Compte tenu du nombre croissant des cyberattaques dans le monde (plus de 467,000 plaintes ont été repertoriées par le Centre de plaintes pour les cybercrimes du FBI en 2019), il n’est pas surprenant que les organisations investissent de plus en plus de ressources dans des mesures de sécurité. Leurs opérations quotidiennes reposent de plus en plus sur les technologies numériques et le nombre des systèmes critiques déployés sur l’internet sont en augmentation fulgurante. À mesure que les organisations deviennent dépendantes de ces technologies, les dépenses mondiales en produits et services de sécurité de l’information ont augmenté pour atteindre 114 milliards de dollars en 2018, et devraient dépasser 133 milliards de dollars d’ici 2022.
Trois tests cruciaux sont utilisés pour tester et valider l’infrastructure de sécurité d’une entreprise : les tests d’intrusion, les balayages de vulnérabilités et les exercises Red team. Beaucoup d’organisations ne saisissent pas la nuance qui réside entre ces trois techniques, car elles présentent certaines similitudes. Dans cet article, nous allons discuter de l’objectif principal pour chaque type de test et l’utilisation propre à chacun.
Balayage de Vulnérabilités
Contrairement aux tests d’intrusion qui nécessitent une intervention humaine à tous les niveaux, les balayages de vulnérabilités sont entièrement automatisés. Ils sont conçus pour vérifier les vulnérabilités connues associées aux technologies utilisées par une entreprise. Ces outils sont souvent utilisées par les équipes informatiques pour identifier les erreurs de configurations et les systèmes qui n’ont pas été mis à jour présentant des vulnérabilités connues. Ils ont tendance à être confondus avec les tests d’intrusion, car les deux effectuent tous une série de vérifications basées sur le standard CVE, mais les balayages automatisés fournissent une évaluation beaucoup moins détaillée qui ne contextualise pas l’existence des vulnérabilités dans l’environnement ciblé. Généralement, ces évaluations sont effectués uniquement sur les réseaux et leurs composantes, mais certains types d’analyses peuvent également être utilisés sur les applications, bien qu’ils soient beaucoup moins efficaces.
Test d’Intrusion
L’objectif principal d’un test d’intrusion est d’identifier et de fournir des preuves que chaque vulnérabilité existe au sein de l’infrastructure de sécurité d’une entreprise. Ils cherchent aussi à déterminer l’impact tangible d’une faille de sécurité sur l’organisation ou ses utilisateurs. Contrairement aux balayages de vulnérabilités, les tests d’intrusion comportent toujours un facteur humain. Les testeurs reproduisent les techniques utilisées par les pirates et exploitent en toute sécurité les vulnérabilités afin de déterminer exactement ce qui pourrait se passer si un pirate exploitait chaque vulnérabilité. Par exemple, un spécialiste tentera d’exploiter des failles complexes de logique applicative (la façon dont une application traite une action donnée) pour contourner l’autorisation dans une application, une évaluation qu’un balayage de vulnérabilité est incapable d’effectuer. En exploitant chaque vulnérabilité, le spécialiste pourra attribuer un niveau de risque en fonction de la facilité avec laquelle les pirates peuvent les exploiter et de leur impact potentiel sur l’entreprise.
Les pentests aident les organisations à répondre à des questions clés, telles que:
- De quelle façon un attaquant ciblerait-il nos systèmes?
- Quelles failles de sécurité pourrait-il réellement exploiter ?
- Que pourrait réaliser l’attaquant en exploitant chaque vulnérabilité ?
- Pourrait-il accéder à des données sensibles ?
Pour la plupart, ce type d’évaluation est conçu pour découvrir de nouvelles vulnérabilités, ou celles qui sont spécifiques à l’environnement de l’entreprise, tout en s’assurant qu’il n’y a pas de “faux positifs”. Les entreprises peuvent ainsi se fier aux recommandations des spécialistes pour utiliser efficacement leurs ressources tout en mettant en œuvre des mesures qui sécurisent correctement leurs systèmes. En comparaison avec les évaluations de vulnérabilité, ce type de test est beaucoup plus approfondi et fournit une point de vue fiable quant aux risques de cybersécurité auxquels l’organisation est confrontée. Il s’appuie sur des techniques manuelles combinées à des outils spécialisés afin d’optimiser leur temps, offrant ainsi la perspective réelle d’un attaquant.
Red Team
Les exercises Red Team sont très similaires aux tests d’intrusion, car ils font largement appel à “l’élément humain” pour découvrir les vulnérabilités. Cependant, l’objectif principal d’une évaluation Red Team est de tester les capacités globales de détection et de réaction de l’organisation, ainsi que toutes les mesures de sécurité mises en place. En d’autres termes, cette simulation ne se contente pas de tester les contrôles informatiques d’une entreprise, mais déterminent également l’état de préparation à la sécurité de son personnel, de ses processus et de ses installations. Elle cible tous les systèmes que le spécialiste peut trouver pendant l’évaluation et reproduit une cyberattaque réelle à grande échelle.
Un exercise Red Team est généralement coordonné avec une seule partie prenante clé de l’entreprise, comme le directeur informatique ou un vice-président, sans informer son équipe informatique qu’un exercice est en cours. Sans avoir le temps de se préparer à une attaque, l’équipe informatique doit réagir à la simulation comme elle le ferait à un événement réel. Cela permet à la direction de l’entreprise de déterminer la robustesse de ses mesures et pratiques de sécurité actuelles. Un cas d’utilisation courant pour cette évaluation est lors d’une fusion d’entreprises, où l’entreprise principale veut évaluer la cybersécurité de la nouvelle filiale à l’insu de son équipe informatique.
Alors que les tests d’intrusion sont généralement mieux adaptés aux organisations moins matures en terme de sécurité, les Red Teams sont souvent initiés par des entreprises qui ont mis en place des processus et une infrastructure de sécurité mature et bien définie.
En Conclusion
En résumé, les trois tests évoqués ci-dessus jouent un rôle crucial dans la protection de votre infrastructure informatique contre les attaques malveillantes, mais ils doivent être utilisés dans des contextes différents. Par exemple :
- Les tests d’intrusion révèlent des vulnérabilités que les pirates pourraient exploiter dans le monde réel et prouvent leur impact par des preuves concrètes.
- Les balayages de vulnérabilités fournissent une vue d’ensemble de vos systèmes inadéquatement configurés et qui n’ont pas été mis à jour, avec les vulnérabilités communes associées à chaque technologie.
- Les simulations Red Team déterminent l’efficacité avec laquelle vos systèmes, votre personnel informatique et vos mesures de sécurité réagiront à une attaque réelle.
Chacune de ces évaluations alimente le processus d’analyse des cyber risques et peut vous aider à déterminer les contrôles les mieux adaptés à votre entreprise, ainsi que les meilleures pratiques à mettre en œuvre. Il est donc essentiel de comprendre les différences entre ces techniques et de les combiner dans une stratégie de gestion des risques consolidée afin d’utiliser chacune d’entre elles de manière efficace. Ainsi, vous réduirez considérablement les risques qu’un attaquant compromette votre système tout en maximisant votre budget de cybersécurité.
