“Dans le temps et les moyens impartis aux tests…” : une phrase indispensable à tout rapport de test d’intrusion , et une grande frustration des pentesters !

Ce n’est quand même pas pareil de s’introduire dans une boulangerie, un stade de foot ou une fabrique de monnaie … suivez mon regard ou plutôt tendez l’oreille, vous fredonnez non ? 👺

Le périmètre n’est pas le même,

Les enjeux ne sont pas les mêmes,

Les défenses ne sont pas les mêmes 🤯,

🤷🏻‍♂️ Comment s’y retrouver alors lorsque l’on doit “pentester” (voir notre premier article) le système d’information d’une organisation ?

🥅 Un défenseur doit protéger toute sa cage de but alors qu’un attaquant n’a besoin que d’une seule brèche pour marquer. La dissymétrie est inhérente au jeu. 

Certes ! Mais le défenseur, à savoir l’organisation qui a diligenté “l’audit intrusif”, s’attend à ce que le pentester (voir notre second article) trouve TOUTES les brèches, identifie un maximum de chemins d’attaque vers les ressources ou données jugées sensibles…

Ceux qui ont déjà fait appel à des pentesters ont très probablement lu cette phrase dans le rapport final : 

“Dans le temps imparti aux tests d’intrusion, nous avons pu identifier les vulnérabilités suivantes ou encore nous avons réussi à prendre le contrôle de telle ou telle ressource du système d’information …”

⏳ Dans le temps imparti ? Késako ? Devrions nous comprendre que si les pentesters disposaient de plus de temps, ils auraient pu trouver plus de failles ? 

🏴‍☠️ Mais IRL, les attaquants ne sont pourtant pas limités en temps ! On lit d’ailleurs souvent qu’ils mettent des mois et des mois à préparer leurs méfaits (retrouvez notre entretien fictif avec les attaquants de Solarwinds ici).

Un test d’intrusion limité en temps … cela voudrait-il également dire limité en périmètre ! Un temps qui est forcément facturé, veut aussi dire, limité en temps/homme, en expertise, en effort … 

Ceci est d’autant plus exacerbé que la demande en évaluation de la sécurité des SI explose du fait de l’augmentation de la cybercriminalité et de la pression réglementaire. Si on y adjoint une rareté de la ressource en pentesting, le terreau est donc fertile pour que les offreurs en cybersécurité demandent toujours plus, en accordant d’autant moins de temps à leurs pentesters. Vous le voyez le 🍋 ?

Il y aurait ici tous les ingrédients pour un “faux sentiment” de sécurité #cyberwashing ⚠️

“Dans la limite du temps et des moyens impartis…” La frustration des pentesters que nous avons eu la chance d’interviewer est palpable.

Ça leur fait mal de rédiger cette phrase limitative, d’autant plus qu’ils jugent qu’ils ne disposent pas des moyens de formuler un avis “éclairé” sur la sécurité du SI qu’ils “pentestent”.

Limité en périmètre, en temps, en effort, en expertise, en fréquence : le pentest, pourtant si nécessaire pour se mettre un temps dans la peau de la menace, est-il encore efficace, durable … voire nécessaire pour rassurer ses clients, partenaires et prestataires à l’ère de l’agilité et de la transformation numérique galopante ?

Et vous, qu’avez-vous pensé des tests d’intrusion que vous avez diligentés ou exécutés ?

RDV dans un prochain billet !