Dans le monde actuel des systèmes de piratage automatisés, des violations de données fréquentes et des réglementations de protection des consommateurs telles que GDPR et PCI DSS, les tests d’intrusion sont désormais une exigence de sécurité essentielle pour les organisations de toutes tailles. Mais que devez-vous rechercher lorsque vous choisissez le bon fournisseur ?
Le grand nombre de fournisseurs peut être décourageant, et en trouver un qui peut fournir un test de haute qualité à un prix raisonnable n’est pas facile. Comment savoir s’ils sont bons ? Quel niveau d’expertise en matière de sécurité a été inclus dans le rapport ? Votre application est-elle sécurisée ou le fournisseur n’a-t-il tout simplement pas trouvé les faiblesses ?
Il n’y a pas de réponses faciles, mais vous pouvez faciliter les choses en posant les bonnes questions dès le départ. Les considérations les plus importantes se répartissent en trois catégories : les certifications, l’expérience et le prix.
Certificats
Les certifications sont le meilleur endroit pour commencer, car elles fournissent un raccourci rapide pour établir la confiance. Les certifications professionnelles disponibles ne manquent pas, mais l’une des plus reconnues est CREST (Council of Registered Ethical Security Testers).
CRÊTE a été mis en place par les principaux cabinets de conseil britanniques en matière de tests d’intrusion précisément pour résoudre ce problème, et c’est maintenant une marque de qualité reconnue internationalement pour une variété de disciplines de cybersécurité.
Vous devez toujours savoir ce qu’il faut rechercher, car CREST a à la fois une certification au niveau de l’entreprise, ainsi que des certifications individuelles où chaque testeur doit passer un examen pour prouver ses compétences. Avoir l’un ne signifie pas que vous avez l’autre.
L’accréditation à l’échelle de l’entreprise (« société membre CREST ») est accordée aux entreprises qui peuvent prouver que leurs politiques, processus et procédures sont à la hauteur. Cela permet aux entreprises de test d’intrusion de montrer qu’elles suivent les bonnes pratiques sur papier et utilisent des méthodologies de test de sécurité appropriées. Cependant, demander à une « entreprise membre du CREST » d’effectuer un test d’intrusion ne garantit pas que le consultant effectuant votre test est lui-même certifié, mais simplement que l’entreprise est moralement obligée de vous fournir un testeur adapté.
Assurez-vous de poser des questions sur le véritable testeur qui effectuera le travail – ont-ils les certifications et l’expérience appropriées ?
Pour cette raison, CREST a également différents niveaux même pour les testeurs individuels, des certificats d’entrée de gamme aux examens pratiques complexes dans différents domaines spécialisés. Il est important d’examiner à la fois le niveau de certification et s’il est spécifique au type de test d’intrusion que vous recherchez. Nous avons décrit ci-dessous les certifications CREST disponibles pour les tests d’intrusion :
Que vous recherchiez un junior, un senior ou un spécialiste dépendra de l’appétit pour le risque de votre organisation. Les gouvernements demandent généralement des spécialistes, les startups avec des profils de risque plus faibles pourraient convenir aux juniors. |
Bien que les certifications soient utiles, elles ne peuvent pas tout couvrir. Il existe de nombreux types de technologie, et vous ne pouvez pas passer un examen pour couvrir chacun d’entre eux. Comme vous pouvez le voir sur le diagramme ci-dessus, il n’y a pas d’examen CREST pour AWS, ni pour les appareils intégrés, ni pour les applications mobiles.
Les testeurs d’intrusion sont comme des médecins ; ils ont un large éventail de connaissances et de compétences, mais il n’y a pas toujours de manuel pour le patient dont vous avez affaire. C’est alors que l’expérience peut entrer en jeu.
Vivre
Un autre facteur important est l’expérience que votre testeur de stylo a à son actif. Plus ils seront exposés, mieux ils seront capables de découvrir un plus large éventail de menaces à la sécurité.
Il est également important de noter que toutes les expériences ne sont pas égales, car certains types de tests peuvent impliquer des compétences spécifiques dans des technologies particulières, comme AWS Cognito ou le protocole de messagerie en temps réel. Assurez-vous que votre fournisseur possède une expérience pertinente dans les technologies avec lesquelles vous travaillez.
N’oubliez pas qu’il n’y a peut-être pas de testeur expérimenté dans toutes les technologies, vous devrez donc peut-être faire preuve de flexibilité. Un bon testeur d’intrusion sera en mesure d’en savoir plus sur la technologie dont vous avez besoin, en se basant sur les compétences et les principes d’autres disciplines, mais il lui faudra peut-être plus de temps pour se familiariser avec la technologie à portée de main. Ce qui pourrait se répercuter sur le prix…
Prix
Lorsque les clients demandent le coût moyen d’un test d’intrusion, c’est comme demander combien de temps dure un bout de ficelle. Cela dépend de ce avec quoi vous travaillez et de la profondeur à laquelle vous devez aller. Imaginez peindre un pont : cela dépend de sa taille et du nombre de couches de peinture que vous voulez. Une seule couche pourrait vous exposer aux éléments.
