Tests d’intrusion automatisés vs pentesters humains
Digitemis vous propose un comparatif tests d’intrusion automatisés VS pentesters humains pour que vous sachiez quelle solution choisir selon le profil de votre entreprise. En effet, avec le passage au tout numérique, les entreprises sont de plus en plus sensibles à la sécurité de leurs réseaux et de leurs données.
On le voit dans les médias : les tentatives d’intrusions dans les réseaux de sociétés, de services publics ou parfois même de services de santé, sont de plus en plus fréquentes.
Ainsi, pour sensibiliser les entreprises européennes proposant des services financiers, le Parlement Européen a adopté la Directive DORA en novembre 2022 afin de leur imposer des règles de sécurité plus strictes.
Qu’est-ce qu’un test d’intrusion (pentest) ?
Le pentest est une simulation d’intrusion via les réseaux informatiques connectés aux appareils et données de votre entreprise. Une attaque peut concerner le site web de votre entreprise, mais aussi un ordinateur ou tout autre appareil relié à votre réseau (application interne, objet connecté). L’objectif d’un test d’intrusion est de vérifier si vos outils de cybersécurité sont capables de résister aux différents types d’attaques connus, dont voici les plus fréquents :
- Phishing et Spear Phishing (faux messages emails)
- Cassage de mot de passe
- Injection SQL (fausses requêtes vers vos bases de données)
- Malware (logiciel malveillant)
- Smurf (usurpation d’adresse IP)
- Détournement de session
On le voit : les possibilités d’attaques informatiques sont très techniques et nécessitent différents types de pentests pour les identifier et proposer une parade efficace.
Quels sont les différents types de pentests ?
Pentests internes
Ce type de tests d’intrusion consiste à effectuer un audit de sécurité du réseau de l’entreprise en simulant une attaque informatique faite depuis l’intérieur du réseau, ceci afin de vérifier sa résilience (capacité à continuer de fonctionner en cas de panne ou d’attaque). Cela peut être par exemple une personne qui se connecte avec son ordinateur portable depuis l’intérieur de votre entreprise ou via un VPN dans le cas du télétravail. Les tests d’intrusion internes permettent également de comprendre le cloisonnement du réseau.
Il n’y a pas forcément de volonté de nuire de la part de la personne connectée : si un de vos collaborateurs utilise un ordinateur ou une simple clé USB infectée à son insu par un malware, le programme malveillant pourra se déclencher une fois connecté dans votre réseau informatique.
Il est donc indispensable d’effectuer régulièrement des pentests internes afin de détecter tous les points de vulnérabilité de votre réseau qui ne seraient pas capables de résister à une attaque depuis l’intérieur.
Pentests externes
Votre réseau d’entreprise est plus ou moins ouvert sur l’extérieur, parfois sans que vous le sachiez ! Lors d’un audit en clientèle, il n’est pas rare que les spécialistes de Digitemis détectent des « shadows-IT », c’est-à-dire des applications non répertoriées et pourtant connectées à Internet. Un audit de périmètre externe va également vérifier si des services de votre réseau sont restés inutilement ouverts ou si certains mots de passe manquent de solidité face à une attaque ciblée.
Les pentests externes comportent un plus grand nombre de tests d’intrusion, car vous vous en doutez, les types d’attaques informatiques en provenance de l’extérieur sont beaucoup plus variés. Ces tests doivent aussi être mis à jour à chaque fois qu’une nouvelle technique d’attaque est inventée par les cybercriminels, toujours à l’affût de la moindre faille informatique.
Comment faire des tests d’intrusion ?
Il existe 3 sortes de tests d’intrusion :
- Test d’intrusion en boite noire : aucune information n’est fournie aux pentesters avant de commencer leurs tests.
- Test d’intrusion en boite blanche : un maximum d’informations est transmis aux pentesters avant leur audit (accès administrateur au serveur, code source de l’application, schéma réseau, etc.).
- Test d’intrusion en boite grise : les pentesters ont quelques informations sur la cible (accès utilisateurs sur la plateforme, whitelisting sur les outils de sécurité en place, etc.).
Les tests d’intrusion en boite noire sont les plus proches d’une situation réelle. Le pirate informatique n’a pas accès à des informations sur l’entreprise. Il va donc tester systématiquement toutes les possibilités de faille de votre réseau. Ainsi, ces tests seront très exhaustifs et moins représentatifs du niveau de sécurité. En effet, un attaquant peut y passer autant de temps qu’il le désire tandis qu’un pentester a un temps de mission spécifique, défini avec l’entreprise cliente.
A contrario, les tests d’intrusion en boîte blanche permettront de mettre l’accent sur une vulnérabilité déjà détectée afin d’en mesurer le risque et la fragilité. On peut faire réaliser ses tests à l’aide de logiciels de pentests automatisés ou par des spécialistes humains des pentests.
Avantages et inconvénients des tests d’intrusion automatisés
Un test d’intrusion automatisé semble souvent la solution la plus économique pour les entreprises. En effet, elle évite de faire appel à une entreprise hautement spécialisé et permet une certaine automatisation des tests pour les applications installées dans les locaux de la société.
