Qu’est ce qu’un pentest exactement ? Comment cela se déroule-t-il ? Quels en sont les objectifs ? Bien souvent l’offre plébiscitée par les experts en cybersécurité, les pentests sont-ils véritablement LA solution ?
Mercredi dernier, le podcast spécialisé en technologies, cybersécurité et hacking, le “Paul’s Security Weekly”, accueillait son tout nouveau membre, Adrian Sanabria. Ce dernier, co-fondateur et directeur de la recherche chez Savage Security, possède près de 13 ans d’expérience dans la mise en place de programmes de sécurité, dans la cyber défense de grandes organisations financières, et dans la réalisation de tests de pénétration.
Les tests de pénétration ou pentests, c’est bien le premier sujet abordé par Paul, le présentateur du podcast alors qu’il accueillait Adrian Sanabria. Ce dernier est en effet bien connu pour avoir mené une large campagne “contre le pentest” en 2017.
Le test de pénétration, aussi appelé “hacking éthique” est la simulation d’une cyber attaque visant à déterminer la vulnérabilité des systèmes ou réseaux informatiques(1). Les experts informatiques en charge de réaliser un pentest utilisent les mêmes méthodes ou techniques utilisées par de vrais pirates informatiques.
Lors de la réalisation d’un pentest, plusieurs approches sont alors possibles : l’audit boite noire (aucun information n’est donnée aux testeurs avant de perpétrer l’attaque, ils n’ont à leur disposition que le nom de l’entreprise, une adresse IP ou une URL) ; ou l’audit boite grise (les pentesters attaquent l’entreprise en ayant en leur possession quelques informations sur leur cible).
Et c’est contre ces deux formes de pentest que Adrian Sanabria a mené son combat, qualifiant ces solutions de “médiocres”.
Selon lui, les pentests ne sont pas suffisants. Il explique que le rapport d’un pentest “fait état des symptômes du problème, et non de sa cause première”. Coûteux, de nombreuses entreprises ne peuvent s’offrir plus d’un ou deux pentests par an, ne permettant que la livraison d’un rapport de vulnérabilités, d’une exhaustivité variable, mais qui n’en explique pas les causes, ni ne les corrige.
Il s’exprime donc en faveur d’une évolution de pratiques qu’il considère comme dépassées : il est nécessaire pour les experts de voir au delà du simple pentest, et de prendre le temps de chercher l’origine des problèmes, de prendre le temps de corriger les failles décelées, et ainsi délivrer plus de valeur aux clients. Il insiste également sur l’importance pour les experts d’accompagner leurs clients sur le plus long terme, car bien souvent, un manque d’accompagnement et de suivi dans la mise en place et dans la configuration des processus de sécurisation sont la cause de nombreuses vulnérabilités.
Selon lui, cela ne coûte ni plus d’argent ni plus de temps : les experts, en possession de toutes les informations nécessaires peuvent alors identifier les faiblesses de manière plus efficace et ainsi passer plus de temps à s’attaquer aux causes profondes des problèmes.
D’après nous, il ne faut pas partir dans l’extrême contraire, et il convient de se rappeler que le pentest reste une méthode utile pour vérifier l’efficacité de l’implémentation des contre-mesures, à la suite d’une campagne d’audit et de remédiation, mais il ne peut pas être, effectivement, le coeur d’une stratégie de cybersécurité.
L’audit boite blanche lui, n’est pas un pentest à proprement parler, il s’agit d’une analyse de sécurité des systèmes beaucoup plus poussée. L’audit boite blanche fournit une évaluation complète des vulnérabilités internes et externes des réseaux. Il existe une relation étroite entre les testeurs en boite blanche et les développeurs, ce qui fournit aux experts un niveau élevé de connaissance du système, et qui permet à ces derniers de fonctionner sur la base de connaissances non disponibles pour les pirates (2).
Au coeur d’une telle stratégie, nous pensons chez CyberSecura que l’audit boite blanche doit figurer comme un élément parmi d’autres, au sein d’un accompagnement long-terme qui intègre aussi l’étude des causes et contre-mesures, leurs explications aux équipes du client, l’accompagnement de l’implémentation de ces contre-mesures, et la vérification de conformité de leur mise en place. Ceci est en parallèle rendu plus efficace par des sensibilisations et formations des équipes.
C’est ce que nous préconisons toujours à nos clients, et cette stratégie permettant une efficacité pérenne est en général appréciée par nos clients, qui comprennent l’importance de s’inscrire dans la durée.
Les articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Découvrez toutes nos prestations d'audits de cybersécurité !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !
コメント