Tests d’intrusion automatisés vs pentesters humains

Digitemis vous propose un comparatif tests d’intrusion automatisés VS pentesters humains pour que vous sachiez quelle solution choisir selon le profil de votre entreprise. En effet, avec le passage au tout numérique, les entreprises sont de plus en plus sensibles à la sécurité de leurs réseaux et de leurs données.

On le voit dans les médias : les tentatives d’intrusions dans les réseaux de sociétés, de services publics ou parfois même de services de santé, sont de plus en plus fréquentes.

Ainsi, pour sensibiliser les entreprises européennes proposant des services financiers, le Parlement Européen a adopté la Directive DORA en novembre 2022 afin de leur imposer des règles de sécurité plus strictes.

Qu’est-ce qu’un test d’intrusion (pentest) ?

Le pentest est une simulation d’intrusion via les réseaux informatiques connectés aux appareils et données de votre entreprise. Une attaque peut concerner le site web de votre entreprise, mais aussi un ordinateur ou tout autre appareil relié à votre réseau (application interne, objet connecté). L’objectif d’un test d’intrusion est de vérifier si vos outils de cybersécurité sont capables de résister aux différents types d’attaques connus, dont voici les plus fréquents :

  • Phishing et Spear Phishing (faux messages emails)
  • Cassage de mot de passe
  • Injection SQL (fausses requêtes vers vos bases de données)
  • Malware (logiciel malveillant)
  • Smurf (usurpation d’adresse IP)
  • Détournement de session

On le voit : les possibilités d’attaques informatiques sont très techniques et nécessitent différents types de pentests pour les identifier et proposer une parade efficace.

Quels sont les différents types de pentests ?

Pentests internes

Ce type de tests d’intrusion consiste à effectuer un audit de sécurité du réseau de l’entreprise en simulant une attaque informatique faite depuis l’intérieur du réseau, ceci afin de vérifier sa résilience (capacité à continuer de fonctionner en cas de panne ou d’attaque). Cela peut être par exemple une personne qui se connecte avec son ordinateur portable depuis l’intérieur de votre entreprise ou via un VPN dans le cas du télétravail. Les tests d’intrusion internes permettent également de comprendre le cloisonnement du réseau.

Il n’y a pas forcément de volonté de nuire de la part de la personne connectée : si un de vos collaborateurs utilise un ordinateur ou une simple clé USB infectée à son insu par un malware, le programme malveillant pourra se déclencher une fois connecté dans votre réseau informatique.

Il est donc indispensable d’effectuer régulièrement des pentests internes afin de détecter tous les points de vulnérabilité de votre réseau qui ne seraient pas capables de résister à une attaque depuis l’intérieur.

Pentests externes

Votre réseau d’entreprise est plus ou moins ouvert sur l’extérieur, parfois sans que vous le sachiez ! Lors d’un audit en clientèle, il n’est pas rare que les spécialistes de Digitemis détectent des « shadows-IT », c’est-à-dire des applications non répertoriées et pourtant connectées à Internet. Un audit de périmètre externe va également vérifier si des services de votre réseau sont restés inutilement ouverts ou si certains mots de passe manquent de solidité face à une attaque ciblée.

Les pentests externes comportent un plus grand nombre de tests d’intrusion, car vous vous en doutez, les types d’attaques informatiques en provenance de l’extérieur sont beaucoup plus variés. Ces tests doivent aussi être mis à jour à chaque fois qu’une nouvelle technique d’attaque est inventée par les cybercriminels, toujours à l’affût de la moindre faille informatique.

Comment faire des tests d’intrusion ?

Il existe 3 sortes de tests d’intrusion :

  1. Test d’intrusion en boite noire : aucune information n’est fournie aux pentesters avant de commencer leurs tests.
  2. Test d’intrusion en boite blanche : un maximum d’informations est transmis aux pentesters avant leur audit (accès administrateur au serveur, code source de l’application, schéma réseau, etc.).
  3. Test d’intrusion en boite grise : les pentesters ont quelques informations sur la cible (accès utilisateurs sur la plateforme, whitelisting sur les outils de sécurité en place, etc.).

Les tests d’intrusion en boite noire sont les plus proches d’une situation réelle. Le pirate informatique n’a pas accès à des informations sur l’entreprise. Il va donc tester systématiquement toutes les possibilités de faille de votre réseau. Ainsi, ces tests seront très exhaustifs et moins représentatifs du niveau de sécurité. En effet, un attaquant peut y passer autant de temps qu’il le désire tandis qu’un pentester a un temps de mission spécifique, défini avec l’entreprise cliente.

A contrario, les tests d’intrusion en boîte blanche permettront de mettre l’accent sur une vulnérabilité déjà détectée afin d’en mesurer le risque et la fragilité. On peut faire réaliser ses tests à l’aide de logiciels de pentests automatisés ou par des spécialistes humains des pentests.

Avantages et inconvénients des tests d’intrusion automatisés

Un test d’intrusion automatisé semble souvent la solution la plus économique pour les entreprises. En effet, elle évite de faire appel à une entreprise hautement spécialisé et permet une certaine automatisation des tests pour les applications installées dans les locaux de la société.

Ce type de tests implique l’utilisation de logiciels spécifiques commercialisés par des prestataires réputés dans le domaine de la cybersécurité : Patrolw, Pentera…

Pour une entreprise qui ne dispose pas d’un Service Informatique (SI) adéquat, ces logiciels apportent un côté rassurant : les éditeurs qui les proposent sont des spécialistes, on peut leur faire confiance pour mettre les risques en exergue. Il faut ensuite faire le nécessaire afin de sécuriser correctement le service informatique.

