Quels sont les éléments à trouver dans un rapport de test de pénétration?
Avant de s’engager dans un test d’intrusion, les entreprises doivent s’assurer que les services qui leur sont fournis leur permettront d’obtenir des résultats exploitables pour un bon retour sur investissement. Voici 5 éléments que vous devriez trouver dans un rapport de test d’intrusion pour garantir le succès de l’opération :
1. Le résumé
Le résumé fournit une description facile à comprendre des risques identifiés et de leur impact potentiel (financier et autre) sur l’entreprise testée. Le résumé doit notamment fournir une description complète, incisive et accessible à toutes les parties prenantes, y compris celles qui ne sont pas compétentes sur le plan technique. À la lecture du résumé, toutes les parties prenantes devraient avoir une idée de l’ampleur du problème et des meilleures solutions pour y remédier.
Votre tentative de renforcer la sécurité de votre entreprise contre les cyberattaques aura échoué si les résultats des tests ne sont compris que par votre équipe informatique, principalement parce qu’elle n’est pas en mesure de prendre certaines des décisions nécessaires pour aller de l’avant avec les solutions. En d’autres termes, si votre équipe dirigeante sort de votre processus de test d’intrusion confuse, avec plus de questions que de réponses, elle ne sera pas en mesure de décider si les solutions proposées valent l’investissement en temps et en argent.
Le résumé doit être rédigé dans un langage clair et concis, sans utiliser de jargon technique. Tous les termes techniques utilisés doivent être clairement définis de manière à ce que les cadres de la suite puissent les comprendre. Enfin, un résumé solide comprend généralement des tableaux et des graphiques récapitulatifs qui sont utiles à tous les lecteurs.
2. Détails techniques des vulnérabilités
La description des failles de sécurité comprend nécessairement des détails techniques sans lesquels les informaticiens ne disposeraient pas d’indications suffisantes pour créer des solutions efficaces, mais ces détails doivent être contextualisés et clairement expliqués afin que tous les lecteurs puissent comprendre la nature des risques. Souvent, cette section du rapport de test d’intrusion décrit précisément les risques en termes techniques, en incluant des preuves des vulnérabilités et une démonstration permettant à l’équipe de reproduire et de mieux comprendre les vulnérabilités.
Les vulnérabilités sont souvent réparties en quelques catégories, telles que
- Catégorie de la vulnérabilité
- Gravité et niveau de priorité
- Score CVSS (système commun d’évaluation des vulnérabilités)
Par exemple, si une entreprise de soins de santé est vulnérable en raison des fichiers téléchargés via son portail, il ne suffit pas de décrire le processus technique par lequel l’attaque pourrait avoir lieu, en se référant à des éléments tels que l’exécution d’un « code arbitraire à distance ». Il doit également contenir des termes qui expliquent clairement ce que cela signifie pour l’entreprise (en utilisant des exemples concrets, tels que « cela signifie que les pirates informatiques, agissant en tant qu’administrateurs, pourront consulter les dossiers médicaux de n’importe quel utilisateur »). En d’autres termes, la description de l’impact sur l’entreprise est d’une importance capitale pour l’utilité du rapport.
3. L’impact potentiel des vulnérabilités et le niveau de risque qui leur est associé
Cette section du rapport doit décrire à la fois la probabilité des différents risques auxquels votre entreprise est confrontée et l’impact possible de chaque vulnérabilité sur votre entreprise (comme indiqué ci-dessus, le niveau de risque doit être clairement contextualisé et présenté dans un langage concis). En ce qui concerne le niveau de risque, chaque vulnérabilité doit être présentée avec son niveau de priorité respectif afin qu’elle puisse être atténuée en fonction du risque qu’elle représente – en d’autres termes, certains risques sont plus graves et ont plus d’impact que d’autres.
4. Solutions pour remédier aux vulnérabilités
Le rapport du test d’intrusion doit, bien entendu, présenter une description générale de la meilleure façon de remédier (en d’autres termes, de corriger) à chaque vulnérabilité. Mais il est également important que cette description soit adaptée aux besoins spécifiques de votre entreprise.
Par exemple, si votre entreprise dépend d’un serveur web donné, il n’est pas raisonnable que le rapport vous suggère de vous en débarrasser et de repartir de zéro. Les solutions proposées doivent tenir compte de ce qui est réaliste pour votre entreprise – et de ce qui ne l’est pas. C’est pourquoi un rapport de test d’intrusion efficace présentera plusieurs solutions de remédiation, chacune contenant suffisamment de détails pour que votre équipe informatique puisse résoudre le problème, rapidement et efficacement, en faisant appel à des ressources externes en fonction de chaque risque identifié.
5. Méthodologies utilisées
Il est important, en particulier pour votre personnel informatique, de comprendre les méthodes employées pour effectuer des test d’intrusion. Pour commencer, les tests peuvent être manuels ou automatisés.
Comme son nom l’indique, le test d’intrusion manuel est effectué par un être humain, en l’occurrence un ingénieur expert. Les tests manuels impliquent généralement des méthodologies, notamment la collecte de données, l’évaluation des vulnérabilités, l’exploitation réelle (au cours de laquelle le testeur lance une attaque pour révéler les vulnérabilités) et la présentation du rapport. Les tests manuels peuvent être soit ciblés (recherche de vulnérabilités spécifiques (limitées)), soit complets.
Les test d’intrusion automatisés sont plus rapides, plus efficaces, moins chronophages et généralement plus fiables. Les tests automatisés peuvent être réalisés à l’aide de plusieurs normes renommées ou de normes développées en interne. Parmi les normes disponibles, on peut citer
- OWASP (Open Web Application Security Project)
- OSSTMM (Open Source Security Testing Methodology Manual) et
- NIST (Institut national des normes et de la technologie)
En conclusion
Lorsque ces cinq éléments sont clairement présentés et logiquement organisés, le rapport de test d’intrusion peut atteindre efficacement ses objectifs : Informer les dirigeants sur la sécurité de leur entreprise, conseiller les responsables informatiques sur les risques à atténuer et guider les membres du personnel informatique vers des solutions réalisables. Toute entreprise réputée, spécialisée dans les test d’intrusion, doit fournir à ses clients un rapport complet qui leur permet de combler les lacunes en matière de sécurité afin de garantir la tranquillité d’esprit et de prévenir d’éventuelles attaques préjudiciables.
Pour en savoir plus sur la façon dont nos tests de pénétration à la pointe de la technologie test d’intrusionles audits de sécurité et les services de cybersécurité peuvent protéger votre entreprise contre les cyberattaques, demandez dès aujourd’hui une consultation avec un spécialiste certifié.
