Toute organisation qui gère des données sensibles doit faire preuve de diligence dans ses efforts de sécurité, ce qui inclut des tests d’intrusion réguliers. Même une petite violation de données peut entraîner des dommages importants pour la réputation et les résultats d’une organisation.
Il existe deux raisons principales pour lesquelles des tests d’intrusion réguliers sont nécessaires pour le développement d’applications Web sécurisées :
- Sécurité: Les applications Web évoluent constamment et de nouvelles vulnérabilités sont découvertes en permanence. Les tests d’intrusion aident à identifier les vulnérabilités qui pourraient être exploitées par des pirates et vous permettent de les corriger avant qu’elles ne causent des dommages.
- Conformité: Selon votre secteur d’activité et le type de données que vous traitez, vous devrez peut-être vous conformer à certaines normes de sécurité (par exemple, PCI DSS, NIST, HIPAA). Des tests d’intrusion réguliers peuvent vous aider à vérifier que vos applications Web respectent ces normes et à éviter les sanctions en cas de non-conformité.
À quelle fréquence devez-vous pentester ?
De nombreuses organisations, grandes et petites, avoir un cycle de test de stylo une fois par an. Mais quelle est la meilleure fréquence pour les tests d’intrusion ? Une fois par an suffit-il ou faut-il être plus fréquent ?
La réponse dépend de plusieurs facteurs, notamment du type de cycle de développement dont vous disposez, de la criticité de vos applications Web et du secteur dans lequel vous évoluez.
Vous devrez peut-être effectuer des tests de pénétration plus fréquents si :
Vous avez un cycle de publication agile ou continu
Les cycles de développement agiles se caractérisent par des cycles de publication courts et des itérations rapides. Cela peut rendre difficile le suivi des modifications apportées à la base de code et augmente la probabilité que des vulnérabilités de sécurité soient introduites.
Si vous ne testez qu’une fois par an, il y a de fortes chances que les vulnérabilités ne soient pas détectées pendant de longues périodes. Cela pourrait laisser votre organisation vulnérable aux attaques.
Pour atténuer ce risque, les cycles de test d’intrusion doivent s’aligner sur le cycle de développement de l’organisation. Pour les applications Web statiques, des tests tous les 4 à 6 mois devraient suffire. Mais pour les applications Web qui sont mises à jour fréquemment, vous devrez peut-être tester plus souvent, par exemple une fois par mois ou même une fois par semaine.
Vos applications Web sont critiques pour l’entreprise
Tout système essentiel aux opérations de votre organisation doit faire l’objet d’une attention particulière en matière de sécurité. En effet, une violation de ces systèmes pourrait avoir un impact dévastateur sur votre entreprise. Si votre organisation dépend fortement de ses applications Web pour faire des affaires, tout temps d’arrêt pourrait entraîner des pertes financières importantes.
Par exemple, imaginons que le site de commerce électronique de votre organisation tombe en panne pendant une heure en raison d’une attaque DDoS. Non seulement vous perdriez des ventes potentielles, mais vous devriez également faire face au coût de l’attaque et à la publicité négative.
Pour éviter ce scénario, il est important de s’assurer que vos applications Web sont toujours disponibles et sécurisées.
Les applications Web non critiques peuvent généralement être testées une fois par an, mais les applications Web critiques pour l’entreprise doivent être testées plus fréquemment pour s’assurer qu’elles ne risquent pas une panne majeure ou une perte de données.
Vos applications Web sont orientées client
Si toutes vos applications Web sont internes, vous pourrez peut-être vous en sortir moins fréquemment avec des tests d’intrusion. Cependant, si vos applications Web sont accessibles au public, vous devez faire preuve de plus de diligence dans vos efforts de sécurité.
Les applications Web accessibles au trafic externe sont plus susceptibles d’être ciblées par des attaquants. En effet, il existe un plus grand nombre de vecteurs d’attaque et davantage de points d’entrée potentiels à exploiter pour un attaquant.
Les applications Web destinées aux clients ont également tendance à avoir plus d’utilisateurs, ce qui signifie que toute vulnérabilité de sécurité sera exploitée plus rapidement. Par exemple, une vulnérabilité de script intersite (XSS) dans une application Web externe comptant des millions d’utilisateurs pourrait être exploitée quelques heures après avoir été découverte.
Pour se protéger contre ces menaces, il est important de tester plus fréquemment les applications Web destinées aux clients que les applications internes. Selon la taille et la complexité de l’application, vous devrez peut-être effectuer un test d’intrusion tous les mois, voire toutes les semaines.
Vous êtes dans une industrie à haut risque
Certaines industries sont plus susceptibles d’être ciblées par des pirates en raison de la nature sensible de leurs données. Les organisations de santé, par exemple, sont souvent ciblées en raison des informations de santé protégées (PHI) qu’elles détiennent.
Si votre organisation se trouve dans un secteur à haut risque, vous devriez envisager d’effectuer des tests d’intrusion plus fréquemment pour vous assurer que vos systèmes sont sécurisés et conformes à la réglementation. Cela vous aidera à protéger vos données et à réduire les risques d’incident de sécurité coûteux.