Bien sûr, mais le danger est de sous-estimer le niveau de risque de votre entreprise et de mal choisir (ou de mal utiliser) ces tests d’intrusion automatisés censés scanner chacune de vos applications. En effet, beaucoup de facteurs interviennent pour évaluer le risque d’intrusion de votre réseau :

  • La sensibilité de vos données (ex : données médicales personnelles, données financières)
  • Le nombre d’applications intégrées à votre réseau (ont-elles toutes été auditées et dans leur version la plus récente ?)
  • La fréquence des audits de sécurité de votre réseau (de nouvelles applications ont-elles été ajoutées depuis vos derniers tests automatisés ?)
  • La personnalisation de vos programmes (difficiles à évaluer par des scanners de vulnérabilité)

Il suffit d’une seule faille de sécurité non détectée par des tests d’intrusion automatisés pour que l’ensemble de votre réseau soit vulnérable. C’est le principal inconvénient des outils de pentests automatisés.

Ainsi, les scanners de vulnérabilité se contentent souvent de vous retourner une liste de failles potentielles, mais sans vous spécifier dans quel contexte une telle faille peut être exploitée. En particulier, ces logiciels comprennent encore assez mal les dysfonctionnements de programme informatique logiques, par exemple, l’accès aux factures d’un autre client uniquement en changeant l’URL.

Même s’ils évoluent rapidement et régulièrement, les logiciels de tests d’intrusion automatisés ne sont pas toujours capables de détecter les failles les plus récentes, comme un contournement d’authentification ou encore un IDOR (Insecure Direct Object Reference).

Leur principal inconvénient, pour l’entreprise, est donc d’avoir un sentiment de sécurité optimal faussé. Ils restent par contre très utiles pour traiter rapidement des tâches récurrentes, mais sous la supervision d’un spécialiste.

Avantages et inconvénients des pentests réalisés par des spécialistes humains

Une entreprise dont le nombre d’applications et d’ordinateurs croît rapidement à tout intérêt à faire appel à des spécialistes de la cybersécurité. Ce type de profil est très recherché sur le marché du travail. Ainsi, il peut être difficile de trouver une personne disposant à la fois de compétences sur votre solution et de suffisamment d’expérience dans ce domaine.

Le principal avantage, en faisant appel à des experts en cybersécurité et donc à des pentesters humains, est d’avoir à faire à des professionnels pouvant prévenir l’intrusion informatique.

Autre avantage : votre spécialiste en cybersécurité pourra valider manuellement les tests d’intrusion récurrents effectués par des logiciels et les compléter par des tests spécifiques, par exemple sur des programmes développés en interne.

Il sera bien entendu nécessaire d’établir une politique de sécurité stricte et des process clairement définis pour tous les collaborateurs de l’entreprise afin que le SI puisse contrôler tous les appareils et réseaux utilisés.

Vous avez compris que la décision de faire appel à des pentesters humains implique une adaptation de tous les services de votre société et l’utilisation de nouveaux budgets permettant l’achat de matériel, de logiciels et un investissement pour la prestation de ces spécialistes.

Tests d’intrusion automatisés VS pentesters humains : tableau comparatif

Tests d’intrusion automatisésPentesters humains
Adaptabilité à vos réseauxRéseau interne et externeRéseau interne et externe
Temps de déploiementRapideLent
Besoin en ressources humainesLimitéImportant
Couverture des risquesPartielleTotale
Personnalisation à vos programmesLimitéeTotale
Budgétisation des ressourcesMoyenneImportante

Conclusion : les tests humains restent indispensables pour s’assurer que la totalité des risques d’intrusion sont pris en considération et pour couvrir à la fois votre réseau externe et votre réseau interne, malgré le coût en ressources humaines et logicielles. Ceci parce que les conséquences d’une attaque informatique deviennent de plus en plus graves pour les entreprises digitalisées.

Les recommandations de Digitemis

Chaque entreprise a une dépendance différente à son système informatique. Si votre budget est limité et que le risque informatique est acceptable pour vos activités économiques, vous pouvez commencer par investir uniquement dans une solution de tests d’intrusion automatisés. Digitemis peut vous apporter son expertise pour auditer les risques informatiques de votre réseau et vous aider à monter en compétence sur cette solution.

Cependant, si votre système informatique est vital pour la survie de votre entreprise, alors nous vous recommandons d’opter pour des tests d’intrusion effectués par un pentester compétent. Nos spécialistes sont à votre disposition pour vous apporter leur expertise.

Contactez-nous

Je partage

Derniers articles

DPO interne ou externe : les clés pour faire le bon choix

La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité (article 37 à 39 du RGPD). Elle est obligatoire dans certains cas et reste fortement conseillée pour les autres. En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers cet article, découvrez les points de vigilance à intégrer à votre réflexion.

Lire l'article

Comment évaluer la résilience de votre entreprise face aux attaques informatiques ?

La résilience en cybersécurité est cruciale pour toutes les entreprises, quel que soit sa taille ou son secteur d’activité. Cela englobe la capacité à anticiper, prévenir, et récupérer de diverses menaces informatiques. Digitemis vous aide à évaluer votre résilience.

Lire l'article