Les tests d’intrusion sont incroyablement pertinents pour la cybersécurité de votre entreprise. Cependant, comme tout autre chose, il est important de concilier le coût d’un test d’intrusion et le retour sur l’investissement. Malheureusement, il est parfois difficile de répondre directement à la question d’un simple coup d’œil rapide au site Web d’une entreprise de cybersécurité, car il y a tellement de facteurs qui entrent en jeu pour déterminer le coût d’un test d’intrusion.
Voici 5 facteurs qui déterminent le coût d’un test d’intrusion:
1. La portée du projet et le niveau d’effort requis
En termes simples, les tests de plus grande envergure nécessitent plus de temps de la part du spécialiste en test d’intrusion et, par conséquent, sont plus coûteux. Cela peut sembler assez simple, mais il existe une multitude d’éléments qui influent sur la taille d’un projet et sur les efforts requis pour réaliser le test d’intrusion. Voici quelques-uns des principaux facteurs qui peuvent influer sur les efforts requis pour divers types de tests d’intrusion.
Les efforts requis pour un test d’intrusion réseau varieront considérablement en fonction du volume d’adresses IP et de serveurs internes ciblés par le test. Le prix sera également affecté par le nombre d’appareils sur le réseau, ce qui nécessite une analyse plus approfondie par le spécialiste pour déterminer l’impact complet qu’une vulnérabilité pourrait avoir sur le réseau.
Pour un test d’intrusion d’Applications Web, les efforts varient grandement en fonction des fonctionnalités disponibles sur l’application et des technologies qui ont permis de la développer. Par exemple, une application Web avec une fonction d’authentification qui traite également les paiements par carte de crédit exigera plus d’efforts qu’une application sans l’une ou l’autre de ces fonctions. Aussi, une application offrant une variété de fonctionnalités tout autant pour un utlisateur authentifié qu’un utilisateur non-authentifié, le test peut également nécessiter plusieurs phases pour s’assurer que chaque scénario d’exploitation ait été testé.
En outre, dans certains cas, des tests avancés tels que les tests d’intrusion SCADA / ICS peuvent exiger la présence d’un spécialiste sur place pour tester des composants et des dispositifs qui ne peuvent pas être accessibles ailleurs. Par exemple, un spécialiste en test d’intrusion pourrait avoir besoin d’être présent dans vos installations pour valider que votre réseau industriel est correctement segmenté et qu’il ne peut pas être potentiellement piraté par des acteurs malveillants, que ce soit de l’intérieur de votre entreprise ou de l’extérieur.
De plus, d’autres facteurs, notamment l’état du système ciblé, pourraient aussi influer sur le coût du test d’intrusion. Par exemple, un réseau industriel actuellement en production ne pouvant pas être reproduit dans un environnement de test exigera des spécialistes plus de vigilance dans leur approche. Dans certains cas, cette limitation les forcera à utiliser des techniques spécifiques qui ne compromettront pas l’intégrité du système et qui ne risqueront pas de causer d’interruption dans la chaîne de production, ce qui exigera davantage d’efforts à long terme pour effectuer le test d’intrusion.
2. L’approche (automatisé vs manuel)
L’approche utilisée au cours d’un test d’intrusion est l’un des principaux facteurs qui déterminera le temps consacré à l’analyse. Les tests automatisés sont souvent considérés comme une solution peu coûteuse pour effectuer des tests d’intrusion, mais les deux sont effectués dans des contextes différents et ne devraient pas être interprétés à tort comme des équivalents, car ils donnent des résultats complètement différents.
Les tests automatisés
Les tests d’intrusion automatisés, également connus sous le nom d’analyses de vulnérabilité ou de scanners de vulnérabilité, sont peu coûteux et efficaces pour identifier les erreurs courantes de configuration, les logiciels qui ne sont pas tenus à jour et les vulnérabilités connues au sein de vos systèmes. Les analyses de vulnérabilité fournissent une liste des vulnérabilités connues associées aux technologies disponibles dans votre écosystème, ce qui crée souvent des faux positifs ou des faux négatifs qui sont considérés comme étant exacts par les équipes TI. Une mauvaise interprétation de ces faux positifs pourrait entraîner une perte de temps et de ressources pour votre équipe informatique qui tentera de corriger une vulnérabilité inexistante ou aillant peu ou pas d’impact sur la sécurité réelle de votre entreprise. Par conséquent, les analyses automatisées, bien que peu coûteuses et efficaces pour identifier les erreurs courantes, ne doivent pas être votre seul recours pour valider la sécurité de vos systèmes.
