Table of Contents
La nécessité de mettre en place des stratégies de cybersécurité dynamiques et proactives n’a jamais été aussi pressante. Il est grand temps d’adopter une approche continue des tests de sécurité.
Le principe même des tests de sécurité a été introduit à une époque où :
- le nombre d’actifs à auditer était faible ;
- le contenu des applications et des sites web était stable, et les mises en production occasionnelles ;
- les techniques d’intrusion à explorer étaient limitées ;
- les professionnels qualifiés en matière de cybersécurité étaient suffisamment nombreux.
Aujourd’hui, plus aucun de ces points n’est vrai.
- le nombre d’actifs à auditer augmente de façon exponentielle ;
- les développements sont nombreux et appellent des mises à jour fréquentes ;
- les techniques d’intrusion sont légion ;
- la cybersécurité connaît une grave pénurie de compétences – Forbes estimait à 3,5 millions le nombre de postes vacants dans le secteur début 2023, soit une augmentation de 350% en moins de 10 ans.
Une conclusion évidente s’impose alors : nous ne pouvons plus penser et réaliser les tests de sécurité de la même manière qu’il y a quelques années.
Il faut imaginer un modèle continu et collaboratif pour pallier le déficit de compétences en cybersécurité, en plus d’apporter l’assurance que toutes les ressources seront éprouvées, et qu’aucune technique d’intrusion ne sera oubliée.
Les dangers des tests ponctuels
Historiquement, les mesures de cybersécurité ont souvent reposé sur des évaluations périodiques et ponctuelles de la sécurité, telles que des tests d’intrusion occasionnels. Si ces tests sont assurément utiles pour identifier les vulnérabilités à un moment donné, ils sont par nature insuffisants pour faire face à la nature fluctuante des cybermenaces. L’écosystème numérique est dynamique, de nouvelles vulnérabilités apparaissent chaque jour, et les acteurs malveillants renouvellent sans cesse leurs tactiques, techniques et procédures (TTP).
Les tests ponctuels offrent une visibilité restreinte, ce qui expose les entreprises aux risques potentiels qui peuvent survenir pendant les intervalles entre chaque test. Les cyberattaquants sont habiles à exploiter rapidement les vulnérabilités, et se fier à des évaluations sporadiques n’est tout simplement pas suffisant dans le paysage actuel des menaces. C’est là que les tests de sécurité continus entrent en jeu.
Continuous Security Testing : de quoi s’agit-il ?
Le “Continuous Security Testing” (CST) est une approche de la cybersécurité qui consiste à tester en permanence la sécurité des systèmes, des applications et des réseaux d’une organisation afin d’identifier et de corriger les vulnérabilités en temps réel. L’objectif est de passer d’une posture réactive, où les vulnérabilités sont traitées après leur découverte, à une stratégie proactive et dynamique qui traite les problèmes de sécurité en temps quasi réel.
Oui, il s’agit d’un énième anglicisme sophistiqué pour dire une évidence : les tests de sécurité doivent être effectués de manière continue. Mais ce n’est pas tant la définition qui est intéressante que les raisons qui font que cette approche s’impose comme un changement inévitable – et bienvenu – dans la manière dont les entreprises envisagent la sécurité. Il s’agit d’un élément clé dans une transition plus globale vers une posture de cybersécurité plus agile et résiliente, qui reconnaît pleinement que les cybermenaces sont persistantes et en constante évolution.
La nature dynamique des cybermenaces
Les tests de sécurité continus tiennent compte de la nature dynamique des cybermenaces et s’adaptent à cette réalité. Dans un monde où de nouvelles vulnérabilités apparaissent régulièrement et où les attaquants sont prompts à les exploiter, une approche statique de la sécurité revient à laisser la porte d’entrée ouverte et à espérer que tout ira pour le mieux.
En adoptant une approche de test continu, les organisations peuvent établir un mécanisme de défense proactif. Cela implique des évaluations régulières et automatisées qui fournissent des informations en temps réel sur la posture de sécurité, permettant une réponse immédiate aux menaces émergentes. Il s’agit d’un changement de paradigme : il s’agit plus de raccrocher les wagons, mais bien d’avoir une longueur d’avance.
Une atténuation des risques en temps réel
L’un des principaux avantages des tests de sécurité en continu est la possibilité d’identifier et de traiter les vulnérabilités en temps réel. Les modèles de test traditionnels entraînent souvent un délai important entre l’identification d’une vulnérabilité et la mise en œuvre d’un correctif. Ce laps de temps laisse les organisations vulnérables aux attaques pendant le processus de remédiation.
Les tests continus, en revanche, permettent aux organisations de détecter les vulnérabilités dès qu’elles apparaissent et de réagir rapidement. Cela permet non seulement de réduire la fenêtre d’opportunité pour les attaquants, mais aussi de minimiser l’impact potentiel d’une intrusion réussie.
Automatiser pour plus d’efficacité
Les tests de sécurité en continu ne sont pas un fardeau supplémentaire pour les équipes ; en réalité, ils peuvent améliorer leur efficacité de manière significative. Une bonne nouvelle à l’heure où le CI/CD prospère, induisant des intégrations et des déploiements aussi nombreux que fréquents. En tirant parti de l’automatisation et de la récurrence, les organisations peuvent rationaliser le processus de test, optimiser les livraisons et assurer une couverture complète et continue sans imposer une charge de travail excessive aux équipes de sécurité.
Ce sont exactement les mêmes raisons qui font que beaucoup préconisent une approche DevSecOps du cycle de vie du développement logiciel (SDLC). Le DevSecOps consiste à intégrer automatiquement des jalons de sécurité à chaque étape du cycle, tandis que le Continuous Security Testing vise à rendre ces jalons permanents et cumulatifs – avant comme après la mise en production.
