Le test d’intrusions (Pentest) doit être le début et non la finalité.
Le test d’intrusions (Pentest) doit être le debut et non la finalité.
Quand on parle de cybersécurité, le test d’intrusions informatiques (communément appelé test de pénétration ou Pentest) apparaît rapidement pour plusieurs responsables TI comme la solution miracle. Est-ce vraiment le cas? D'où vient cette perception?
Qu’est ce qu’un test d’intrusions informatiques?
Le test d’intrusion informatique est un service offert par des firmes de cybersécurité. Lors de ce test, un spécialiste en cybersécurité se met dans la peau d’un pirate informatique qui essaie d’attaquer votre réseau, afin de voir jusqu'où il peut aller (prendre le contrôle de serveurs critiques, accéder à des bases de données sensibles, exfiltrer des données, etc.). A l’issue du test, la firme de cybersécurité vous remet un rapport qui indique les failles et vulnérabilités identifiées dans votre réseau. Elle vous fournit aussi les recommandations pour corriger les problèmes constatés.
Le test d’intrusions peut consister à tester les systèmes accessibles sur Internet (Pentest externe) ou les systèmes internes au réseau (Pentest interne).
L’idée du Pentest est séduisante et obéit à un besoin réel,mais elle crée aussi un biais ou une fausse perception, qui conduit certaines organisations à penser que les pentests sont la solution miracle pour se mettre à l'abri des pirates. C’est ainsi que nous avons déjà entendu des affirmations telles que:
- Cela fait 3 ans que nous faisons des Pentests avec l’une des firmes de cybersécurité les plus réputées au Québec. Ils n’arrivent pas à entrer dans votre réseau. Si avec leur réputation ils n’y arrivent pas, AUCUN pirate ne peut entrer dans notre réseau. Nous sommes blindés
- Nous faisons des Pentests régulièrement et nous corrigeons nos failles. Nous sommes sécurisés
- Lors de notre dernier Pentest, le pentesteur n’a trouvé que des choses mineures, c’est rassurant. Cela veut dire qu’on est bien sécurisé
Evidemment toutes ces affirmations sont erronées. Le comble est que cette fausse perception conduit les organisations à se croire hautement sécurisées et à baisser la garde. Or en matière de cybersécurité, baisser la garde peut être fatal.
L'expérience du Pentesteur et durée du test sont les facteurs clés d’un bon Pentest
La qualité du Pentest dépend beaucoup du niveau d’expertise de celui qui teste votre réseau, ainsi que du temps alloué au test. Pour être reconnu comme étant de qualité, un Pentest doit avoir été réalisé par une personne qui a plusieurs années d'expérience (au moins 3 ans). Il doit aussi avoir réalisé plusieurs Pentests (au moins une dizaine). Oui, l'expérience du Pentesteur sur le terrain est importante, car plus il fait des tests et plus il devient excellent.
Autre facteur clé, la durée du Pentest. Un Pentest acceptable doit se dérouler entre 1 ou 2 semaines, excluant le temps alloué à la rédaction du rapport du test. N’oubliez pas que le pirate qui veut vous attaquer à tout le temps avec lui, élaborer son scénario d’attaque et l'exécuter. Vous devez donc donner un temps raisonnable à votre Pentesteur.
Ce que le Pentest vous offre
Le Pentest est un cliché instantané de la sécurité de votre réseau, qui permet de valider les choses suivantes:
- Si un pirate essaie de vous attaquer dans une période de temps qui correspond à la durée de votre pentest, peut-il entrer dans votre réseau ou non?
- Vous donner une idée des impacts potentielles si un pirate arrive à prendre le contrôle de votre réseau
- Les vulnérabilités et failles les plus évidentes connues qu’un pirate pourrait essayer d’exploiter s’il vous attaque
Ce que le Pentest ne fait pas
- Vous confirmer que votre réseau est totalement blindé contre les pirates. Il faut d’ailleurs noter que les résultats d’un Pentest sont caduques dès le lendemain de sa réalisation. Chaque jour de nouvelles vulnérabilités de sécurité apparaissent et une vulnérabilité majeure facile à exploiter peut apparaître le lendemain de la fin de votre pentest. Un test réalisé le lendemain par le même Pentesteur pourrait donner des résultats complètement différents. Il faut donc voir le Pentest comme un cliché instantané ayant une durée de valider très courte
- Vous indiquer tous les scénarios qu’un pirate pourrait utiliser pour essayer de vous pirater. Le Pentesteur agit comme un pirate et il cherche à entrer dans votre réseau en utilisant le chemin le plus facile pour lui. S’il n’y arrive pas via une première méthode, il essaiera une 2ème, ainsi de suite . Mais dès qu’une méthode donne des résultats positifs, il l'exploite et n’essaiera pas d’autres méthodes. Or il pourrait exister un scénario plus facile que celui que le Pentesteur a utilisé. N’oubliez pas, la qualité d’un Pentest dépend fortement de l'expérience du Pentesteur.
