Les entreprises ont plusieurs stratégies à leur disposition pour tester et renforcer leur cybersécurité : audit, test d’intrusion ou bug bounty. Comment choisir ? Revue de détail.
Audit : une première étape théorique
Les audits de cybersécurité servent en général à vérifier l’adéquation des politiques de sécurité de l’entreprise avec la réglementation ou les pratiques du secteur dans lequel elle opère. Il s’agit surtout d’éprouver les process de cybersécurité mis en place par l’organisation : bénéficie t-elle des sécurités élémentaires ? Dispose t-elle de procédures d’alerte en cas d’anomalie ? Les systèmes ont-ils été configurés de sorte qu’un pirate ne puisse pas s’emparer d’informations stratégiques ?
Test d’intrusion : une photo à un instant précis
Le test d’intrusion – ou pentest pour penetration test, en anglais – utilise les techniques des pirates pour tester la résistance des infrastructures d’une organisation, dans un cadre défini par celle-ci. « L’intérêt premier du test d’intrusion est de trouver des vulnérabilités dans les applications de l’entreprise, une fois qu’elles sont développées », explique Kévin Gallerin, directeur général Asie-Pacifique de la plateforme française de bug bounty YesWeHack.
« Comme le test d’intrusion est effectué par une ou plusieurs personnes qui ne sont pas spécialisées dans certains types de vulnérabilités, elle(s) vérifie(nt) les 10 vulnérabilités les plus communes recensées par l’Open Web Application Security (OWASP) », regrette l’expert. En 2021, les 3 principales concernaient des défauts dans les droits des utilisateurs authentifiés, des erreurs de chiffrement et des risques d’injection de commandes.
Ce test se fait, dans l’idéal, avant la mise en production des applications, c’est-à-dire avant qu’elles soient largement accessibles. Problème : « dans les faits, l’application mise en production est rarement 100% identique à ce qu’elle était en pré-production », précise Kévin Gallerin. Des fonctionnalités sont souvent modifiées en dernière minute, ce qui rend le test effectué précédemment moins pertinent. Et réaliser un test d’intrusion dans une application déjà opérationnelle présente des limites évidentes, le test ne devant pas affecter le service pour les utilisateurs. Par ailleurs, pour rester en conformité avec la réglementation, les testeurs n’ont alors pas le droit d’accéder à des parties des applications qui contiennent des informations personnelles – comme les comptes des applications bancaires, par exemple.
Le test d’intrusion est donc une photo des vulnérabilités à un instant précis qui « ne permet jamais de tout voir » puisqu’il se cantonne au scope du testeur. Et qui devient obsolète dès qu’une mise à jour est effectuée sur l’application testée.
Bug bounty : un concours de hackers
La chasse au bug, ou bug bounty en anglais, est un concours entre plusieurs hackers éthiques : ils travaillent en même temps pour trouver le plus vite possible une ou plusieurs failles dans la cybersécurité d’une application et sont rémunérés selon la criticité de leur trouvaille. « Avoir plusieurs testeurs sur la même application permet de déceler des vulnérabilités différentes selon le niveau et le domaine d’expertise des testeurs », décrit Kévin Gallerin. De nombreuses plateformes spécialisées existent, à l’instar de YesWeHack, qui constituent des groupes d’attaquants aux expertises complémentaires afin de dénicher le plus de failles possibles.
Ces plateformes travaillent avec les entreprises sur le temps long : « la plupart de nos missions durent au moins 1 an », révèle le directeur général Asie-Pacifique de YesWeHack. Ce qui permet aux testeurs d’éprouver plusieurs fois la même application, au fur et à mesure des mises à jour.
Pour optimiser leur cybersécurité, les entreprises n’hésitent plus à combiner ces différentes stratégies. De quoi leur permettre d’être protégées au mieux face à des menaces en pleine recrudescence.