Points positifs et négatifs du test de pénétration

Les attaques cybernétiques sont peu onéreuses à mener et peuvent coûter cher aux entreprises qui sont touchées. Les botnets sont peu coûteux, les logiciels de piratage informatique sont facilement accessibles et les personnes n’ayant pas de connaissances techniques ou pratiques dans ce domaine peuvent même acheter des attaques informatiques sous forme de service.

Les attaques peuvent paralyser les systèmes d’une entreprise, engendrer des amendes importantes ainsi qu’une atteinte à la réputation de l’entreprise, le tout avec un coût d’investissement très bas. Aucune entreprise n’est à l’abri.

C’est là que le test de pénétration (« pen testing ») entre en jeu. Il s’agit essentiellement d’une forme d’attaque contrôlée durant laquelle un pen tester professionnel qui travaille pour une entreprise, utilise les techniques d’un hacker criminel afin de chercher les vulnérabilités de réseau et des applications de l’entreprise

Le test de pénétration est largement reconnu comme étant une partie importante de la cyber sécurité (il est, par exemple, requis dans un certain nombre de normes réglementaires et de programme de conformité), mais, comme tout mécanisme de sécurité, il n’est pas parfait.

Vous trouverez ci-dessous les points positifs et négatifs les plus importants des tests de pénétration :

Points positifs

  • Ils permettent d’identifier des vulnérabilités.

Les entreprises sont vulnérables face à de nombreuses menaces et chacune de ces menaces exploitent des centaines de vulnérabilités différentes. De telles faiblesses exposent l’entreprise à des attaques potentiellement désastreuses telles que les injection SQL et des choses aussi bénignes qu’une page d’erreur peuvent fournir aux attaqueurs assez d’informations pour exploiter des vulnérabilités moins évidentes ou plus nuisibles.

  • Ils permettent d’identifier des faiblesses importantes qui résultent d’un ensemble de petites vulnérabilités.

Prises séparément, les petites vulnérabilités peuvent paraitre négligeable mais les hackers recherchent souvent ces faiblesses afin de créer une série d’intrusions qui requièrent seulement de petits efforts pour faire de ces écarts de sécurité des faiblesses de plus grande envergure. Ces écarts sont souvent négligés par les entreprises ou par les systèmes de sécurité automatisés, mais les pen testers reproduisant les méthodes des hackers seront capables d’identifier les points d’entrée.

  • Les rapports offrent des conseils précis

Les étapes finales du test de pénétration permettent de rapporter les vulnérabilités. Contrairement aux rapports automatiques générés par des outils qui donnent des solutions génériques, les tests de pénétration classent et notent les vulnérabilités selon une échelle de risques et selon le budget de l’entreprise.

 

Points négatifs

  • Si les tests ne sont pas faits correctement ils peuvent créer beaucoup de dégâts.

Les tests qui ne sont pas menés correctement peuvent provoquer l’arrêt des serveurs, exposer des données sensibles, corrompre la création de données essentielles ou provoquer un ensemble d’effets indésirables associés à des reproductions de hacks criminels.

  • Vous devez faire confiance au pen tester.

Les tests de pénétration signifient que vous invitez une personne à hacker vos systèmes, vous devez donc vous fier au pen tester pour ne pas abuser de ses compétences et de ses connaissances. Si vous n’engagez pas une personne de confiance pour faire ce travail, ces tests de sécurité pourraient se retourner contre vous.

  • Si vous ne créez pas des conditions de test réalistes, les résultats seront trompeurs.

Il est probable que les employés se préparent pour le test s’ils savent qu’il va avoir lieu, ce qui peut faire apparaitre l’entreprise comme étant plus forte qu’elle ne l’est vraiment. Une véritable attaque arrive sans prévenir et de façon créative et difficile à planifier.

 

En savoir plus sur les tests de pénétration

Si vous envisagez de réaliser un test de pénétration, IT Governance vous offre divers services sous forme de forfaits à prix fixe. Nous avons récemment publié une fiche de données qui présente nos services, méthodologies ainsi que les bénéfices d’utiliser IT Governance. Nous sommes accrédités CREST, tout comme nos pen testers et nous sommes experts de plusieurs normes, telles que PCI DSS, ISO 27001 et ISO 22301.

Lire notre fiche de données

Leave a Reply

Your email address will not be published. Required fields are marked *