Pourquoi les tests de pénétration automatisés pour les applications sont insuffisants

Table des Matières

Avec le nombre croissant d’applications proposées aux consommateurs, la perspective d’effectuer des tests d’intrusion sur chaque application avec un budget limité devient de plus en plus décourageante et apparemment impossible pour la plupart des organisations. Cela dit, les risques liés aux applications ne pourront jamais être suffisamment atténués en s’appuyant uniquement sur l’analyse automatisée, en raison de la nature personnalisée des applications modernes. Cela peut conduire à des décisions difficiles lorsqu’il s’agit d’établir une stratégie rentable pour la sécurité des applications.

Cet article passe en revue les principaux défis liés aux tests de sécurité pour les applications web, les différentes lacunes des analyses automatisées ainsi que les solutions potentielles pour les organisations disposant de ressources limitées et cherchant à sécuriser leurs applications mobiles ou web contre les cyberattaques.

Quelle est la technique la mieux adaptée à vos besoins ?

Tous les professionnels du secteur s’accordent à dire que les applications ne peuvent pas être suffisamment sécurisées en s’appuyant uniquement sur des analyses automatisées. Il va sans dire que le balayage automatisé n’est pas un problème en soi, mais plutôt le contexte dans lequel il est souvent effectué. Il peut s’agir d’un excellent point de départ pour ceux qui ne disposent pas d’un budget suffisant pour procéder à des tests de sécurité fréquents pour toutes leurs applications, mais il ne doit pas être votre seul recours. En règle générale, trois approches principales sont utilisées pour tester la sécurité d’une application, et elles varient en termes de profondeur, de précision et de coût. Ces techniques doivent être utilisées à une fréquence différente en raison des résultats différents qu’elles produisent et doivent être combinées pour obtenir une stratégie de gestion des risques à toute épreuve.

  1. Scans automatisés
  2. Scans automatisés + validation manuelle
  3. Tests de pénétration des applications (analyse automatisée + validation manuelle + tests manuels)

Pour déterminer l’option la mieux adaptée à chaque application, il est courant d’adopter une approche basée sur le risque pour hiérarchiser les applications. Cette approche basée sur le risque est utilisée pour influencer le type d’évaluation que chaque application requiert et sur quelle base, en fonction d’une variété de facteurs tels que : le degré de sensibilité des données traitées, le type de changements récemment apportés à l’application, le nombre d’intégrations tierces, la date de la dernière évaluation approfondie, etc. En fonction de ces facteurs, vos parties prenantes peuvent décider d’opter pour une analyse entièrement automatisée ou pour un test manuel approfondi.

Bien qu’une approche basée sur les risques soit un moyen efficace de déterminer le type d’évaluation à utiliser pour une application, elle conduit souvent à la conclusion que l’analyse automatisée seule est acceptable pour certaines applications, alors qu’en fait, c’est rarement le cas. La grande majorité des applications nécessitent toujours un test d’intrusion manuel régulier, bien que sa fréquence puisse être ajustée en fonction d’une série de facteurs évoqués précédemment. Le point suivant abordera certaines des raisons pour lesquelles il ne devrait pas s’agir de votre seul recours pour tester votre application.

S’appuyer à 100 % sur des analyses automatisées expose les entreprises à des cyberattaques

Si les analyses automatisées jouent un rôle important dans une stratégie de cybersécurité efficace, elles ne doivent pas être la seule option pour évaluer la cybersécurité de votre application. La raison en est simple : la plupart des applications contiennent trop d’éléments propriétaires et une logique d’entreprise unique qu’un scanner automatique ne peut pas contextualiser avec précision. Les validations effectuées par un scanner ne peuvent pas identifier de manière précise et systématique les vulnérabilités les plus critiques et les plus graves présentes dans les applications modernes, telles que les contournements d’authentification ou les faiblesses du contrôle d’accès. Ces vulnérabilités peuvent avoir de graves conséquences lorsqu’elles sont exploitées par des pirates informatiques et nécessitent des tests pratiques pour être identifiées, car elles sont souvent liées aux propriétés et actions uniques de votre application.

Les tests automatisés donnent souvent un faux sentiment de sécurité aux organisations qui s’y fient à 100 %, car elles ont tendance à penser que leur application a été sécurisée avec succès, alors qu’en réalité de nombreuses vulnérabilités critiques ont été laissées de côté. Comme le montrent les exemples ci-dessous, les tests automatisés, même avec une validation manuelle, peuvent exposer les organisations à des cyberattaques, car elles estimeront que leur application ne nécessite plus d’évaluation. Les résultats surlignés en vert représentent des vulnérabilités qui n’auraient pas été prises en compte si l’organisation s’était appuyée uniquement sur des analyses automatisées, ce qui l’aurait exposée à divers scénarios d’attaque.

Scénario de test #1 : Application destinée au public

Niveau de risque Vulnérabilité Méthodologie
Critique Contournement de l’autorisation par une clé contrôlée par l’utilisateur Guide de l’Acheteur
Haut Contrôle d’accès faible – Page accessible sans authentification Guide de l’Acheteur
Haut Falsification de requête côté serveur Numérisation automatisée
Haut Cryptage non appliqué Numérisation automatisée
Moyen Contrôle d’accès inapproprié – Navigation forcée Guide de l’Acheteur
Moyen Expiration de la session insuffisante Guide de l’Acheteur
Moyen Contrôle de sécurité côté client sans application côté serveur Guide de l’Acheteur
Moyen Attribut HTTP-only manquant dans le cookie de session Numérisation automatisée
Moyen Composants logiciels vulnérables Numérisation automatisée
Faible Divulgation des adresses IP et des noms d’hôtes privés Numérisation automatisée
Faible Divulgation d’informations – <Redacted> Endpoints Numérisation automatisée

Dans cette application, une analyse automatisée aurait manqué 5 vulnérabilités importantes qui auraient pu permettre à un pirate d’accéder aux données sensibles des clients et, dans certains cas, d’escalader les privilèges pour accéder à des fonctions administratives.

