L’un et l’autre sont considérés comme les meilleurs alliés des RSSI (et en général des personnes en charge de la sécurité). Ils sont toutefois deux outils différents dans une stratégie de sécurité. Quelles sont les différentes caractéristiques d’un pentest (test d’intrusion) et d’un scanner de vulnérabilités ?
Commençons par le scanner de vulnérabilités
Il s’agit d’un logiciel qui mène des tests sur votre plateforme – votre système d’information – … pour détecter des vulnérabilités. Un scanner identifie les vulnérabilités grâce à sa base de données qui contient les vulnérabilités connues et les problèmes de sécurité courants.
Première caractéristique, les tests sont automatiques. Cela signifie qu’ils sont rapides et un système entier peut être facilement testé en quelques heures / jours, en fonction de sa taille.
Deuxième point, un scan de vulnérabilité peut être planifié à des horaires précis ; par exemple en dehors des heures de travail ou lorsque cela est le plus pratique pour votre organisation.
Vous pouvez alors prévoir des scans réguliers et avoir par conséquent un monitoring en continu (ou presque).
Une troisième caractéristique est la base de données, qui est l’élément central des scanners. La base de données est mise à jour quotidiennement avec les dernières vulnérabilités publiées. C’est un bon avantage pour remédier rapidement aux dernières menaces, comparé à un pentest conduit en général une à deux fois par an.
Enfin, un scanner de vulnérabilités a un coût moins élevé comparé à un pentest. Cependant, ce coût moins important à première vue est contrebalancé par le temps passé par les équipes techniques pour lire et confirmer ce qui a été trouvé par le scan de vulnérabilités. Régulièrement, des faux positifs sont inclus dans le rapport compilé à la fin du scan.
Notons également que les scanners ne testent que les vulnérabilités qu’ils ont dans leur base de données. Ils ne détectent pas les vulnérabilités non classifiées ou les failles logiques spécifiques à votre situation.
Regardons maintenant les caractéristiques d’un pentest
Un test d’intrusion est réalisé par un pentester, un spécialiste cybersécurité, qui découvre et exploite les vulnérabilités comme un vrai attaquant le ferait.
Première caractéristique, les vulnérabilités trouvées sont exploitées : cela permet de voir l’impact potentiel d’une attaque. Certaines vulnérabilités sont combinées pour aller plus loin dans les attaques. Les pentesters utilisent les pratiques actuelles des hackers malveillants, les mêmes méthodes et outils. Les attaques sont réalistes.
Deuxième point, les pentesters utilisent des outils automatiques du marché, mais également leurs propres outils et scripts qu’ils ont développés. Ils en font une utilisation précise et sont capables de les configurer pour leurs besoins en fonction de la situation.
Effectivement, comme il s’agit d’humains qui font les tests, ils sont en mesure d’analyser votre contexte pour voir les priorités à tester et à sécuriser. Ils ciblent les éléments qui sont les plus importants pour votre business.
Une troisième caractéristique du pentest est que cela détecte les failles logiques, qui ne sont pas des problèmes techniques à proprement parler. En résumé, une faille logique existe lorsqu’un processus logique ou un workflow peut être évité ou contourné.
Les humains sont capables de trouver des alternatives pour abuser des fonctionnalités, des services, comme ils comprennent le contexte d’application. Par conséquent, ils sont capables de tester le workflow ou comment la saisie de données d’utilisateurs peut être abusée, ce qu’un scanner automatique ne puisse pas.
Enfin, suite à un pentest, un rapport technique détaillé avec les failles et les attaques conduites est remis. Il inclut aussi des recommandations de corrections concrètes qui peuvent être appliquées directement. Le coût initial d’un pentest, en apparence plus élevé, est compensé par le temps gagné des équipes techniques. Un test d’intrusion est une solution clé en main.
En conclusion, choisir entre un pentest et un scanner de vulnérabilités dépend de votre contexte : des mesures de sécurité déjà faites ou en place, les risques spécifiques, l’enveloppe budgétaire, etc. Ils répondent à des besoins différents et à des situations différentes. Si vous devez choisir entre les deux, prenez le temps de réfléchir à chaque solution et contactez des fournisseurs pour échanger sur votre contexte spécifique.