Toutefois, l’intégration automatique de jalons de sécurité ne signifie pas la seule intégration de tests de sécurité automatisés.
L’expertise humaine toujours indispensable
Bien que l’automatisation soit primordiale pour assurer la continuité des tests, la compétence humaine reste irremplaçable dans le domaine de la cybersécurité.
Les solutions automatisées, bien qu’efficaces, manquent parfois de la finesse de jugement et de la créativité que les experts en cybersécurité apportent à la table. Les tests d’intrusion, par exemple, vont au-delà des capacités des scanners en simulant des scénarios d’attaque réels, en faisant appel à l’ingéniosité et à la capacité d’adaptation des hackers éthiques et des experts en Red Teaming.
Les humains sont capables de découvrir des vulnérabilités que les outils automatisés pourraient omettre – les failles de Business Logic par exemple – et de reproduire les tactiques d’un adversaire décidé, ce qui fournit des informations inestimables sur la résilience réelle d’un système. La synergie entre les solutions automatisées et l’expertise humaine crée une stratégie de sécurité complète, assurant que les organisations ne se contentent pas d’identifier les vulnérabilités courantes mais renforcent également leurs défenses contre l’inattendu et le non-conventionnel.
Surmonter le déficit de compétences grâce aux solutions collaboratives
Cependant, les tests de sécurité alimentés par l’homme se heurtent à un obstacle de taille : la pénurie généralisée de compétences en matière de cybersécurité. La demande de professionnels compétents dépasse largement l’offre actuelle, ce qui fait que les entreprises ont du mal à trouver et à retenir les talents capables de faire face à la complexité des menaces modernes. Cette pénurie intensifie la pression sur les équipes cyber, entravant leur capacité à mener des tests approfondis et laissant des vulnérabilités non adressées.
Face à ce défi, les solutions collaboratives de Sécurité Offensive (OffSec), comme le Pentest as a Service (PtaaS) et les programmes de bug bounty, constituent une solution viable pour l’avenir.
Lire aussi : Qu’est-ce que l’OffSec ? Un guide d’intro à la sécurité offensive
Pentest as a Service (PtaaS) et Bug Bounty
Le Pentest as a Service (PtaaS) s’appuie sur l’expertise de professionnels externes, pour fournir des services de pentest à la demande, qui peuvent être facilement programmés et répétés tout au long du SDLC. Cela permet non seulement de compléter les capacités internes, mais aussi d’offrir un nouveau point de vue sur la posture de sécurité d’une organisation.
Le Bug Bounty, quant à lui, tire sa force du nombre en incitant la communauté des chercheurs en sécurité à découvrir et à signaler les vulnérabilités. En puisant dans un vivier diversifié de talents, les organisations peuvent surmonter les limites liées au manque de compétences, renforcer leurs défenses et assurer une meilleure résilience de leur dispositif de cybersécurité.
Pour faire front commun contre les cybermenaces, la collaboration n’est plus seulement une stratégie, mais une nécessité dans le paysage numérique moderne – un paysage caractérisé par des changements constants et rapides. Ces deux réalités, prises ensemble, exigent que les organisations adoptent une approche continue ET collaborative des tests de sécurité, par le biais de solutions éprouvées telles que le PtaaS et le bug bounty.
Lire aussi : Bug Bounty, différences entre plateformes publiques et privées
Combiner les tests continus et l’ASM pour une posture de sécurité holistique
La réalisation de ces tests est une excellente chose. Mais pour libérer tout leur potentiel, ils doivent aller de pair avec une véritable stratégie de gestion de la surface d’attaque, ou Attack Surface Management (ASM).
En tirant parti des outils et de l’automatisation, l’ASM fournit une vue d’ensemble de la surface d’attaque d’une organisation. Cette visibilité accrue est déterminante pour les tests de sécurité continus, car elle permet de cibler correctement les périmètres à évaluer. Les tests en continu peuvent alors se concentrer sur les actifs les plus critiques et leurs points d’entrée potentiels, garantissant une approche de test plus efficace et plus ciblée.
Par ailleurs, il est important de comprendre que la surface d’attaque n’est pas statique – elle évolue en fonction des changements apportés à l’infrastructure, aux applications et aux configurations de l’organisation. L’ASM permet de surveiller et de mettre à jour en permanence les informations relatives à la surface d’attaque. Ces données en temps quasi-réel sont inestimables pour les tests de sécurité en continu, puisqu’elles permettent d’adapter et d’évaluer rapidement les nouveaux actifs ou ceux qui ont été modifiés.
L’ASM et les tests de sécurité en continu contribuent ensemble à une approche de la cybersécurité plus stratégique et davantage centrée sur les risques. L’ASM identifie et quantifie les risques potentiels associés à la surface d’attaque, tandis que les tests continus valident la résilience des défenses contre ces risques. Cette combinaison permet aux organisations de prendre des décisions éclairées sur l’atténuation des risques et l’allocation des ressources.
Nous avons publié un article complet sur l’ASM et ses dérivés (EASM, CAASM), que nous vous recommandons de lire si vous souhaitez approfondir le sujet.
Lire aussi : Gestion de la Surface d’Attaque : outils, principes et stratégie
Et sans trop en dévoiler pour l’instant, sachez que Yogosha a de grands projets concernant l’ASM. Nous vous en dirons plus très bientôt !
D’ici là, n’hésitez pas à nous contacter si vous souhaitez mettre en place des tests de sécurité continus et adaptés à vos actifs, à vos objectifs et à votre budget.