Demander combien coûte un test d’intrusion, c’est comme demander combien coûterait la peinture d’un pont. Cela dépend de la taille du pont, des facteurs de complication et de la couverture que vous souhaitez obtenir. |
Par conséquent, les tests d’intrusion sont généralement indiqués sur la base d’un «taux journalier» et, très largement, vous pouvez vous attendre à payer entre 800 et 1 500 £.
Les tarifs journaliers varient d’un fournisseur à l’autre en fonction de facteurs tels que la réputation, les certifications, les exigences et l’expérience particulières, bien que des remises puissent être négociées si vous achetez beaucoup de jours (plus de quinze jours seraient considérés comme un test important).
Pour comprendre la durée de votre travail, le fournisseur devra souvent obtenir une démonstration de votre produit ou recueillir des informations sur votre environnement. En règle générale, moins ils posent de questions à ce stade, moins vous avez de chances d’obtenir un travail cité avec précision.
Il n’y a pas non plus de norme en ce qui concerne la portée d’un travail, vous pouvez donc trouver des estimations différentes. Un fournisseur peut définir un travail comme 3 jours de travail et un autre comme 5 jours. Ce sont les meilleures estimations ; il est difficile d’être sûr jusqu’à ce que vous fassiez le travail.
Vous pouvez même acheter des pentests « forfaitaires », mais pour en revenir à l’analogie du pont, vous devriez probablement vous préoccuper de la couverture s’ils l’offrent à un tarif fixe sans demander l’ampleur du travail.
Comme pour tout dans la vie, le prix qui vous est proposé doit refléter la qualité du test de pénétration – mais dans une industrie où la qualité d’un test est difficile à juger, il y a forcément des commerçants malhonnêtes. Posez les bonnes questions et ne négligez pas la diligence raisonnable.
Aller au-delà des tests de pénétration ponctuels
L’utilisation des tests d’intrusion comme seule méthode de détection des vulnérabilités pose des problèmes majeurs.
Tout d’abord, bien qu’ils soient approfondis, les tests d’intrusion ne couvrent qu’un point dans le temps. Avec 20 nouvelles vulnérabilités identifiées chaque jour, les résultats de vos tests d’intrusion risquent d’être obsolètes dès que vous recevrez le rapport.
Non seulement cela, mais les rapports peuvent prendre jusqu’à six mois à produire en raison du travail impliqué, ainsi que plusieurs mois pour digérer et agir.
Ils peuvent être très coûteux – coûtant souvent des milliers de livres à chaque fois.
Alors que les pirates trouvent des méthodes plus sophistiquées pour s’introduire dans vos systèmes, quelle est la meilleure solution moderne pour vous garder une longueur d’avance ?
Afin d’obtenir l’image la plus complète de votre posture de sécurité, vous devez combiner une analyse automatisée des vulnérabilités et des tests d’intrusion menés par l’homme.
Avant-garde des intrus fait exactement cela, en réunissant l’expertise en matière de sécurité et une couverture continue pour trouver ce que les autres scanners ne peuvent pas. Il comble l’écart entre la gestion traditionnelle des vulnérabilités et les tests de pénétration ponctuels, pour fournir une surveillance continue de vos systèmes. Avec les meilleurs professionnels de la sécurité au monde à portée de main, ils approfondiront leurs recherches, trouveront plus de vulnérabilités et fourniront des conseils sur leur impact direct sur votre entreprise pour vous aider à tenir les attaquants à distance.
À propos de l’intrus
Intrus est une société de cybersécurité qui aide les organisations à réduire leur surface d’attaque en fournissant des services continus d’analyse des vulnérabilités et de tests d’intrusion. Le puissant scanner d’Intruder est conçu pour identifier rapidement les failles à fort impact, les modifications de la surface d’attaque et analyser rapidement l’infrastructure à la recherche de menaces émergentes. En exécutant des milliers de vérifications, qui incluent l’identification des erreurs de configuration, des correctifs manquants et des problèmes de couche Web, Intruder rend l’analyse des vulnérabilités de niveau entreprise facile et accessible à tous. Les rapports de haute qualité d’Intruder sont parfaits pour être transmis à des clients potentiels ou pour se conformer aux réglementations de sécurité, telles que ISO 27001 et SOC 2.
Intruder offre un essai gratuit de 30 jours de leur plateforme d’évaluation des vulnérabilités. Visitez leur site Web aujourd’hui pour l’essayer!