OSEZ LE PENTEST INTERNE !

Comment savoir ce qui peut se produire une fois que CE COUPABLE – qu’il faut d’ailleurs jeter à la fosse aux lions (ndlr second degré bien entendu) – a cliqué sur ce lien de phishing, en dépit de toutes les campagnes de test de phishing que vous avez déroulées ?

Comment sortir de cette stigmatisation inefficace du facteur humain ? Comment bannir de son vocabulaire cette insupportable phrase “Le problème se situe entre la chaise et le clavier” ?

La réponse qui vient naturellement, c’est de diligenter des tests d’intrusion internes.

Contrairement au test d’intrusion externe, qui se concentre sur les failles qu’un attaquant pourrait exploiter depuis l’extérieur de l’organisation (un site web, ou une application accessible depuis internet), le test d’intrusion interne commence à partir d’un ou de plusieurs points d’ancrage internes au système d’information, en se mettant dans la peau de ce collaborateur malveillant, de cet utilisateur dont le doigt a rippé sur ce lien de phishinq ou cette pièce jointe malicieuse, ou de ce visiteur indélicat.

Il permet d’évaluer la capacité d’un attaquant ou d’un malware (comme un ransomware par exemple) à se propager au-delà de la surface d’attaque initiale, dans les systèmes, applications, postes de travail, serveurs.

Parce qu’on ne peut pas demander à nos équipes d’être infaillibles en permanence, c’est le rôle du Système d’Information de protéger l’entreprise et ses collaborateurs des attaques cyber. Et si l’erreur humaine est inéluctable, il convient d’en minimiser les conséquences !

L’argumentaire semble limpide, pourtant très peu d’organisations “osent” le test d’intrusion interne.

Serait-ce à cause ?

• Du coût ? Les pentesteurs devenant rares et donc chers ?
• De la montagne de recommandations qui risque de découler de ce pentest (systèmes et applications loin d’être à jour, réseau interne “à plat” avec peu ou pas de cloisonnement, …) ?
• De l’incapacité à considérer l’interne comme une menace potentielle dans les analyses de risque ? (Ce n’est quand même pas Fred de la Compta qui va s’amuser à s’introduire sur les différents éléments du SI, si ?)
• De la peur de voir le déploiement de cette nouvelle version de projet retoquée par l’équipe RSSI – bye bye tous les bénéfices de l’agilité ?

Et s’il vous était possible, avec un 🤖 ?

• D’activer des tests d’intrusion automatiques, à volonté, à partir de points d’ancrage internes variés, sans disposer de compétences en test d’intrusion ou de Red Team
• De visualiser les chemins d’attaque les plus à même de concrétiser les événements redoutés (à retrouver dans les zones rouge du diagramme de Farmer* issu de votre dernière analyse de risque), du clic sur le lien de phishing à la compromission des données sensibles, au fond du SI
• D’appliquer un filtre de priorités (en non un filtre Snapchat ;-)) sur cette montagne de vulnérabilités remontées par votre scanner fétiche, en la nourrissant de nouveaux facteurs d’accessibilité, d’exploitabilité et d’impact ?
• D’éprouver, à gogo, les mécanismes et processus de sécurité en vigueur, et en profiter pour entraîner vos équipes d’administration, d’exploitation et de supervision
• Se mettre au rythme des mises en production de nouvelles applications et/ou l’implémentation de nouvelles architectures tout en se conformant aux attentes du contrôle interne et des équipes RSSI

* Diagramme de Farmer : diagramme fréquence-gravité utilisé dans les analyses de risque

Chez Knock Knock, ce 🤖s’appelle Hacker In Residence©, et il n’attend qu’à être adopté, contactez-nous pour planifier une démonstration !