Audit de vulnérabilités et Pentest : Intérêts, objectifs et différences
Axe indispensable d’une démarche cybersécurité, les audits techniques sont l’un des principaux moyens de contrôles et de maintien du niveau de sécurité de son système d’information. Cette démarche, partie intégrante de la démarche ISO 27001, s’inscrit pleinement dans l’évaluation et la maîtrise des risques cybersécurité.
Les audits de vulnérabilités et les tests d’intrusion sont deux des approches habituellement utilisées dans ce cadre. Mais en connaissez-vous les différences et savez-vous comment les utiliser au mieux pour répondre à vos besoins ?
Qu’est-ce qu’un audit de vulnérabilité ?
C’est une approche basée sur l’utilisation d’outils automatisés (scanner, scripts…), préalablement configurés par rapport au contexte et aux technologies testées sur un système d’information. Ils s’appuient sur des bases de connaissances de vulnérabilités connues de différents OS, logiciels, services et équipements couramment utilisés.
Les objectifs d’un audit de vulnérabilité sont donc :
- Détecter et lister les failles des systèmes audités (selon les modèles et version spécifique des services accessibles) ;
- Rechercher des erreurs de configuration courantes, pouvant exposer le système d’information à des attaques ;
- Fournir une évaluation de la criticité des vulnérabilités découvertes (généralement basé sur les standards CVSS)
Ce type d’audit est habituellement utilisé sur un périmètre assez large, et réalisé de façon récurrente (mensuel, trimestriel ou semestriel selon la sensibilité) afin de mettre en place des actions correctives continues répondant aux nouvelles failles régulièrement publiées. Ces actions viennent généralement compléter une politique de patch management.
Pour réaliser ce type de tests, une maîtrise des paramètres est nécessaire afin de ne pas perturber le fonctionnement du système d’information. Par ailleurs, pour qu’ils soient le plus pertinents et exploitables possibles, les résultats obtenus doivent être adaptés au contexte de l’entreprise par une personne ayant une connaissance fine des vulnérabilités et de leurs exploitabilités réelles.
On notera que ces tests restent cependant limités par leur faible capacité à déceler des failles logiques, se révélant donc peu adaptés pour auditer les infrastructures Cloud.
Qu’est-ce qu’un pentest ?
Le test d’intrusion, aussi connu sous le nom de « pentest », est une simulation de piratage qui identifie les possibilités de contourner les défenses mises en place en combinant et exploitant des failles. Le périmètre de réalisation est généralement limité et ciblé sur les éléments les plus sensibles du système d’information (site web, accès à des serveurs sensibles…). La démarche ISO 27001 recommande d’effectuer des tests d’intrusion au moins une fois par an, et systématiquement après une évolution majeure de l’architecture, d’une application ou d’un site web.
Les objectifs d’un pentest sont donc :
- Rechercher et tester les scénarios qu’un attaquant pourrait mettre en œuvre pour s’introduire et compromettre le système d’information ;
- Tester la robustesse et l’efficacité des mesures de protection mises en place ;
- Rechercher et proposer les axes d’amélioration pour limiter les risques d’intrusion.
Un pentester ou hacker éthique va employer les mêmes techniques qu’un pirate pour réaliser des tentatives d’intrusion, s’arroger des droits et privilèges supplémentaires, obtenir des accès à des données confidentielles ou protégées.
Il s’appuiera pour cela sur des outils automatiques ou développés par ses soins, des scripts, et des commandes et actions manuelles. En recherchant et combinant différentes failles techniques ou de conception, il conçoit et met en œuvre des scénarios d’attaque pour contourner les protections mises en place et recherche les moyens d’étendre ses actions à l’ensemble du système d’information.
Les tests d’intrusion peuvent être réalisés sur des accès externes ou internes au système d’information, et sont effectués selon trois approches distinctes et complémentaires :
- Sans information spécifique sur les éléments ciblés autre que les URL ou adresse IP. On parlera alors de tests en boîte noire (ou Black Box). Cette approche est systématiquement utilisée dans le cadre d’un pentest, afin de simuler les actions possibles d’un attaquant externe ou interne (visiteur, intrus…).
- Avec un compte de connexion standard avec des droits minimums. On parlera alors de tests en boîte grise (ou Grey Box). Cette approche permet de simuler les actions possibles d’un attaquant ayant un compte de connexion (obtenu à la suite d’un phishing, stagiaire ou ancien collaborateur…) et cherchant à l’utiliser pour accéder de façon illégitime à des informations.
- Avec l’ensemble des informations techniques et des comptes de connexion avec des privilèges élevés. On parlera alors de tests en boîte blanche (ou White Box). Cette approche est utilisée pour permettre une réalisation la plus étendue possible des tests d’intrusion.
Les audits de vulnérabilité et tests d’intrusion peuvent-ils avoir un impact sur le système d’information ?
Diverses mesures sont prises en amont et au cours de l’audit pour prévenir l’impact potentiel des tests sur la stabilité de l’environnement technologique et la continuité des opérations de production. Un plan d’audit est initialement mis en place afin de prendre en compte les risques techniques, les plages horaires de réalisation des tests… et prévenir tout impact potentiel.
Comment sont évalués les risques identifiés ?
La criticité des failles est évaluée selon 4 niveaux (critique, élevé, modéré, faible). Les critères sont habituellement basés sur la norme du Common Vulnerability Scoring System (CVSS) et sur le contexte de l’entreprise. Deux critères principaux sont pris en compte pour évaluer le niveau de risque :
- L’impact potentiel : L’impact potentiel d’une attaque est basé sur les effets qu’elle produirait en termes de Disponibilité, Confidentialité et d’Intégrité des données ou du système d’information.
- Exploitabilité : L’exploitabilité potentielle d’une vulnérabilité mesure la complexité à utiliser une faille. Elle influe sur la vraisemblance, l’occurrence et la probabilité qu’un scénario d’attaque se réalise. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple : vecteur d’accès, authentification, complexité opérationnelle et technique, etc.)
Quels retours sur investissement ?
Les audits de vulnérabilité et les tests d’intrusion permettent, par leurs approches différentes et complémentaires, de détecter des failles de sécurité techniques comme logiques, et de les corriger avant qu’elles ne soient exploitées dans le cadre d’une attaque. Ils contribuent donc à prévenir les risques de fuites de données ou de piratages potentiels, aux conséquences importantes : perte financière, de productivité, d’opportunité, d’image, risques légaux et contractuels, risques d’accidents…
Les entreprises stockent majoritairement leurs données stratégiques et commerciales de manière dématérialisée. Leur intégrité et leur confidentialité sont une source de valeur trop souvent sous-estimée. Ils sont une part importante des actifs immatériels de l’entreprise, un savoir-faire et une valeur propre que les audits de sécurité contribuent à préserver. Un audit de sécurité est donc un investissement permettant de mieux maîtriser ses risques cybersécurité. Il s’inscrit dans la démarche stratégique de l’entreprise.
Conclusion
Choisir entre un pentest et un audit de vulnérabilités dépend de votre contexte : des mesures de sécurité déjà faites ou en place, les risques spécifiques, l’enveloppe budgétaire… Ces deux types de prestation, complémentaires, répondent à des besoins et à des situations différentes. Il est donc important d’échanger au préalable avec nos directeurs de projet pour vous accompagner dans le choix de l’approche la plus adaptée.