Avant de démarrer un test d’intrusion (pentest), faut-il présenter votre produit ou votre solution aux pentesters (spécialistes en charge des audits de sécurité) ? Tout dépend de votre situation et de vos objectifs !
Ne pas faire de démo avant un test d’intrusion : quels avantages ?
Si vous souhaitez évaluer la sécurité de votre solution dans des conditions réalistes et les plus proches d’une cyberattaque, il est préférable de ne pas faire une démo aux pentesters. Durant le test d’intrusion, ils découvrent ainsi la solution lors de leur préparation, via les informations disponibles en ligne et au fur et à mesure de leurs attaques. Ils se mettent dans la peau d’un attaquant, suivent le même chemin de réflexion et verront les mêmes points sensibles.
Laisser les pentesters découvrir votre produit ou solution a de plus l’avantage de les laisser porter un regard neuf sur votre situation. De plus, ils ne vont pas concentrer les tests sur des éléments que vous auriez indiqués, mais vont déterminer eux-mêmes les attaques prioritaires en fonction des informations qu’ils collectent.
Ne pas présenter votre solution convient pour les produits fonctionnellement simples à prendre en main. Les pentesters ont l’expérience pour tester des solutions diverses, ce qui leur permet d’identifier les processus de fonctionnement du produit sans avoir besoin d’une présentation.
Cette approche sans démo correspond à un test d’intrusion externe (pentest externe). Comme un attaquant ayant accès depuis internet à votre solution, les pentesters trouvent et testent les éléments accessibles à tous. Ces éléments accessibles et exposés sur internet sont des parties à surveiller avec attention, car ils sont soumis à des attaques générales ou ciblées. Le test d’intrusion peut être un audit en boite noire (pentest Black Box) ou en boite grise (pentest Grey Box).
Faire une démo avant un test d’intrusion : quels avantages ?
Présenter sa solution avant de commencer un test d’intrusion a l’avantage de donner aux pentesters une bonne compréhension du produit. Cela est pertinent pour les solutions métiers complexes, pour lesquelles le workflow est spécifique et lié au secteur d’activité. Les attaques menées seront ainsi judicieuses par rapport aux enjeux précis de l’activité. La bonne compréhension de la logique métier est de plus essentielle pour tester les failles logiques.
Avoir une démo est aussi un avantage pour les tests d’intrusion approfondis, qui visent à évaluer en détail la sécurité d’une solution. Connaître en amont l’articulation des fonctionnalités permet de mieux les tester, afin de ne pas oublier d’éléments qui sont utilisés par le produit. Cela est également adapté pour les produits qui évoluent fonctionnellement ou pour lesquels de nouvelles fonctionnalités sont ajoutées régulièrement.
Enfin, la présentation permet aux pentesters d’établir un plan d’attaque dès le début du test d’intrusion afin d’optimiser le temps imparti pour l’audit de sécurité. Ils ciblent ainsi directement les éléments importants à tester, car ils connaissent le fonctionnement de votre produit.
Pour conclure, faire ou ne pas faire une démo de son produit aux pentesters avant de démarrer un test d’intrusion correspond à des objectifs différents. Prenez le temps de réfléchir à votre besoin et n’hésitez pas à échanger avec votre prestataire de pentest pour faire le choix qui répond le mieux à votre situation.