Test d’intrusion : Synack combine automatisation et crowdsourcing

Jay Kaplan et Mark Kuhr, deux anciens de la NSA, ont fondé Synack en 2013. Dans un échange avec la rédaction, le premier explique leur motivation : « la plupart des entreprises qui évaluent leur posture de sécurité en s’appuyant sur des tests d’intrusion le font une fois par an, sur une semaine, et généralement à des fins d’audit plus que véritablement de sécurité. Nous voulions changer cela et amener à passer à un modèle plus continu ». Voilà pour le premier volet de leur démarche.

Le second touche aux personnes impliquées dans les tests : « historiquement, ils sont conduits par des personnes avec des niveaux d’expertise variés. Et les outils qu’ils utilisent passent à côté de nombreux problèmes pourtant importants pour les entreprises qui commandent ce genre d’évaluations ». Pour essayer d’adresser cette problématique, Synack mise sur le crowdsourcing. Car en procédant ainsi, « nous pouvons recruter et fidéliser un réseau mondial de chercheurs en sécurité réseau venus de plus de 85 pays, et les utiliser effectivement pour trouver des vulnérabilités chez nos clients », explique Jay Kaplan. Surtout, « nous faisons cela en continu ; il ne s’agit pas d’évaluations ponctuelles ». Et de revendiquer travailler avec « des hackers éthiques hautement compétents et confirmés ».

Alors, certes, les outils ne manquent pas pour établir et surveiller son empreinte numérique, la surface d’attaque que l’on expose en ligne. Mais pour Jay Kaplan, tous ces outils « passent à côté de beaucoup de choses ». Par exemple, « certaines classes de vulnérabilité, comme celles touchant à la logique applicative, ou d’autres comme les injections SQL… vous ne trouverez pas ça avec un scanner de vulnérabilités. C’est l’une des raisons pour lesquelles les grandes brèches surviennent ». Alors pour lui, « avec l’automatisation, nous estimons qu’il est possible de trouver jusqu’à 60 % des vulnérabilités », mais pas plus. Et cela ne serait que parce que le logiciel utilisé « n’a pas une compréhension contextuelle de l’environnement dans lequel il se trouve ».

Qui plus est, relève Jay Kaplan, ces outils automatisés « sont incroyablement bruyants. Et cela pose un vrai problème à des entreprises qui sont inondées d’alertes, et finissent par ne plus savoir comment et à quoi répondre. La hiérarchisation de l’information est incroyablement difficile ». C’est pour cela que Synack a développé ses propres outils.

Il y a bien dans la plateforme de la jeune pousse, une part d’automatisation, ne serait-ce que pour la reconnaissance initiale visant à cartographier la surface d’attaque exposée, et éviter que tout le réseau de chercheurs de Synack ne se lance au même moment dans une reconnaissance elle-même trop bruyante. Les vulnérabilités identifiées à cette occasion sont transmises aux chercheurs qui peuvent alors en vérifier l’exploitabilité. De quoi réduire le nombre de faux positifs et fournir aux clients une photographie plus juste de leurs risques.

Mais l’objectif est double : « trouver des défauts de configuration dans l’infrastructure, mais aussi dans les applications. Nous attachons beaucoup d’importance au volet applicatif ».  

Pour aider les entreprises à traiter les problèmes identifiés, la plateforme de Synack peut s’intégrer directement avec leurs outils de gestion de workflows, comme ServiceNow ou Jira, notamment pour aider à l’implication des équipes de développement. Et lorsqu’un client indique avoir corrigé un problème, les équipes de Synack lancent immédiatement une vérification. À cela s’ajoutent des indicateurs quantitatifs évaluant la robustesse de l’organisation, en continu.

De leur côté, les chercheurs impliqués sont payés en fonction de leurs découvertes. Dès lors, « ils sont très motivés à trouver des problèmes critiques », et pas uniquement les plus triviaux.
Mais n’y a-t-il pas là une forme « d’uberisation » ? « D’une certaine façon, c’est une bonne comparaison. Nous sommes un peu le modèle freelance du test d’intrusion », reconnaît Jay Kaplan. Et si cela fonctionne, c’est selon lui notamment parce que les membres de sa communauté de hackers éthiques « ne veulent pas travailler à plein temps pour une seule entreprise. Ils adorent pouvoir travailler sur des projets qui les intéressent ».

Dès lors, le co-fondateur de Synack l’assure : « c’est ainsi que nous sommes en mesure d’attirer des talents auxquels la plupart des entreprises n’ont pas accès ». Et pas question de laisser entrer n’importe qui, d’ailleurs : « dès le début, nous nous penchons sur les compétences des volontaires, mais nous évaluons aussi la confiance que nous pouvons leur accorder ». Cela passe par un examen complet, encadré contractuellement et par un accord de confidentialité.

Certes, au lancement de l’entreprise, certains prospects ont pu avoir des réserves et des craintes. Mais avec le temps, et les processus, toutes les activités des chercheurs peuvent être auditées, la confiance a pu être gagnée. Au point que Synack revendique aujourd’hui, travailler avec bon nombre des plus grandes entreprises au monde : « nos clients réalisent aussi que le risque de ne pas faire [conduire des tests avec nous] est en fait plus grand que celui de nous faire confiance ».