supplémentaires.

Comment les tests d'intrusion aident les organisations à obtenir la certification ISO 27001 et à renforcer leur posture de sécurité

Les tests d'intrusion peuvent non seulement aider votre organisation à répondre à plusieurs exigences de l'ISO 27001, mais aussi à améliorer votre posture de sécurité globale. Voyons comment ci-dessous.

1. Satisfaire les exigences de contrôle de l'Annexe A

Dans le cadre de l'obtention de votre conformité ISO 27001, vous devrez identifier les risques et vulnérabilités au sein de tous les actifs et systèmes d'information inclus dans votre périmètre de conformité.

Quelques-uns des contrôles que les tests d'intrusion peuvent vous aider à respecter pour l'ISO 27001 incluent :

• Contrôle A.11, qui traite de la sécurité périmétrique physique
• Contrôle A.12.2.1, qui traite des logiciels malveillants et des codes malveillants
• Contrôle A.12.6.1, qui vous demande de mettre en place un processus pour traiter rapidement les vulnérabilités techniques dès qu'elles surviennent.
• Contrôle A.13.2.3, concernant la protection des informations transmises numériquement (dans les réseaux internes et les systèmes de messagerie électronique)
• Contrôle A.14.1, qui exige que les informations transitant par des réseaux publics et dans les transactions de service soient sécurisées.
• Contrôle A.14.2.3, qui exige que les entreprises fassent tester leurs systèmes après chaque changement significatif pour s'assurer qu'il n'y a pas d'impact négatif sur le système
• Contrôle A.16.1.3, qui traite de la notification systématique des faiblesses observées ou suspectées du système
• Contrôle A.18.2.1, qui nécessite un examen indépendant de vos contrôles de sécurité
• Contrôle A.18.2.3, qui demande aux entreprises de revoir régulièrement leurs pratiques et contrôles pour assurer la conformité avec le cadre ISO 27001

2. Comprendre toute votre surface d'attaque

Toutes les démarches de tests d'intrusion commencent par une simulation de modélisation des menaces qui cartographie toute la surface d'attaque de votre application, identifiant ainsi les points d'entrée possibles pour une attaque. Le modèle de menace peut être reconduit avant chaque test d'intrusion si vous avez apporté des changements majeurs, ce qui est aligné avec le Contrôle A.14.2.3.

D'autres tests de sécurité, tels que les analyses de vulnérabilité automatisées, ne prennent pas nécessairement en compte la logique métier de votre application. Cela signifie qu'ils pourraient manquer des vulnérabilités dans les cas d'utilisation majeurs. En moyenne, les analyseurs automatisés n'ont pas réussi à trouver 16 vulnérabilités par conteneur testé. En travaillant avec un testeur d'intrusion, ils peuvent également expliquer leur raisonnement sur pourquoi ils ont adopté une approche de test spécifique, ce qui n'est pas le cas des outils automatisés.

3. Trouver et corriger les vulnérabilités avant qu'elles ne soient exploitées

Il faut en moyenne à une équipe 256 jours pour corriger une vulnérabilité critique. Cela correspond à presque neuf mois d'attente pour qu'un hacker tombe sur un problème qui a une forte probabilité d'être trouvé et des conséquences extrêmes pour votre entreprise. Pour 66 % des petites entreprises, subir une violation les a forcées à fermer leurs portes dans les 6 mois suivant l'incident.

Par contre, un test d'intrusion dure quelques semaines. À chaque pentest, Software Secured trouve en moyenne 26 vulnérabilités. Trouver ces vulnérabilités plus tôt signifie que votre équipe peut patcher plus rapidement aussi.

Une fois que vous avez corrigé vos vulnérabilités de sécurité, faire un nouveau test validera si votre correctif était suffisant. Puis vous recevrez un certificat mis à jour à présenter à votre auditeur et vos fournisseurs pour montrer à quel point vous êtes sécurisé. Cela vous aide à respecter le Contrôle A.16.1.3.

4. Évitez le théâtre de la sécurité et les faux positifs

Le théâtre de la sécurité décrit les mesures de sécurité qui nous donnent l'impression que nous en faisons plus pour notre application que ce que nous faisons réellement. Un bon exemple, malheureusement courant, de théâtre de la sécurité est lorsque les scanners de vulnérabilité automatisés marquent les vulnérabilités comme critiques ou élevées, même si ce n'est pas le cas. En fait, seuls 82 % des résultats fournis par les scanners de vulnérabilités automatisés sont pertinents.

D'un autre côté, les clients des tests de pénétration reçoivent un rapport qui inclut des détails sur la réplication et des suggestions de remédiation pour toutes les vulnérabilités trouvées. Avec ces informations, il n'y a aucune possibilité que des faux positifs se retrouvent dans le rapport final de pentest.

Pour une couche supplémentaire de certitude, tous les rapports Software Secured passent par un processus d'assurance qualité où au moins un autre testeur de pénétration tente de recréer chaque vulnérabilité identifiée pour valider que la découverte est vraie et que les étapes de réplication ont du sens.

5. Réduisez le coût de la remédiation jusqu'à 100 fois

Le coût de la correction d'une vulnérabilité de sécurité au stade de la conception est d'environ 500 $ par problème. Les vulnérabilités trouvées au stade des tests sont 15 fois plus chères que celles trouvées au tout début du cycle de vie du développement logiciel (SDLC). Pire encore, les vulnérabilités au stade de la maintenance sont 100 fois plus chères que celles trouvées au stade de la conception.

