Le besoin de tests d’intrusion augmente avec les cyberattaques

«La meilleure défense c'est l'attaque», a récemment déclaré Don Goff, Pdg de CSTAR Systems, une firme de consultants qui se concentrent sur la cybersécurité, lors de GovSec, une conférence dédiée à la sécurité des SI gouvernementaux qui se déroulait à Washington, DC, aux Etats-Unis. «En matière de Cybersécurité on est passé d'une approche consistant à bâtir une petite forteresse autour du centre de données à une approche traitant l'ensemble du périmètre de l'entreprise et qui couvre toute une gamme de périphériques reliés par IP - Cela inclut vos téléphones, ordinateurs de poche, les clés USB, les ordinateurs portables et tout le reste de vos supports portable. La réflexion de base est que [les gestionnaires] doivent être proactifs plutôt que réactifs car une fois que le problème est dans la nature, il est beaucoup trop tard. "

Les tests d’intrusion sont une composante de plus en plus essentielle d’une stratégie de sécurité pro-active; des tests qui imitent les cyber-attaques du monde réel pour identifier les méthodes permettant de contourner les nouvelles fonctionnalités de sécurité d'une application, d’un système ou d’unréseau. L’analyse de vulnérabilités n'est pas suffisante, selon Mark Hatton, Pdg de Core Security Technologies, qui propose des outils de test de sécurité d'entreprise et des services connexes et compte plus de 60 clients parmi lesquels des agences de la Défense.

«Il n’y a tout simplement aucun moyen de savoir si oui ou non une vulnérabilité représente un risque réel pour une infrastructure donnée sans chercher à l’exploiter,» explique Hatton. «Et l’exploiter, c’est plus que simplement regarder si un exploit peut être utilisé avec succès face à une vulnérabilité. C’est comprendre l’étendue de l’intrusion que permet cette vulnérabilité.»

Les tests d’intrusion sont la clé

Les tests d’intrusion s’imposent de plus en plus à mesure que les appareils informatiques mobiles et les applications Web prolifèrent sur les réseaux, créant de nouvelles surfaces d’attaques multiples. «Un grand nombre d'attaques adopte une approche multi-vecteurs», relève Hatton. «Les attaquants ne se contentent pas d’un unique chemin. Par exemple, votre appareil mobile est connecté à une application Web elle-même connectée à un réseau. [Un attaquant] qui a compromis le dispositif mobile a créé un point d'accès dans votre réseau. C'est une approche en zig-zag dans l'infrastructure d'un organisme.»

En conséquence, une simple analyse des vulnérabilités peut donner l’impression d’un réseau protégé alors que les surfaces d’attaques connectées au réseau ne le sont pas.

En outre, sans reproduire les attaques du monde réel contre une entreprise, vous restez dans «le monde de la probabilité,» parce que chercher simplement des vulnérabilités produira une grande quantité de données qui peuvent être de faux positifs, à hauteur de 30 à 40 %, explique Hatton.

«Dans le monde des cyber-attaques, Il n'y a pas de faux positifs,» juge-t-il. «Soit l'attaquant réussit à franchir le système, soit il reste à l’extérieur. Si nous dépensons 30 à 40 % de notre temps à identifier et écarter des informations erronées, nous sommes constamment en retard sur l'agresseur potentiel. C'est pourquoi les tests d’intrusion, en particulier, sont devenu la pierre angulaire de la validation des vulnérabilités.»

La publication spéciale 800-53 de l'Institut national américain des normes et des technologies, qui recommande les contrôles de sécurité des systèmes d'information du gouvernement fédéral des Etats-Unis, présente les tests d’intrusion comme la technique de choix pour valider les dispositifs de sécurité dans le cadre de la loi sur la gestion des SI fédéraux. Loi à laquelle les administrations américaines doivent se conformer. Le guide SP 800-15 du NIST, un guide technique pour l’évaluation de la sécurité de l'information, fournit également des indications sur les tests d’intrusion, entre autres.

Selon l’appendice G du NIST SP 800-53A, un programme de tests d’intrusion efficace doit :

• aller au-delà de l’analyse des vulnérabilités et fournir la preuve explicite des risques. Il devrait fournir notamment un indicateur du niveau de l'effort dont aurait besoin un adversaire pour nuire à l'organisation et à ses actifs.

• Aborder le système d'information comme le ferait un adversaire en prenant en compte compte les vulnérabilités, les configurations système incorrect, les relations de confiance entre les organisations impliquées dans le SI et les faiblesses architecturale de l'environnement à pénétrer

• documenter soigneusement toutes les activités réalisées pendant l'essai,
y compris toutes les vulnérabilités exploitées et comment ces vulnérabilités
ont été exploitées pour l'attaque

• Produire une idée du niveau de risque par typologie d'attaquant en indiquant le
niveau d'effort qu'à du mettre en oeuvre l'équipe de test de pénétration pour infiltrer à le système d'information. Il s'agit là de fournir un indicateur de la résistance à la pénétration du système

• Valider les mécanismes de sécurité en place y compris les mécanismes de réduction des risques tels que les pare-feux et les systèmes de détection d'intrusion

• Fournir des indications sur les mesures correctives à mettre en oeuvre pour parer les attaques qui ont abouti à une intrusion pendant le test

«L'argument selon lequel les tests d’intrusion fournissent la vision la plus exacte du risque qui pèse sur vos infrastructures a été largement accepté,» estime Hatton. «Alors qu'il y a encore cinq ou six ans, recourir à ce genre de pratiques vous aurait largement fait passer pour un fou ...»

Par Richard W. Walker, journaliste indépendant, pour SearchSecurity.com.

Adapté de l’anglais pas la rédaction.