Les organisations ont recours à différentes méthodologies pour sécuriser leurs actifs et données. ​​L’architecture de « défense en profondeur » est l’une d’entre elles. Un test de pénétration (pentest) est essentiel pour en assurer l’efficacité. Mais il faut aussi définir le scope du pentest pour garantir l’efficacité de cette évaluation.

Avant de définir le scope du pentest, il est essentiel de disposer d’un inventaire exhaustif de ses actifs informatiques. C’est aussi le moment d’analyser l’architecture de son réseau pour repérer les zones les plus sensibles et les points d’accès potentiels pour les attaquants. Il est donc primordial de comprendre les objectifs spécifiques à atteindre.

Afin de mieux formuler les objectifs, on peut se poser les questions suivantes : que devons-nous tester en priorité, la sécurité des applications web ou les systèmes internes ? Quels sont les prérequis nécessaires pour répondre aux standards de sécurité ? En identifiant clairement les objectifs, les efforts pourront être orientés vers les domaines les plus critiques et les plus vulnérables de l’infrastructure.

Identifier les actifs à tester

Une fois les objectifs définis, il est temps d’identifier les actifs à inclure dans le scope du pentest. Cela peut inclure des serveurs, des bases de données, des applications, des réseaux, des dispositifs IoT, etc. En identifiant clairement les actifs à tester, les ressources pourront être concentrées sur les éléments les plus critiques de l’infrastructure.

Analyser les risques et les contraintes

Pour établir un scope de pentest optimum, il est essentiel d’analyser les risques auxquels l’organisation est exposée. Il s’agit d’évaluer les menaces potentielles, en tenant compte des vulnérabilités courantes et des attaques récentes.

En d’autres termes, identifier les actifs les plus critiques et prioritaires en fonction de leur valeur et de leur impact potentiel sur l’activité. En outre, prendre en compte les contraintes légales, réglementaires ou contractuelles qui peuvent limiter le scope du pentest ou orienter les tests. Une analyse approfondie des risques et des contraintes permettra de cibler les domaines les plus sensibles et d’optimiser les ressources.

Définir les limites et les besoins du pentest

Il faut aussi définir les éléments qui seront exclus du scope du pentest. Ce peut être des actifs mais également s’il y a des attaques spécifiques à éviter (telles que les attaques par déni de service par exemple) ou des contraintes à prendre en compte au moment du pentest.

On définit également les besoins du pentest, comme des exigences de normes ou autres. Est-ce que la cible doit répondre à des exigences spécifiques (RGPD, Payment Card Industry Security Standards, etc.) ? Tout ceci doit être écrit, car un scope doit être clair afin d’éviter les malentendus avec les testeurs et les dépassements de budget.

Les pièges à éviter quand on définit un scope

Lorsque l’on définit un scope, on peut être tenté de protéger seulement un nouvel actif ou un changement d’une application par exemple. Toutefois pour être pertinent, un pentest doit porter sur un aspect critique d’une organisation et pas uniquement sur un élément récent.

D’ailleurs un scope ne doit pas être trop petit. Il est par exemple contre-productif de tester un seul call API. Un « call API » est une demande que l’on envoie à l’API pour obtenir des informations ou effectuer une action spécifique. Ceci permet à différentes applications de travailler ensemble et de partager des données.

Ainsi, dans le cas d’une API, il est conseillé de considérer l’API dans sa totalité surtout si elle est exposée à l’externe.

Le contexte organisationnel reste l’élément clé pour établir un scope. En d’autres termes, il est question ici de protéger ce qui est le plus critique. Si l’on vérifie la sécurité d’une fenêtre alors que la porte est grande ouverte, cela ne sera pas pertinent. C’est là que l’inventaire complet des actifs entre en jeu. Il s’agit d’avoir une vision détaillée mais globale de l’organisation.

Collaborer avec des experts en sécurité

Pour garantir la qualité et la pertinence d’un pentest, il est recommandé de faire appel à des experts en sécurité informatique. Les professionnels de la sécurité possèdent les compétences et l’expérience nécessaires pour accompagner l’établissement d’un scope solide, en tenant compte des meilleures pratiques et des dernières tendances en matière de cybercriminalité. Travailler en collaboration avec des experts permet de bénéficier de leur expérience, de maximiser les résultats d’un pentest et d’obtenir des recommandations précieuses pour renforcer la sécurité d’une organisation.

C’est à ce moment-là qu’une communication constante et fluide entre les équipes sera un atout précieux pendant tout le processus du pentest. L’équipe mandatant le test d’intrusion ne doit pas hésiter à poser toutes les questions nécessaires pour que le scope soit à la hauteur des objectifs à atteindre pour l’organisation. Aussi, de leur côté, les experts en sécurité feront leur possible pour vulgariser et accompagner en confiance l’organisation qui les a mandatées.

 

Articles du même auteur :
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.