Cela peut sembler contre-intuitif, mais si vous n’avez pas d’équipe de sécurité interne, vous devrez peut-être effectuer des tests d’intrusion plus fréquemment.
Les organisations qui ne disposent pas de personnel de sécurité dédié sont plus susceptibles d’être vulnérables aux attaques.
Sans équipe de sécurité interne, vous devrez vous fier à des testeurs de stylo externes pour évaluer la posture de sécurité de votre organisation.
Selon la taille et la complexité de votre organisation, vous devrez peut-être effectuer un test d’intrusion tous les mois, voire toutes les semaines.
Vous vous concentrez sur les fusions ou acquisitions
Lors d’une fusion ou d’une acquisition, il y a souvent beaucoup de confusion et de chaos. Cela peut rendre difficile le suivi de tous les systèmes et données qui doivent être sécurisés. Par conséquent, il est important d’effectuer des tests d’intrusion plus fréquemment pendant ces périodes pour s’assurer que tous les systèmes sont sécurisés.
Les fusions et acquisitions signifient également que vous ajoutez de nouvelles applications Web à l’infrastructure de votre organisation. Ces nouvelles applications peuvent présenter des failles de sécurité inconnues susceptibles de mettre en danger l’ensemble de votre organisation.
En 2016, Marriott a acquis Starwood sans savoir que des pirates avaient exploité une faille dans le système de réservation de Starwood deux ans plus tôt. Plus de 500 millions de dossiers clients ont été compromis. Cela a placé Marriott dans l’eau chaude avec le chien de garde britannique ICO, entraînant des amendes de 18,4 millions de livres au Royaume-Uni. Selon Bloomberg, il y a plus de problèmes à venir, car le géant hôtelier pourrait « faire face à jusqu’à 1 milliard de dollars d’amendes réglementaires et de frais de justice ».
Pour se protéger contre ces menaces, il est important d’effectuer des tests d’intrusion avant et après une acquisition. Cela vous aidera à identifier les problèmes de sécurité potentiels afin qu’ils puissent être résolus avant la fin de la transition.
L’importance des tests de stylo continus
Bien que les tests d’intrusion périodiques soient importants, ils ne suffisent plus dans le monde d’aujourd’hui. Alors que les entreprises s’appuient davantage sur leurs applications Web, les tests d’intrusion en continu deviennent de plus en plus importants.
Il existe deux principaux types de test d’intrusion : limité dans le temps et continu.
Les tests d’intrusion traditionnels sont effectués selon un calendrier défini, par exemple une fois par an. Ce type de test d’intrusion ne suffit plus dans le monde d’aujourd’hui, car les entreprises s’appuient davantage sur leurs applications Web.
Le test d’intrusion continu est le processus d’analyse continue de vos systèmes à la recherche de vulnérabilités. Cela vous permet d’identifier et de corriger les vulnérabilités avant qu’elles ne puissent être exploitées par des attaquants. Les tests d’intrusion continus vous permettent de trouver et de résoudre les problèmes de sécurité comme ils arrivent au lieu d’attendre une évaluation périodique.
Les tests d’intrusion continus sont particulièrement importants pour les organisations qui ont un cycle de développement agile. Étant donné que le nouveau code est déployé fréquemment, il y a plus de chances que des vulnérabilités de sécurité soient introduites.
Les tests de stylet en tant que modèles de service sont là où brillent les tests de stylet continus. Outpost24’s Plateforme PTaaS (Penetration-Testing-as-a-Service) permet aux entreprises d’effectuer facilement des tests de pénétration continus. La plate-forme Outpost24 est toujours à jour avec les dernières menaces et vulnérabilités de sécurité d’une organisation, vous pouvez donc être sûr que vos applications Web sont sécurisées.
- Pen test manuel et automatisé : La plate-forme PTaaS d’Outpost24 combine des tests de stylet manuels et automatisés pour vous offrir le meilleur des deux mondes. Cela signifie que vous pouvez trouver et corriger les vulnérabilités plus rapidement tout en bénéficiant des analyses d’experts.
- Fournit une couverture complète : La plate-forme d’Outpost24 couvre toutes les vulnérabilités du Top 10 OWASP et plus encore. Cela signifie que vous pouvez être sûr que vos applications Web sont sécurisées contre les dernières menaces.
- Est rentable: Avec Outpost24, vous ne payez que les services dont vous avez besoin. Cela rend plus abordable la réalisation de tests de pénétration continus, même pour les petites entreprises.
L’essentiel
Des tests d’intrusion réguliers sont essentiels pour le développement d’applications Web sécurisées. En fonction de la taille, de l’industrie et du cycle de développement de votre organisation, vous devrez peut-être revoir votre programme de tests d’intrusion.
Un cycle de test d’intrusion une fois par an peut suffire pour certaines organisations, mais pour la plupart, ce n’est pas le cas. Pour les applications Web critiques, destinées aux clients ou à fort trafic, vous devriez envisager des tests d’intrusion continus.
Plateforme PTaaS d’Outpost24 rend facile et rentable la réalisation de tests au stylo en continu. Contactez-nous dès aujourd’hui pour en savoir plus sur notre plateforme et comment nous pouvons vous aider à sécuriser vos applications Web.