alphaspirit - Fotolia
Sécurité : tester quoi et comment
Mettre à l’épreuve ses défenses peut apporter de nombreux bénéfices. Se posent toutefois les questions des objectifs et des moyens, en fonction notamment de son niveau de maturité.
« Est-ce que cela peut m’arriver » ? C’est la question qu’il est légitime de se poser à la lecture de la découverte d’une énième brèche de sécurité. Mais y répondre de manière pragmatique, à partir de données concrètes, n’est pas si simple. Car pour y parvenir, encore faut-il pouvoir poser un regard sincère et précis sur sa posture de sécurité.
Les tests de sécurité jouent là un rôle crucial. Comme le relèvent Anton Chuvakin et Augusto Barros, dans une note d’information du mois de mai dernier à l’intention des clients du cabinet Gartner, « les tests de sécurité sont réalisés pour vérifier les conditions de sécurité d’un sujet donné. Ils peuvent être utilisés pour identifier des vulnérabilités intrinsèques (comme celles trouvées dans les logiciels via des examens), des défauts de configuration pouvant conduire à des états peu sûrs, ou encore pour vérifier l’efficacité des contrôles de sécurité ».
Il existe divers types de tests de sécurité : la recherche de vulnérabilités, le test de sécurité applicatif dynamique, les outils de simulation d’attaques, les services de notation, la surveillance de l’empreinte numérique externe, le test d’intrusion, les exercices d’engagement offensif (red team), ou encore les bug bounties. Mais tous ne répondent pas aux mêmes objectifs et ne s’adressent pas forcément aux mêmes publics.
Des approches différentes selon la maturité
Ainsi, pour les organisations à la maturité limitée, pour qui il s’agit essentiellement d’obtenir une première évaluation de leur posture de sécurité, les analystes recommandent les recherches de vulnérabilités ponctuelles et périodiques, voire des tests d’intrusion de base. Car là, les objectifs sont la conformité réglementaire et l’identification rapide des principales lacunes à combler. Il s’agit donc de rechercher les vulnérabilités exposées sur le périmètre considéré, les comptes assortis d’un mot de passe par défaut et/ou dotés de privilèges trop élevés pour les besoins, voire de valider l’inventaire de l’environnement et ses limites.
Pour les organisations à la maturité plus élevée – celles qui se disent « nous avons des choses en place, mais fonctionnent-elles ? » –, Anton Chuvakin et Augusto Barros identifient deux besoins principaux : trouver les problèmes nécessitant correction dont l’identification est moins triviale, et évaluer l’efficacité des contrôles déployés.
Là, les analystes renvoient à la recherche de vulnérabilités, mais cette fois-ci régulière et de préférence mensuelle. A cela, ils ajoutent des tests dynamiques de sécurité applicative basiques, des tests d’intrusion plus avancés, voire le recours à des outils de simulation d’attaques et de brèches. Pour ces organisations à la maturité modérée, il s’agit de chercher des vulnérabilités internes et externes, d’éprouver les applications exposées en ligne, mais également les capacités de détection et les contrôles préventifs.
Vers une démarche d’amélioration continue
Viennent enfin les entreprises à maturité élevée, celles qui sont bien conscientes de leur posture de sécurité et veulent l’inscrire dans une démarche d’amélioration continue.
Anton Chuvakin et Agusto Barros renvoient celles-ci à la recherche de vulnérabilités en continu, aux outils de simulation d’attaques et de brèches, aux tests dynamiques de sécurité applicative. Mais ils ajoutent à l’éventail les engagements offensifs, le recours à des services de notation, de surveillance de l’empreinte numérique, ou encore à des programmes de récompense pour la découverte de vulnérabilités dans les applications et services exposés sur Internet.
Car pour ces organisations les plus matures, il n’est plus seulement question de tester les pratiques liées à la prévention, mais également celles liées à la détection et à la remédiation, tout en contrôlant son exposition intrinsèque ainsi que celle liée aux ressources externes et aux partenaires en affaires.
Dans leur note d’information, les analystes de Gartner détaillent les différences existant entre les différentes méthodes de test de sécurité en matière de temporalité, d’automatisation, et de risque de perturbation de l’activité. Tout en précisant les limites de chacune et en fournissant des exemples de produits ainsi que de prestataires.
Choisir avec lucidité
Devant tant de possibilités, les deux analystes recommandent une certaine prudence avec, en particulier, l’adoption d’une approche basée sur le risque : « il n’y a aucun intérêt à chercher d’abord des problèmes dans des parties de l’organisation qui n’auraient pas d’impact significatif sur l’activité en cas de brèche ».
Surtout, Anton Chuvakin et Augusto Barros préviennent : il faut tester des choses « là où l’on est prêt à agir suivant les résultats ». Autrement dit, il ne sert à rien de se lancer dans des tests si l’on n’est pas prêt à se lancer dans les démarches correctrices qui s’imposent en cas de résultat défavorable.
Et puis, chaque approche de test a ses points forts et ses limites : «aucun type de test ne va répondre seul à tous les besoins de l’organisation ». Il convient donc de développer « son propre mix d’approches, couvrant processus et technologies différents, et répondant aux divers objectifs ».