Scénario de test n°2 : Application de commerce électronique

Niveau de risque Vulnérabilité Méthodologie
Critique Cryptage non appliqué Numérisation automatisée
Critique Escalade de privilèges par manipulation de l’authentification Guide de l’Acheteur
Critique Un changement de mot de passe non vérifié entraîne une escalade des privilèges Guide de l’Acheteur
Critique Contournement de l’autorisation par une clé contrôlée par l’utilisateur Guide de l’Acheteur
Moyen Attribut Secure manquant dans le cookie de session Numérisation automatisée

Dans cette application, une évaluation automatisée n’aurait pas permis d’identifier les différentes façons dont un utilisateur pouvait accéder aux données et aux autorisations d’un autre utilisateur, exposant ainsi l’entreprise à un incident potentiel.

Quand donner la priorité aux test d’intrusion manuels ?

Ces deux études de cas démontrent que, si les analyses automatisées peuvent aider à identifier diverses vulnérabilités qui doivent être corrigées, elles sont loin d’être suffisantes pour sécuriser avec succès une application critique. Sans les tests manuels, les organisations auraient laissé de nombreuses pierres non retournées, ce qui les aurait exposées à des vulnérabilités potentiellement dommageables. Plutôt que de vous demander «lesquelles de mes applications doivent être testées manuellement», vous devriez vous demander «à quelle fréquence chaque application doit-elle faire l’objet d’un test d’intrusion manuel ?

Compte tenu de l’évolution constante des cybermenaces, il est essentiel que toutes les applications soient testées manuellement par des testeurs de pénétration expérimentés et certifiés au moins une fois par an, ce qui vous permet de rester au fait des derniers outils et techniques de piratage utilisés pour contourner les mesures de sécurité de votre application. C’est pourquoi de nombreuses normes, telles que PCI-DSS, imposent un pentest annuel pour rester conforme.

Par ailleurs, il est impératif que vos applications soient testées manuellement lorsque de nouvelles fonctionnalités sont introduites ou que des changements majeurs sont apportés à l’infrastructure du réseau, car de nouvelles vulnérabilités peuvent avoir été introduites, ce qui vous rend vulnérable à un incident potentiel.

Quand utiliser des solutions de tests automatisés pour votre application

Si votre application a récemment fait l’objet d’un test d’intrusion manuel, on peut dire que vous avez couvert toutes les bases. Cependant, les technologies et les cadres sur lesquels vos applications sont construites sont constamment confrontés à de nouvelles vulnérabilités, parfois critiques. Votre organisation n’a peut-être pas les moyens de se soumettre à des tests d’intrusion pratiques tous les mois pour identifier en permanence de nouvelles failles de sécurité, mais il est néanmoins essentiel que votre équipe corrige ces vulnérabilités en permanence. C’est là que les scanners interviennent et comblent les lacunes.

Les analyses automatisées sont bien adaptées à l’identification de certains types de vulnérabilités applicatives figurant dans le top 10 de l’OWASP, notamment les scripts intersites, les injections SQL et les falsifications de requêtes côté serveur. Les analyses automatisées sont également efficaces pour identifier des erreurs de configuration particulières, notamment la mise en œuvre incorrecte de TLS ou l’absence d’en-têtes HTTP et d’attributs de cookies axés sur la sécurité. Leurs validations sont effectuées en exploitant de vastes bases de données de vulnérabilités associées à chacune de vos technologies en place, ainsi que des problèmes spécifiques liés à la version du logiciel que vous avez actuellement installé. Ils peuvent être réalisés de manière récurrente et ne nécessitent pas d’expertise très spécialisée, ce qui en fait une solution rentable pour assurer la sécurité de votre application jusqu’à ce que vous puissiez réaliser votre prochain test d’intrusion complet.

Numérisation automatisée avec validations manuelles

Le principal défaut de l’analyse automatique réside dans le grand nombre de faux positifs qu’elle génère. Cela peut conduire à une utilisation inefficace de vos ressources, car votre équipe peut passer du temps à corriger des vulnérabilités qui ne représentent que peu ou pas de risque pour votre entreprise. La validation manuelle des analyses automatisées par un professionnel certifié vous permet d’adapter les niveaux de risque à votre contexte et d’établir des priorités pour les étapes suivantes, ce qui vous permet d’économiser des ressources à long terme. Il est toutefois important de noter que la validation manuelle n’améliore pas la profondeur de l’analyse, ce qui ne la rend pas aussi fiable que les tests manuels pour sécuriser les applications critiques.

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Partager cet article sur les médias sociaux :

Articles de Blogue Récents

Services en Vedette

Catégories

Les Derniers Articles de Blogue de Vumetric

Qu’il s’agisse des dernières tendances du secteur ou des bonnes pratiques à adopter, apprenez-en davantage sur la cybersécurité:

COMMENCEZ DÈS AUJOURD'HUI

Faites-nous part de vos besoins
Obtenir une réponse le même jour

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

Un expert vous contactera pour se renseigner sur votre projet de cybersécurité

La portée du projet sera défini (environnement cible, délais, exigences, etc.)

Une soumission détaillée comprenant un prix tout inclus vous est envoyée

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

ÉDITION 2024

Guide de l'Acheteur de Tests d'Intrusion

Tout ce que vous Devez Savoir

Planifiez et réalisez des projets de test d’intrusion avec succès.

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.