Andrey Kuzmin - Fotolia
Introduction à l’automatisation des tests d’intrusion
L’automatisation des tests d’intrusion gagne en maturité avec, à la clé, une accélération de la découverte des vulnérabilités dans les systèmes d’information. Mais est-ce bien suffisant ?
Au cours des dernières décennies, de nombreuses sociétés de conseil en sécurité informatique ont réalisé des tests d’intrusion manuels. Ce service consiste traditionnellement en un groupe de professionnels bien formés et armés d’outils de piratage et d’exploitation de vulnérabilité. Leur objectif est de sonder les points d’entrée de l’infrastructure de l’entreprise afin d’identifier les vulnérabilités et les faiblesses qui doivent être renforcées.
Si les tests d’intrusion – ou pen test, pour penetration testing, en anglais – manuels restent les plus répandus, les tests automatisés se développent de plus en plus. Ceux-ci visent à accélérer le processus, tout en réduisant les coûts associés.
Comment fonctionnent les tests automatiques ?
L’automatisation des processus n’est pas une nouveauté, pour l’informatique en général, comme pour la sécurité informatique. Cependant, les tâches de test d’intrusion sont longtemps restées largement manuelles. Bien que les outils d’analyse et de piratage soient souvent automatisés, la difficulté réside dans l’identification de l’endroit où les utiliser, et de quelle manière, sur la surface exposée par l’organisation visée.
Cette compétence n’est pas facile à automatiser, car il s’agit d’un processus réfléchi qui doit tenir compte de facteurs externes, notamment le type d’organisation testée, la structure et la construction du réseau, ainsi que les applications et les services exposés au monde extérieur.
Considérez les professionnels du test d’intrusion comme des détectives. Ils utilisent des outils et des méthodes pour recueillir des informations importantes, qui sont utilisées pour identifier les potentielles faiblesses de sécurité. Ce processus chronophage peut prendre des jours, des semaines ou des mois.
Naturellement, l’automatisation s’est invitée graduellement dans les outils de test d’intrusion. Leurs développeurs souhaitaient accélérer le processus de reconnaissance et d’analyse afin de collecter avec précision les données pertinentes. Cela libère les professionnels impliqués pour qu’ils puissent se concentrer ailleurs. Dans certains cas, des mécanismes d’intelligence artificielle suffisamment sophistiqués viennent imiter les processus d’un test d’intrusion manuel, afin d’identifier rapidement les vulnérabilités. Ces informations peuvent ensuite être utilisées pour remédier rapidement aux risques de sécurité identifiés.
Quels sont les avantages du pen testing automatisé ?
Les tests d’intrusion automatisés fournissent aux entreprises un rapport de sécurité plus rapidement, pour moins cher. Une plateforme de test d’intrusion automatisée peut être orientée vers le réseau d’un client et effectuer des balayages, des sondages et des analyses 24 heures sur 24 avec peu de supervision. L’automatisation peut également être appliquée pour organiser les rapports en fonction de la gravité des problèmes à traiter. En théorie, un test d’intrusion automatisé complet peut être réalisé en beaucoup moins de temps qu’un test manuel.
Les algorithmes sous-jacents s’appuient sur les processus et les procédures rigides que tout outil de test d’intrusion doit suivre lors de l’exécution des balayages et de l’analyse des résultats. Les résultats de ces tests sont hautement reproductibles, avec peu de variations entre les résultats, d’une itération à l’autre. Dans le monde de la sécurité de l’information, notamment du point de vue de la réglementation et de la conformité, cette caractéristique est appréciable.
Il existe même des moyens de rendre les tests d’intrusion automatisés encore plus économiques. Les économies de coûts sont en grande partie réalisées en n’impliquant pas de professionnels de la sécurité généreusement rémunérés pour exécuter les outils et effectuer une analyse de haut niveau des résultats. Les outils motorisés par l’IA sont devenus habiles à le faire pour les vulnérabilités connues. Bien que les services de test automatique ne soient pas vraiment bon marché, ils sont souvent moins chers que les services impliquant des experts, si l’on tient compte des gains de temps obtenus grâce à l’automatisation.
Des outils prêts à être utilisés par les entreprises ?
Les fournisseurs de plateformes de test automatique et les prestataires de services affirment que leurs plateformes et leurs services peuvent déterminer ce que les pirates vont cibler grâce à l’IA. Bien que l’intelligence artificielle puisse éventuellement y parvenir, beaucoup considèrent encore ces types de systèmes comme inférieurs aux tests traditionnels, conduits par des experts.
La capacité à imiter le cerveau humain pour effectuer des tâches très complexes et nécessitant souvent une créativité certaine est un véritable défi pour des systèmes informatiques initialement conçus pour fonctionner en mode binaire. Les plateformes de test d’intrusion automatisées peuvent en effet reproduire certaines tâches qu’un expert réaliserait dans le cadre d’un ensemble fixe de paramètres et lors de la recherche de vulnérabilités connues. Mais lorsqu’il s’agit d’employer de nouvelles méthodes ou simplement de penser à l’application originale de techniques éprouvées, rien ne vaut un test d’intrusion manuel.
L’aspect le plus bénéfique des tests automatiques est qu’il est possible de leur confier les tâches plus répétitives et basiques, libérant ainsi le temps des professionnels. Dès lors, il faut surtout s’attendre à ce que les outils de test automatisé soient utilisés dans des déploiements hybrides, avec des experts humains. Cette combinaison permet d’accélérer le processus de test et d’en réduire les coûts. Elle permet également aux experts d’aller au-delà de ce que la plateforme automatisée sait faire.