Que l’on soit rompu ou non à l’exercice d’un audit de sécurité, vous trouverez dans cet article quelques points permettant de bien préparer votre pentest en vous assurant d’avoir les informations et réflexes nécessaires avant de consulter vos prestataires, mais aussi pour maximiser votre retour sur investissement.
Définition du périmètre du test d’intrusion
➜ Connaître ses risques
Un pentest ne remplacera pas une analyse de risque de votre application. Cette analyse est primordiale pour définir les scenarios de tests pertinents en fonction des menaces et impacts identifiés. Elle doit être conduite avec les différentes parties prenantes d’une application ou d’un périmètre de manière à être la plus exhaustive possible et à refléter les vrais impacts métiers.
➜ Connaître les différents pentests
Assurez-vous d’être à l’aise avec les terminologies utilisées par les consultants en audits de sécurité informatique : pentests internes, pentests externes, boîte noire, boîte blanche, red team, scans de vulnérabilités, ingénierie sociale… dans le doute n’hésitez pas à solliciter votre prestataire pour une présentation détaillée des différents type d’audits de sécurité informatique. Être à l’aise avec le lexique permet de mieux définir vos besoins et d’avoir une meilleure compréhension des offres. Vous pouvez également consulter la trilogie « histoires de pentest » sur notre blog afin de découvrir certains scénarios de manière concrète.
➜ Avoir des objectifs clairs
Un test d’intrusion peut être motivé par différents objectifs : la politique de sécurité de l’entreprise, des exigences de partenaires, des obligations légales, accélérer le décommissionnement d’une application, ou encore évaluer son niveau de sécurité afin de l’améliorer. Communiquer clairement sur vos objectifs permet d’affiner le périmètre, orienter la mission sur certains types de tests et fournir des conclusions en adéquation. L’efficacité et le retour sur investissement du pentest en sont donc augmentés.
➜ Déterminer son budget
Que votre entreprise gère un budget pour permettre de mener un plan d’audit annuel à bien ou que ce soit un audit one-shot, l’enveloppe détermine la qualité des tests d’intrusion : directement car elle limite le temps passé par l’auditeur et le nombre de scenarios exécutés, et indirectement car elle peut inciter à se diriger vers des prestataires les moins couteux.
Les propositions doivent répondre à vos besoins mais ne doivent pas non plus sacrifier la qualité par la quantité : un pentester expérimenté sur vos stacks technologiques et métiers sera beaucoup plus efficace et pertinent ce qui vous permettra d’atteindre voire dépasser les résultats escomptés, là ou d’autres pourront effectuer un plus grand nombre de jours, car moins cher, sans pour autant atteindre ce niveau de résultat. Le prestataire doit également être force de propositions afin de pouvoir adapter ses services à votre budget, néanmoins être pentester requiert des compétences et connaissances de pointes qui se valorisent.
Il ne faut pas hésiter à privilégier différents prestataires en fonction de son besoin et du périmètre de l’audit.
➜ Déterminer le périmètre
Vous pouvez déterminer un premier périmètre en vous basant sur vos objectifs, vos analyses de risques et votre budget. Les prestataires d’audits de sécurité consultés pourront ensuite complémenter votre vision grâce à leur expérience dans la qualification de ce type de missions.
➜ Dégrossir les sujets cyber en amont et pendant l’audit
Au fil des ans, les consultants DSecBypass se sont rendu compte qu’il était fréquent lors des restitutions de discuter de vulnérabilités en réalité connues ou envisagées par les équipes techniques : elles peuvent être déjà formalisées dans le rapport d’un outil de sécurité interne (SAST, DAST, SCA), ou « déjà mentionnées » par certains développeurs mais sans qu’il n’y ait eu de suite donnée.
De manière à optimiser le travail de l’auditeur et maximiser les gains du test d’intrusion, un travail de mise à plat des différents sujets cyber connus peut être effectué en prévision de l’audit : actualisez les résultats des différents outils et assurez-vous de ne pas laisser de vulnérabilités évidentes et faciles à corriger qui pourraient faire perdre du temps à l’auditeur. N’hésitez pas, selon vos objectifs, à lui fournir des informations supplémentaires afin d’orienter ses recherches. Enfin, si le contexte le permet, réaliser le pentest au contact de l’équipe technique augmente souvent l’efficacité des tests en favorisant la fréquence et la rapidité des échanges entre cette dernière et l’auditeur.
Pendant le pentest
➜ Ne patchez pas silencieusement
La plupart des prestataires d’audit de sécurité vous informerons si une vulnérabilité critique a été exploitée. Vous pourrez alors à ce moment échanger sur la nécessité ou non de le corriger pendant l’audit. Dans tous les cas, informez l’auditeur des actions que vous menez sur l’environnement durant la mission car elles peuvent fausser ses tests, dégrader l’impact réel de la vulnérabilité, et lui faire perdre un temps précieux. Informez-en vos différentes équipes afin qu’elles ne soient pas tentées de surveiller les actions du pentester dans le but, très souvent de bonne foi, de corriger au plus vite les vulnérabilités exploitées.
➜ Capitalisez sur la mission
Utilisez les logs, alertes de vos équipements de sécurité ou monitoring et éventuelles remontées utilisateurs de manière à analyser ce que vous avez correctement détecté, faire le rapprochement avec certains types d’attaques et leurs manifestations sur vos consoles, identifier les potentielles zones d’ombre, et ainsi améliorer votre capacité à détecter les incidents de sécurité.
➜ Ne baissez pas votre garde
Lors des tests d’intrusion, les attaques sont lancées depuis les systèmes bien identifiés du prestataire. Restez vigilants aux attaques qui surviennent pendant la mission en vous assurant qu’ils proviennent de ces derniers et qu’il ne s’agit pas d’une attaque réelle qui se déroule en parallèle de l’audit.
🛡️ DSecBypass vous accompagne sur vos prestations de sécurité informatique. N’hésitez pas à nous contacter pour des informations complémentaires et/ou un devis personnalisé 📝.
