Pentests vs Scans de vulnérabilités
Pentests vs scans de vulnérabilités
Les tests d’intrusions et les balayages (scans) de vulnérabilités sont 2 activités de cybersécurité opérationnelles couramment pratiquées dans les organisations. Elles sont souvent confondues à tort et il arrive que des responsables TI se demandent quelle option est la plus adaptée à leur contexte.
Dans ce blog, nous allons démystifier ces 2 activités.
Scans de vulnérabilités
L’objectif du scan de vulnérabilités est d’identifier s’il ya des failles de sécurité significatives dans votre réseau qui pourraient être potentiellement exploitées par un pirate pour entrer dans un réseau.
Pour cela, on va réaliser un test via un outil automatisé appelé scanneur (ou balayeur) de vulnérabilités de sécurité). Il existe des scanneurs de vulnérabilités pour les systèmes d’exploitation (ex: NESSUS, OpenVAS, etc.) et pour les applications web (Acunetix, Burp Suite, etc.).
À la fin du balayage de vulnérabilité, l’outil vous génère un rapport qui indique les vulnérabilités trouvées dans votre réseau ainsi que leur niveau de sévérité (généralement de 1-faible à 10-critique). Vous devez corriger rapidement les vulnérabilités de niveau de sévérité Élevé ou Critique.
Le hic avec les scans de vulnérabilités c’est qu’ils vous listent toutes les vulnérabilités trouvées dans votre réseau. Le rapport généré peut contenir des centaines de pages! Il vous revient de sélectionner les vulnérabilités que vous voulez corriger car il n’est pas réaliste de toutes les corriger.
Si vous n’avez pas l’expertise en interne, faites vous accompagner par une firme externe. Cela vous permettra de vous concentrer uniquement sur la correction des vulnérabilités les plus significatives.
Tests d'intrusion ou Pentest
Lors d’un test d’intrusion, un spécialiste en cybersécurité (Pentesteur) se met dans la peau d’un pirate informatique qui essaie d’attaquer votre réseau, afin de voir jusqu'où il peut aller : prendre le contrôle de serveurs critiques, accéder à des bases de données sensibles, exfiltrer des données, etc. Un temps est alloué au Pentesteur pour faire son travail.
Le test d’intrusions peut consister à tester les systèmes accessibles sur Internet (Pentest externe) ou les systèmes internes au réseau (Pentest interne).
Le test d’intrusions peut être fait par une ressource interne ou une firme de cybersécurité externe.
À l’issue du test d’intrusion, la firme de cybersécurité vous remet un rapport qui indique les failles et vulnérabilités identifiées dans votre réseau. Il indique aussi si les failles ont été exploitées par le Pentesteur et jusqu'où ce dernier est allé (piratage d’un serveur, accès à une base de données sensible, etc.). Le rapport fournit aussi des recommandations pour corriger les problèmes constatés.
Noter que la qualité d’un test d’intrusion dépend fortement de l'expérience de celui qui le réalise.
Pentest ou Scan de vulnérabilités?
Ce tableau vous permet de faire un choix selon votre objectif.
Scan de vulnérabilités | Test d’intrusion (Pentest) | |
Identifier les vulnérabilités de sécurité de votre réseau | OUI | OUI |
Tenter d’exploiter les vulnérabilités pour entrer dans votre réseau | NON | OUI |
Avoir une idée des conséquences d’une attaque (jusqu'où peut aller un pirate qui vous attaque) | NON | OUI |
Durée | 1 à 3j | Plusieurs jours ou semaines |
Rapport de test indiquant les vulnérabilités et les mesures de correction | OUI | OUI |
Coûts | FAIBLE/MOYEN | Environ 3 fois le coût d’un scan de vulnérabilités |
Fréquence de réalisation recommandée | 4 fois par année | 2 fois par année |
Notez que les scans de vulnérabilités et les pentests sont complémentaires. La combinaison gagnante est la réalisation des deux de façon périodique.
Comment StreamScan peut vous aider?
Streamscan a une longue expérience en matière de tests d’intrusions et balayages de vulnérabilités. Nos experts en Pentests peuvent vous aider à rehausser votre sécurité. Nous nous accompagnons ensuite à définir un plan d’actions qui vous servira de boussole pour définir votre stratégie de cybersécurité corporatif.
Nous pouvons aussi vous aider si vous cherchez des capacités de défense opérationnelles (externalisation de la gestion de votre cybersécurité, monitoring 24/7 de votre sécurité, technologie de détection/prévention d’intrusion, etc.).
Parlez à l'un de nos experts ou appelez-nous au +1 877 208-9040.