Les tests manuels
Les tests d’intrusion manuels vont au-delà de l’identification des vulnérabilités. Un test d’intrusion manuel vise à valider l’existence des vulnérabilités dans vos systèmes et les exploite pour fournir des preuves de leur impact potentiel sur votre entreprise. Cette approche exige une connaissance approfondie de divers langages de programmation, technologies et environnements afin d’exploiter les vulnérabilités en utilisant des techniques et des outils avancés utilisés par les pirates informatiques. De ce fait, l’entreprise pourra mieux évaluer l’impact direct qu’un pirate informatique pourrait avoir s’il exploitait cette vulnérabilité. Ces tests s’appuient sur des méthodologies reconnues, y compris l’OSSTMM ou l’OWASP, pour mieux comprendre les vulnérabilités au sein de votre système et les façons dont elles pourraient être exploitées. En raison de leur nature, les tests manuels nécessitent beaucoup plus de temps et d’engagement de la part du spécialiste en test d’intrusion que les tests automatisés. De ce fait, vos intervenants peuvent compter sur les résultats d’un test d’intrusion manuel pour prendre des décisions qui protégeront leurs systèmes des cyberattaques, garantissant ainsi un retour direct sur leur investissement.
3. Les objectifs que vous cherchez à atteindre
Le coût d’un test d’intrusion peut également varier considérablement en fonction des objectifs spécifiques qu’une entreprise prévoit atteindre avec ces tests.
Par exemple, les exigences réglementaires de la norme PCI-DSS, qui prévoient des tests d’intrusion annuels, exigent la preuve que toute vulnérabilité exploitable dans les systèmes de traitement des cartes ait été éliminée de façon appropriée. Dans certains cas, une deuxième phase de test pourrait s’avérer nécessaire pour prouver que les vulnérabilités identifiées lors du test initial ont été corrigées avec succès.
Dans certain cas, les entreprises effectuent un test dans le cadre de leur cycle de développement avant de lancer une nouvelle fonctionnalité pour une application. La portée du test sera centrée sur les nouvelles fonctionnalités ajoutées plutôt que l’application entière, ce qui nécessitera moins d’efforts et réduira considérablement le coût du test d’intrusion.
Dans d’autres cas, les entreprises qui cherchent à se conformer aux exigences minimales de leurs partenaires d’affaires pourraient n’avoir besoin que de tester une application ou un réseau spécifique partagé par les deux parties afin de répondre à leurs exigences, ce qui nécessite moins d’efforts qu’une entreprise qui cherche à sécuriser ses systèmes contre les cyberattaques le plus possible.
4. Le niveau d’expertise
La qualité et le cout d’un test d’intrusion diffèrent souvent selon le niveau d’expertise des spécialistes en charge de la réalisation de votre test, car ils auront un impact direct sur votre retour sur investissement.
La majorité des spécialistes en test d’intrusion hautement qualifiés ont complétés diverses certifications, tel que GWAPT (en savoir plus sur les meilleures certifications pour les spécialistes tests d’intrusion) qui nécessitent une formation longue et avancée pour devenir certifé. Ces certifications, généralement très coûteuses pour les spécialistes en test d’intrusion, offrent une certaine expérience pratique en termes d’exploitation et de documentation des vulnérabilités dans des environnements et des scénarios les plus compliqués rencontrés régulièrement dans l’industrie. Certaines de ces certifications, comme l’OSCP et l’OSCE, exigent que le spécialiste en test complète une évaluation intensive pouvant durer jusqu’à 48 heures.
Ces certifications, combinées à des années d’expérience dans l’industrie, fournissent des résultats fiables qui peuvent être utilisés pour prendre des décisions précises, aidant les intervenants de votre entreprise à investir leurs précieuses ressources dans les domaines où les risques sont les plus importants, ce qui explique son impact sur le cout du test d’intrusion.
5. Le type de test d’intrusion
Les efforts requis pour effectuer un test d’intrusion varieront également selon les composantes ciblées par le test. Les tests d’intrusion d’Applications Web, par exemple, nécessitent des tests plus approfondis car les spécialistes en test d’intrusion sont à la recherche de failles de logique compliquées souvent introduites au cours du développement de l’application.
Pour certains types de tests avancés, comme les tests d’intrusion IoT, il pourrait être nécessaire d’effectuer davantage de recherches et d’ingénierie inverse pour en apprendre davantage sur les possibilités d’exploitation d’une technologie donnée. Par conséquent, le type de test d’intrusion dont vous avez besoin peut avoir un impact significatif sur les efforts requis et donc, un impact direct sur le coût de votre test d’intrusion.
En conclusion
Avant qu’une entreprise puisse vous fournir une estimation du coût d’un test d’intrusion, de nombreux facteurs (tels que la portée du projet et le contexte dans lequel il sera réalisé) devront être déterminés et établis en détail. Pour assurer le meilleur rendement possible pour votre test d’intrusion, vous devez considérer plusieurs facteurs, tels que le niveau d’expertise et l’approche utilisée pour le test.
Vous avez des questions sur les types de tests d’intrusion offerts et leur coût? Consultez un spécialiste pour en savoir plus sur les différents tests d’intrusion dont votre entreprise pourrait bénéficier.