Ce type de tests implique l’utilisation de logiciels spécifiques commercialisés par des prestataires réputés dans le domaine de la cybersécurité : Patrolw, Pentera…
Pour une entreprise qui ne dispose pas d’un Service Informatique (SI) adéquat, ces logiciels apportent un côté rassurant : les éditeurs qui les proposent sont des spécialistes, on peut leur faire confiance pour mettre les risques en exergue. Il faut ensuite faire le nécessaire afin de sécuriser correctement le service informatique.
Bien sûr, mais le danger est de sous-estimer le niveau de risque de votre entreprise et de mal choisir (ou de mal utiliser) ces tests d’intrusion automatisés censés scanner chacune de vos applications. En effet, beaucoup de facteurs interviennent pour évaluer le risque d’intrusion de votre réseau :
- La sensibilité de vos données (ex : données médicales personnelles, données financières)
- Le nombre d’applications intégrées à votre réseau (ont-elles toutes été auditées et dans leur version la plus récente ?)
- La fréquence des audits de sécurité de votre réseau (de nouvelles applications ont-elles été ajoutées depuis vos derniers tests automatisés ?)
- La personnalisation de vos programmes (difficiles à évaluer par des scanners de vulnérabilité)
Il suffit d’une seule faille de sécurité non détectée par des tests d’intrusion automatisés pour que l’ensemble de votre réseau soit vulnérable. C’est le principal inconvénient des outils de pentests automatisés.
Ainsi, les scanners de vulnérabilité se contentent souvent de vous retourner une liste de failles potentielles, mais sans vous spécifier dans quel contexte une telle faille peut être exploitée. En particulier, ces logiciels comprennent encore assez mal les dysfonctionnements de programme informatique logiques, par exemple, l’accès aux factures d’un autre client uniquement en changeant l’URL.
Même s’ils évoluent rapidement et régulièrement, les logiciels de tests d’intrusion automatisés ne sont pas toujours capables de détecter les failles les plus récentes, comme un contournement d’authentification ou encore un IDOR (Insecure Direct Object Reference).
Leur principal inconvénient, pour l’entreprise, est donc d’avoir un sentiment de sécurité optimal faussé. Ils restent par contre très utiles pour traiter rapidement des tâches récurrentes, mais sous la supervision d’un spécialiste.
Avantages et inconvénients des pentests réalisés par des spécialistes humains
Une entreprise dont le nombre d’applications et d’ordinateurs croît rapidement à tout intérêt à faire appel à des spécialistes de la cybersécurité. Ce type de profil est très recherché sur le marché du travail. Ainsi, il peut être difficile de trouver une personne disposant à la fois de compétences sur votre solution et de suffisamment d’expérience dans ce domaine.
Le principal avantage, en faisant appel à des experts en cybersécurité et donc à des pentesters humains, est d’avoir à faire à des professionnels pouvant prévenir l’intrusion informatique.
Autre avantage : votre spécialiste en cybersécurité pourra valider manuellement les tests d’intrusion récurrents effectués par des logiciels et les compléter par des tests spécifiques, par exemple sur des programmes développés en interne.
Il sera bien entendu nécessaire d’établir une politique de sécurité stricte et des process clairement définis pour tous les collaborateurs de l’entreprise afin que le SI puisse contrôler tous les appareils et réseaux utilisés.
Vous avez compris que la décision de faire appel à des pentesters humains implique une adaptation de tous les services de votre société et l’utilisation de nouveaux budgets permettant l’achat de matériel, de logiciels et un investissement pour la prestation de ces spécialistes.
Tests d’intrusion automatisés VS pentesters humains : tableau comparatif
| Tests d’intrusion automatisés | Pentesters humains | |
| Adaptabilité à vos réseaux | Réseau interne et externe | Réseau interne et externe |
| Temps de déploiement | Rapide | Lent |
| Besoin en ressources humaines | Limité | Important |
| Couverture des risques | Partielle | Totale |
| Personnalisation à vos programmes | Limitée | Totale |
| Budgétisation des ressources | Moyenne | Importante |
Conclusion : les tests humains restent indispensables pour s’assurer que la totalité des risques d’intrusion sont pris en considération et pour couvrir à la fois votre réseau externe et votre réseau interne, malgré le coût en ressources humaines et logicielles. Ceci parce que les conséquences d’une attaque informatique deviennent de plus en plus graves pour les entreprises digitalisées.
Les recommandations de Digitemis
Chaque entreprise a une dépendance différente à son système informatique. Si votre budget est limité et que le risque informatique est acceptable pour vos activités économiques, vous pouvez commencer par investir uniquement dans une solution de tests d’intrusion automatisés. Digitemis peut vous apporter son expertise pour auditer les risques informatiques de votre réseau et vous aider à monter en compétence sur cette solution.
Cependant, si votre système informatique est vital pour la survie de votre entreprise, alors nous vous recommandons d’opter pour des tests d’intrusion effectués par un pentester compétent. Nos spécialistes sont à votre disposition pour vous apporter leur expertise.
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?