Gestion de la surface d'attaque ou tests de pénétration, de quoi ai-je besoin ?

"Je ne pense pas que nous ayons besoin de votre solution car nous effectuons déjà des tests de pénétration chaque année. "  C'est ce que nous entendons souvent lors d'une première rencontre avec un client potentiel. Et c'est une bonne chose, car cela contribue à améliorer vos défenses en matière de cybersécurité. 
Les tests de pénétration et les solutions de gestion de la surface d'attaque sont des mesures de cybersécurité proactives qui donnent aux clients une visibilité sur les risques qui peuvent être exploités à distance par des pirates.  Toutefois, les tests d'intrusion présentent certaines limites importantes dont il faut être conscient.  C'est là que la gestion de la surface d'attaque entre en jeu.

Commençons par quelques définitions.

Qu'est-ce que la gestion de la surface d'attaque ?

La gestion de la surface d'attaque, ou Attack Surface Management (ASM) est un processus continu de découverte, d'analyse, de correction et de surveillance des vulnérabilités en matière de cybersécurité et des vecteurs d'attaque potentiels qui constituent la surface d'attaque d'une organisation.  À l'instar des tests de pénétration et du piratage éthique, l’ASM est réalisée du point de vue d'un pirate informatique. Elle identifie les actifs informatiques et réseau ciblés et évalue les risques de sécurité en fonction des opportunités qu'ils offrent à un attaquant malveillant. 

Les solutions ASM automatisent la découverte des actifs et l'analyse de la sécurité, en utilisant un grand nombre de méthodes et d'outils identiques à ceux utilisés par les pirates.  De nombreuses tâches et technologies ASM sont également utilisées (et conçues) par les testeurs de pénétration pour réduire la quantité de travail manuel.

Qu'est-ce qu'un test de pénétration ?

Le test de pénétration, également connu sous le nom de "pen testing" ou "ethical hacking", est une méthode permettant d'assurer la sécurité d'un système informatique. Un expert en cybersécurité tente de violer tout ou partie de la sécurité de ce système dans un délai prédéterminé (allant de quelques jours à plusieurs semaines), en utilisant les mêmes outils et techniques qu'un pirate informatique.

Les différences essentielles entre les tests d'intrusion et l'ASM

Ils ont un objectif différent

Les tests de pénétration doivent être considérés comme une méthode permettant de s'assurer des processus d'évaluation et de gestion des vulnérabilités d'une entreprise, et non comme une méthode primaire de détection des vulnérabilités.   Un test de pénétration peut être considéré comme un audit financier. Alors que l'équipe financière interne suit les coûts et les recettes au quotidien, un audit réalisé par une partie externe permet de s'assurer que les processus et les contrôles internes sont adéquats.

Les solutions de gestion de la surface d'attaque, quant à elles, aident les équipes de sécurité interne à détecter en permanence les vulnérabilités.

Leur champ d'application est différent

Les pentests sont réalisés sur un petit nombre d'actifs prédéfinis.   Sur ces actifs sélectionnés, un large éventail de tests est exécuté, certains manuels, d'autres automatisés.  Mais alors que les tests de pénétration vont en profondeur, leur champ d'application est généralement limité à une poignée de systèmes, généralement critiques. La principale raison de cette limitation est le coût important d'un pentest. 

Une analyse de la surface d'attaque permet de découvrir l'ensemble des systèmes informatiques et de réseau visibles de l'extérieur, également appelés "empreinte numérique" d'une entreprise.   Sur les actifs détectés, la solution de surface d'attaque exécute une série de tests automatisés pour détecter les vulnérabilités et autres risques de sécurité.

Ils ont un calendrier différent

Les tests d'intrusion vous donnent une idée des risques à un moment donné. Or, l'informatique d'une entreprise est en constante évolution. De nouvelles applications sont lancées, de nouveaux systèmes de réseau sont introduits, des mises à jour sont apportées aux applications et systèmes existants, d'anciennes ressources sont mises hors service, les privilèges administratifs sont modifiés....  Les tests de pénétration ne détecteront pas les problèmes de sécurité résultant de ces changements avant le prochain test.   

Les plates-formes ASM recherchent en permanence les modifications de l'empreinte numérique et détectent les vulnérabilités résultant de ces changements.

Les tests sont différents

Les tests ASM sont automatisés et se concentrent sur la détection des vulnérabilités, et non sur leur exploitation.   Les tests ne perturbent pas le fonctionnement des systèmes informatiques et des réseaux et ne déclenchent pas d'alertes de détection d'intrusion.

Alors que les tests ASM sont généralement non intrusifs et peuvent être utilisés pour analyser et surveiller les environnements de production, il est recommandé, pour les tests d'intrusion, d'effectuer les tests sur des environnements de pré-production ou de préparation, car ils peuvent être intrusifs.   Les testeurs de pénétration tentent d'exploiter les vulnérabilités avec une "créativité humaine", révélant plus de détails sur les vulnérabilités et leur degré d'exploitabilité.   Les pentests sont plus approfondis.   

L'analyse passive de l'ASM peut être complétée par des analyses actives ciblées des vulnérabilités.    Les scanners actifs de vulnérabilités effectuent beaucoup plus de tests que les scanners passifs et sont donc plus précis, mais aussi plus intrusifs.   Ainsi, comme pour les tests d'intrusion, ils doivent être ciblés sur des actifs spécifiques et leur exécution doit être planifiée.   Les scanners actifs peuvent être considérés comme une alternative peu coûteuse aux tests d'intrusion.   Bien qu'elles n'aient pas la "touche humaine", elles peuvent révéler la plupart des vulnérabilités pour une fraction du coût des tests d'intrusion.

Lequel est le meilleur ?

Les deux services ont leur place dans l'écosystème des solutions de cybersécurité.   Les services de gestion de la surface d'attaque sont utilisés pour cartographier l'empreinte numérique d'une entreprise et identifier les vulnérabilités identifiables de l'extérieur, éventuellement à l'aide d'un scanner de vulnérabilités actif.   Ils servent de point de départ aux équipes de sécurité internes pour identifier les vulnérabilités qui sont ensuite corrigées.  Elles sont également utilisées par les pentesters pour trouver des points d'entrée afin de commencer leur travail, et elles sont utilisées par les pirates informatiques comme point de départ de leurs activités malveillantes.   En remédiant aux risques rendus visibles par un service ASM, les pirates sont dissuadés de poursuivre leurs tentatives. 

Si vous voulez être aussi sûr que possible que des solutions critiques spécifiques sont correctement sécurisées, ou si vous voulez tester si vos mécanismes et procédures de défense de cybersécurité préventifs et protecteurs sont correctement définis, mis en œuvre et exécutés, alors un test ad hoc est ce qu'il vous faut.