Vous savez que les test d’intrusion constituent un élément important de la sécurité de votre organisation, vous permettant de protéger les informations vitales de vos clients et de sécuriser vos systèmes contre les attaquants. Il est donc primordial de choisir le bon fournisseur de test d’intrusion. Vous voulez une équipe qui découvrira les vulnérabilités critiques de votre système et vous fournira les informations dont vous avez besoin pour renforcer votre sécurité globale.
Voici 5 questions clés à poser à votre prestataire de test d’intrusion:
1. Quelles sont les certifications détenues par vos spécialistes ?
Il existe de nombreuses certifications entest d’intrusion que les spécialistes peuvent utiliser pour affiner leurs compétences. Qu’il s’agisse de CEH (Certified Ethical Hacker), CISSP (Certified Information Systems Security Professional), CCSP (Certified Cloud Security Professional), OSCP (Offensive Security Certified Professional), LPT (Licensed Penetration Tester), chaque certification apporte un nouvel ensemble de compétences et de techniques pour aider les testeurs dans leur évaluation. Avant de choisir votre prestataire de services de test d’intrusion, vous devriez demander quelles sont les certifications de ses spécialistes. Vous aurez ainsi une meilleure idée de l’expertise qu’ils apportent, ainsi que des normes de cybersécurité qu’ils utilisent principalement en tant qu’entreprise. Vous pouvez également demander qui effectuera votre test et quelles sont les certifications détenues, par exemple, par les jeunes membres de l’équipe.
2. Quelles méthodologies de test d’intrusion utilisez-vous ?
Lorsque vous choisissez un prestataire de services detest d’intrusion, vous voulez être sûr qu’il vous fournira des résultats concrets et exploitables. Pour avoir un aperçu de la qualité de leurs tests, vous devez vous renseigner sur leurs méthodes de test. Le choix du bon fournisseur se résume à deux éléments clés :
- L’entreprise a une approche structurée des test d’intrusion. Ils ont des pratiques bien établies et documentées pour identifier de manière efficace et cohérente les vulnérabilités dans n’importe quel test. Vous voulez également vous assurer que le prestataire de services de test d’intrusion ne fera pas planter vos systèmes par erreur en exécutant ses analyses sans précaution ou en utilisant des outils qui polluent votre base de données et provoquent un déni de service.
- L’entreprise utilise un bon mélange d’outils automatisés et de méthodes manuelles. Si l’entreprise n’utilise que des outils automatisés, vous payez en fait pour un test que votre équipe informatique aurait pu effectuer elle-même – et ne vous y trompez pas : Ils ne verront pas les vulnérabilités les plus graves que les pirates pourraient facilement exploiter. En savoir plus sur la façon dont les outils automatisés passent à côté des vulnérabilités critiques identifiées par les tests manuels.
Vous devez également comprendre comment l’entreprise aborde les test d’intrusion dans leur ensemble. Ils peuvent, par exemple, utiliser la méthodologie OSSTMM (Open Source Security Testing Methodology Manual): Un manuel de sécurité révisé par des pairs qui fournit les meilleures pratiques pour l’évaluation de la sécurité des réseaux. Ils peuvent choisir d’utiliser la méthodologie OWASP (Open Web Application Security Project), le cadre le plus reconnu pour la sécurité des applications dans son ensemble. En savoir plus sur les principales méthodologies de test d’intrusion et sur leur importance. Pour tirer le meilleur parti de vos tests, vous devez vous assurer qu’ils s’appuient sur des méthodologies reconnues.
3. Vos tests auront-ils un impact sur nos activités habituelles ?
Les tests d’intrusion, malgré leur nécessité, restent une simulation d’une cyberattaque sur vos systèmes et applications. Selon la rigueur ou l’expérience de votre fournisseur, les tests d’intrusion peuvent entraîner de nombreux désagréments pour votre équipe et des interruptions de service pour vos clients. Vous voulez travailler avec une entreprise qui comprend les risques potentiels, qui a mis en place les mesures nécessaires pour atténuer les impacts des tests et qui travaillera avec vous pour s’assurer qu’il n’y a pas de temps d’arrêt ou de désagrément pendant le test. Vous pouvez également profiter de l’occasion pour informer votre fournisseur de toute zone sensible susceptible de perturber votre activité. Un spécialiste en test d’intrusion expérimenté est censé identifier et exploiter en toute sécurité les vulnérabilités de votre système sans causer de dommages ou de déni de service.
4. Sous-traitez-vous vos projets ?
Lorsque vous travaillez avec une société de test d’intrusion, vous voulez savoir avec qui vous travaillez. Il est fortement recommandé de rechercher une entreprise qui effectue le travail elle-même, plutôt que de le confier à des sous-traitants. Au cours du test, les spécialistes en charge peuvent tomber sur des données très sensibles ou identifier des vulnérabilités qui pourraient avoir un impact important sur votre entreprise. Lorsque les projets sont externalisés, de nombreux défis se posent en matière de confidentialité et de responsabilité. Les fournisseurs de confiance et les entreprises expérimentées qui contrôlent leurs candidats exigent une vérification approfondie des antécédents de chacun de leurs testeurs ; ils utilisent également diverses mesures pour garantir la confidentialité de vos données, la cohérence de leurs produits et la documentation de chaque étape franchie par le spécialiste.
5. Quel est le contenu de votre rapport ?
Le rapport de test d’intrusion est la partie la plus importante de l’évaluation. Pour tirer le meilleur parti de votre investissement, vous devez vous assurer qu’il vous permettra de corriger toutes les vulnérabilités identifiées. Parmi les différents éléments que vous devriez trouver dans un rapport de pentest, vous devriez vous attendre à un résumé du rapport pour les parties prenantes moins au fait des technologies, ainsi qu’à une section technique détaillant l’étendue de chaque vulnérabilité, les étapes à suivre par votre équipe pour les reproduire, et des recommandations adaptées pour les corriger. Un rapport solide comprend également un score d’évaluation des risques qui vous permet de classer chaque vulnérabilité par ordre de priorité et d’élaborer un plan d’action.
6. M’aiderez-vous à remédier à mes faiblesses ?
La découverte de vulnérabilités n’est qu’une partie de ce que vous cherchez à accomplir lors d’un test d’intrusion. Lorsque vous faites appel à un plombier, vous attendez plus qu’un rapport expliquant comment vos canalisations sont bouchées. Pour le test d’intrusion, vous devez faire appel à une entreprise qui non seulement présente ses résultats et formule des recommandations exploitables avec des références externes, mais qui fournit également une assistance post-test pour aider votre équipe à corriger ces vulnérabilités. Il s’agit notamment de tester à nouveau toutes les vulnérabilités critiques/de grande sévérité afin de valider la mise en œuvre des mesures correctives recommandées. Lorsque vous recherchez un fournisseur, n’oubliez pas de lui demander comment il vous aidera à corriger vos vulnérabilités.
En conclusion
Lorsque vous êtes prêt à engager une équipe de testeurs, assurez-vous de poser les bonnes questions pour choisir un fournisseur fiable. En incluant ces questions dans votre processus de sélection, vous choisirez une entreprise qui vous apportera un bon retour sur investissement.