Cela signifie que la vulnérabilité moyenne persistante dans un ancien produit logiciel pourrait coûter à votre équipe jusqu'à 50 000 $ par vulnérabilité pour être correctement corrigée. Au fur et à mesure que les systèmes se développent et vieillissent, il devient plus coûteux et difficile de corriger les problèmes de sécurité, notamment lorsque les lacunes en matière de sécurité sont liées à des défauts de conception non sécurisée lors de la construction initiale de l'application.

Inutile de dire que plus tôt vous testez, plus vos coûts de remédiation seront bas. Avec des options de service comme le Test de Pénétration en tant que Service (PTaaS), vous pouvez tester votre application jusqu'à 4 fois par an. Non seulement cela permet de réaliser des économies importantes en matière d'efforts de remédiation et de prouver votre maturité en matière de sécurité à vos clients, mais cela vous aide également à respecter le contrôle A.18.2.3, le contrôle tout-en-un lié à la vérification régulière de vos systèmes pour garantir la sécurité et la conformité.

6. Prouvez votre posture de sécurité à votre auditeur

Évidemment, vous avez besoin d'un moyen de prouver votre posture de sécurité à votre auditeur pour respecter le contrôle A.16.1.3 qui vous demande de faire un examen indépendant de vos contrôles de sécurité. Vous devez également avoir un moyen de signaler chaque lacune de sécurité conformément au contrôle A.14.2.3.

Avec les tests de pénétration, vous obtiendrez un moyen systématique de trouver des vulnérabilités, de les enregistrer (avec des preuves et des étapes de réplication), et des documents pour prouver tout cela. Il existe plusieurs types de documents que vous pouvez obtenir de votre fournisseur de pentest, notamment :

• Un rapport de test de pénétration, qui contient tous les détails sur chaque vulnérabilité. C'est surtout idéal pour vos équipes internes.
• Un certificat de test de pénétration, qui donne un aperçu plus général de votre posture de sécurité et ne détaille pas chaque vulnérabilité. C'est parfait pour le partager avec votre auditeur ou vos fournisseurs d'entreprise.
• Une lettre d'engagement, qui prouve que votre entreprise prévoit de réaliser un test de pénétration dans un avenir proche.

7. Réduisez vos coûts d'assurance cybersécurité

L'assurance cybersécurité (également appelée assurance de responsabilité cybernétique) est exigée par de nombreux fournisseurs qui veulent être assurés qu'ils seront indemnisés en cas de violation ou d'attaque. Le tarif actuel pour l'assurance cybersécurité est d'environ 1 500 $ par an pour 1 million $ de couverture, avec une franchise de 10 000 $.

N'oubliez pas que le coût moyen d'une attaque destructrice était de 5,12 millions de dollars en 2022, ce qui signifie que vous aurez besoin d'un taux beaucoup plus élevé ou d'un compte rempli de liquidités pour payer les avocats, les amendes et couvrir les coûts supplémentaires d'exploitation en cas de violation (en supposant que les hackers ne vous ont pas aussi volé votre argent).

Les tests d'intrusion peuvent réduire considérablement votre risque d'attaque, ce qui rend les compagnies d'assurance cybersécurité plus enclines à vous offrir un tarif réduit. Prouver à votre compagnie d'assurance que vous respectez vos accords de niveau de service (SLA) et que vous n'avez pas de vulnérabilités critiques est un bon point de départ.

8. Améliorez l'efficacité de votre équipe de développement

La première fois que vous travaillez avec un fournisseur de tests d'intrusion, cela peut ne pas se dérouler sans encombre. Au début, votre équipe de développement peut avoir du mal à comprendre comment les vulnérabilités sont intégrées dans l'application et pourquoi il est important de les corriger (plutôt que de produire du nouveau code pour aider l'entreprise à augmenter son chiffre d'affaires).

Au fil du temps, les développeurs comprendront mieux le « pourquoi » et le « comment » des vulnérabilités. Lorsqu'il s'agira d'écrire du nouveau code, ils pourront utiliser ces nouvelles connaissances et, à leur tour, réduire le nombre de vulnérabilités apparaissant dans chacune des phases de conception, de test et de maintenance du SDLC.

Lorsqu'une équipe de développement sait que ses efforts d'assainissement de la sécurité aident l'entreprise à atteindre un objectif commercial principal comme l'obtention de l'ISO 27001, cela contribue à créer des champions de la sécurité et montre à tous les membres de l'équipe comment leur travail impacte directement la croissance commerciale globale de l'entreprise.

Comment Secureframe + Software Secured peuvent aider

Lorsque vous obtenez la conformité, beaucoup de choses se passent en même temps. Et les dépenses associées sont difficiles à avaler, surtout pour une petite entreprise qui essaie juste de développer sa liste de clients d'entreprise.

Les tests d'intrusion peuvent vous aider à augmenter le retour sur investissement de votre conformité à l'ISO 27001 en vous permettant de respecter au moins 9 contrôles requis, d'améliorer l'efficacité globale de votre équipe et de vous fournir les informations nécessaires pour sécuriser votre application. Découvrez l'option Pentest 360 de Software Secured, la plus préférée par les fournisseurs obtenant la conformité ISO 27001 pour la première fois.

L'automatisation de la conformité peut réduire considérablement les autres dépenses associées à la conformité ISO 27001 en rendant l'ensemble du processus plus efficace.

La plateforme d'automatisation de la conformité à la sécurité et à la confidentialité de Secureframe simplifie le processus de construction d'un SGSI conforme, de rédaction de politiques, de collecte de preuves et de gestion des risques, afin que votre équipe puisse se concentrer sur les projets prioritaires. Et notre équipe d'experts internes en conformité fait économiser à nos clients des milliers de dollars en frais de consultants et en évaluations de préparation. Demandez une démo aujourd'hui.