- Vous confirmer que vous ne pouvez pas être piraté. Le Pentest est réalisé pendant une période limitée et les résultats doivent être mis en perspective avec cette durée. Ainsi, si vous faites un Pentest pendant 1 semaine et que le Pentesteur n’arrive pas à entrer dans votre réseau, peut être qu’en 2 semaines, il serait en mesure de vous pirater.
- Vous indiquer toutes les vulnérabilités de sécurité de votre réseau. Le Pentesteur cherche les vulnérabilités les plus faciles à exploiter, comme le ferait un pirate. S’il trouve des vulnérabilités ou failles faciles à exploiter, il s’y focalise.
Fausse perception sur les pentests
Certaines organisations basent leur stratégie de cybersécurité sur la réalisation de Pentests périodiques (1 fois par semestre ou par année). Une fois que les vulnérabilités et failles identifiées lors du Pentest sont corrigées, elles se considèrent comme étant sécurisées. Cette perception qu’on est bien sécurisé après la correction des vulnérabilités identifiées lors du Pentest est fausse pour diverses raisons:
- Une faille critique facilement exploitable peut apparaître dès le lendemain du Pentest, rendant caduque les résultats du Pentest
- Le temps limité alloué au Pentest (1 ou 2 semaine, etc.) ne permet pas au Pentesteur d’explorer toutes les possibilités pour pirater votre réseau.
- Un premier Pentesteur peut ne pas pouvoir pirater votre réseau, tandis qu’un autre pourrait le faire
Le Pentest doit être vu comme le début et non la finalité
Comme nous l’avons vu, un Pentest permet de se faire une idée instantanée du niveau de sécurité d’un réseau informatique. Il vous permet aussi d’avoir une idée des impacts potentiels que vous pourriez subir si vous subissez une intrusion. Enfin, il vous indique les vulnérabilités et failles notables que le Pentesteur a trouvé dans votre réseau, et vous indique les mesures correctrices à appliquer.
Le cliché instantané que vous offre le Pentest doit être considéré comme le début de votre cybersécurité et notre finalité. Vous devez ensuite vous poser les bonnes questions et sortir de la avec un plan d’actions clair qui va guider votre stratégie de cybersécurité. Exemples:
- Si le Pentesteur a trouvé des vulnérabilités de sécurité critiques datant de 2017 dans notre réseau, il apparaît clairement que vous ne disposez pas d’un processus de gestion des vulnérabilités de sécurité. Votre plan d’action doit donc inclure la mise en place d’un processus formel de gestion de vulnérabilités de sécurité et des balayages de vulnérabilités réguliers votre votre réseau (1 fois par trimestre, etc.)
- Si le Pentesteur a trouvé des mots de passe faciles dans votre réseau, c’est surement le moment de créer une politique de gestion des identités et des accès
- Si aucune alerte de sécurité n’a été déclenché lors du Pentest, c’est surement le moment de vous doter de technologie de détection/prévention d’intrusions et surveiller la sécurité de votre réseau
- Etc.
Quelques bonnes pratiques liées aux Pentests
- S’assurer que le Pentesteur assigné à votre Pentest a au moins 3 ans d'expérience et a déjà réalisé plusieurs Pentest
- Ne jamais faire faire votre Pentest par un junior. Les résultats que vous aurez ne seront pas représentatifs de votre situation. Lors des attaques ciblées, ce sont des pirates (très) expérimentés qui risquent de vous attaquer
- Changer périodiquement de firmes de sécurité pour vos Pentests. Ceci vous permet d’avoir un autre point de vue
Enfin, ne pas oublier qu’un Pentest est caduque le lendemain de sa réalisation et que par conséquent vous ne devez jamais baisser la garde. Déployez des capacités de protection, sensibilisez vos utilisateurs, ayez une visibilité à 360 degrés de votre réseau et surveillez sa sécurité 24/7. C’est la clé pour se mettre à l'abri des piratages.
Comment StreamScan peut vous aider?
Streamscan a une longue expérience en matière de tests d’intrusions dans divers domaines tels que les Manufacturiers, Pharmaceutiques, Commerce en detail, etc. Nos experts en Pentests peuvent vous aider à rehausser votre sécurité. Nous nous accompagnons ensuite à définir un plan d’actions qui vous servira de boussole pour définir votre stratégie de cybersécurité corporatif.
Nous pouvons aussi vous aider si vous cherchez des capacités de défense opérationnelles (externalisation de la gestion de votre cybersécurité, monitoring 24/7 de votre sécurité, technologie de détection/prévention d’intrusion, etc.).
Contactez-nous pour en discuter.
Besoin d’aide? StreamScan est là.
Que vous ayez besoin d'aide pour rehausser votre cybersécurité, contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au +1 877 208-9040.