Quel environnement pour un pentest ?

La préparation d’un test d’intrusion, communément appelé pentest, revêt une importance capitale pour toute entreprise ou organisation soucieuse de protéger ses actifs numériques. Au cœur de cette préparation, un élément fondamental se dresse : le choix de l’environnement. Focus sur les différentes options qui s’offrent aux responsables de la sécurité informatique, ainsi que les avantages et les défis de chaque choix.

Qu’est-ce qu’un environnement ?

En développement logiciel, un environnement est un ensemble d’éléments et de paramètres qui entourent et influencent l’exécution d’un programme ou d’une application. Cela inclut généralement des éléments tels que le système d’exploitation, les bibliothèques de logiciels, les variables d’environnement, les fichiers de configuration et d’autres ressources qui peuvent être nécessaires au bon fonctionnement d’un programme.

Les environnements de production sont les systèmes en temps réel qui servent les utilisateurs et les clients. Ils hébergent des applications critiques, des bases de données et des services essentiels pour les opérations de l’organisation. En-dehors des environnements de production, il existe plusieurs environnements couramment utilisés pour différentes phases du cycle de vie d’une application.

On peut par exemple mentionner l’environnement de Développement (« Dév »). Il s’agit de l’environnement principal où les développeurs créent et modifient le code source de l’application. Il est souvent situé sur les ordinateurs des développeurs et comprend les outils de développement nécessaires, tels que les éditeurs de code, les compilateurs et les débogueurs.

Un autre environnement également très utile au cycle de développement est l’environnement de Test ou Q.A. (Quality Assurance). Cet environnement est utilisé pour tester l’application et vérifier son bon fonctionnement avant qu’elle ne soit déployée en production. Les testeurs effectuent des essais de fonctionnalité, de performance et de sécurité dans cet environnement. Il en existe plusieurs autres qui seront déployés en fonction des besoins. Ils sont essentiels pour garantir la qualité, la stabilité et la sécurité des applications logicielles.

Environnement de production : l’arène du réel

Il existe plusieurs raisons pour lesquelles on pourrait favoriser un environnement de production pour un pentest. Réaliser un test de pénétration en environnement de production fournit une représentation plus précise de la posture de sécurité réelle. Cela permet d’identifier des vulnérabilités pouvant être exploitées par des cyberattaquants et garantit que les tests reflètent le véritable niveau de risque de l’organisation.

D’ailleurs, les environnements de production traitent généralement des données sensibles, telles que les informations clients, les données financières ou la propriété intellectuelle. Les conséquences potentielles d’une violation de sécurité sont plus élevées, sachant que l’organisation doit prioriser la protection de ces actifs.

De plus, il est fréquent que les organisations soient soumises à des exigences réglementaires afin de démontrer la sécurité et la résilience de leurs environnements de production. Ainsi, des tests d’intrusion en environnement de production peuvent aider à identifier les vulnérabilités pouvant entraîner une non-conformité. Un environnement de production sera généralement plus stable qu’un autre environnement. Il est fréquent par exemple, lors de tests sur un environnement de « dev », que les services soient interrompus. Ce qui rend les conditions de tests plus difficiles.

Une préoccupation fréquente au sein des entreprises concerne les répercussions potentielles d’un test d’intrusion effectué dans un environnement de production. Bien que le pentest puisse comporter des risques, ces derniers sont atténués grâce au professionnalisme et à l’éthique du testeur, ainsi qu’à la collaboration avec les équipes responsables du système testé. En effet, l’objectif du testeur est d’accompagner l’entreprise de manière optimale pour minimiser toute interruption des activités de production.

Environnement non-production : l’aire de jeu contrôlée

Si l’entreprise estime que les risques en production sont trop importants, il peut être judicieux de tester dans un environnement de non-production (idéalement pré-production).

Les environnements de non-production offrent en effet plus de flexibilité pour effectuer des tests de sécurité approfondis sans répercussions pour les utilisateurs et clients. Les testeurs peuvent réaliser des essais plus intrusifs, comme l’exploitation de vulnérabilités ou des attaques plus agressives, sans les mêmes contraintes que dans un environnement de production. Ils peuvent également utiliser des outils automatiques afin de gagner du temps dans leur pentest.

Aussi, les environnements non-production sont idéaux pour des tests itératifs et des améliorations continues. Les organisations peuvent réaliser des pentests, appliquer des mesures de correction et retester sans la pression immédiate d’un impact de niveau de production, ce qui permet un processus de test de sécurité plus itératif et efficace.

On peut également noter que les environnements de production vont utiliser des données réelles qu’il faudrait potentiellement éviter d’exposer (RGPD par exemple). De plus, pour ne pas modifier des données de production, un pentester pourrait être amené à créer des jeux de données. Il faudra donc à la suite des tests supprimer ces données. Tester en non-production permettrait d’éviter ces contraintes.

Tester dans un environnement qui n’est pas en production offre un avantage supplémentaire : il permet de faire des tests sans les dispositifs de sécurité, comme les pare-feux. Cela signifie que des tests plus approfondis peuvent être effectués, par exemple, pour vérifier la réaction en cas de défaillance d’un outil de sécurité, et s’assurer que les vulnérabilités qui seraient normalement protégées par cet outil ne deviennent pas exploitables. Ainsi, un pentester peut détecter ces vulnérabilités, ce qui permet ensuite de les corriger. Il est d’ailleurs fréquent de tester les deux cas de figure. L’ un avec les contrôles de sécurité actif (waf par exemple) et un autre sans.

Choisir le meilleur environnement pour un pentest

En fin de compte, le choix entre un environnement de production et un environnement non-production pour un test d’intrusion dépend des objectifs spécifiques, des risques et des contraintes de l’organisation.

Un équilibre doit être trouvé entre la nécessité d’évaluations réalistes en environnement de production et l’impact potentiel et la sensibilité des systèmes. Les environnements de non-production offrent un environnement de test plus sûr et plus flexible, tandis que les environnements de production offrent une représentation plus précise des risques réels.

Il est important de noter que l’idéal serait d’avoir un environnement spécifique dédié aux pentests, qui reflète au mieux l’environnement de production. Pour obtenir donc le meilleur des deux mondes, il est recommandé de créer un environnement dédié pour les pentests, qui serait idéalement un clone de l’environnement de production avec des jeux de données réalistes mais fictifs.

Dans cette optique d’optimisation, il est également essentiel de mettre à disposition du testeur les contacts techniques pour collaborer en cas de besoin. Objectif : partager des éléments sur le fonctionnement de certaines fonctionnalités ou outils. Cette approche permet de réaliser des tests réalistes tout en minimisant les risques pour la production.