Table of Contents
Dans cet article, nous étudierons d’abord la question épineuse du passage à l’échelle des tests de sécurité, puis nous explorerons des solutions concrètes pour industrialiser vos activités de pentest à travers plusieurs actifs et entités.
Le passage à l’échelle de la cybersécurité est un sujet central et nécessaire – il était d’ailleurs à l’honneur des Assises de la Sécurité 2022 –, et ce pour deux raisons principales.
Tout d’abord, des impératifs de sécurité évidents. Le paysage numérique n’est plus le même qu’il y a quelques années. Les développements sont nombreux et les mises à jour fréquentes, les interconnexions sont partout, et les menaces prolifèrent plus vite que jamais, tant en nombre qu’en forme. Chacun de ces points amène son lot de questions de sécurité à adresser, toutes plus vitales les unes que les autres dans des sociétés où la sécurité des données et des systèmes est une préoccupation de premier ordre.
Ensuite, il y a les enjeux de conformité. Pour organiser ce chantier à grande échelle, et forcer la main à ceux qui douteraient encore de l’impérieuse nécessité d’une sécurité numérique renforcée, l’Union européenne a accouché de plusieurs textes législatifs majeurs en la matière – NIS2, Cyber Resilience Act (CRA), Digital Operational Resilience Act (DORA), etc. Différentes législations pour un même mot d’ordre : le passage à l’échelle de la cybersécurité aura lieu, de gré ou de force.
Il n’y a pas un, mais plusieurs passages à l’échelle
Avant toute chose, il faut bien comprendre que la cybersécurité n’est pas un bloc uniforme et monotone, mais un domaine aux multiples facettes. Même si l’on se cantonne à la simple dichotomie entre sécurité défensive et offensive – Blue Team et Red Team –, force est de constater que les sujets sont nombreux et hétérogènes : détection des attaques, analyse des menaces, sécurité du code, sécurité du cloud, tests de sécurité, etc.
Il n’y a donc pas un passage à l’échelle, mais plusieurs, chacun avec ses propres défis et solutions. Corollaire du point précédent : si le renforcement de la sécurité numérique globale ne peut pas être envisagé d’un seul tenant, il doit être abordé à travers le prisme particulier de chacun de ses sous-domaines.
Le passage à l’échelle des tests de sécurité
Chez Yogosha, il est un sujet qui nous tient particulièrement à cœur – c’est même notre métier –, et c’est celui des tests de sécurité. S’il y a un édifice auquel nous pouvons peut-être apporter une pierre, c’est bien celui-là. Nous n’explorerons donc pas la question du passage à l’échelle de la cybersécurité dans son ensemble, mais plutôt à travers le prisme très spécifique des tests de sécurité, et plus particulièrement des tests offensifs.
Lire aussi : Qu’est-ce que l’OffSec ? Un guide d’intro à la sécurité offensive
En effet, face à l’injonction d’auditer plus d’actifs plus souvent, une question de taille se pose pour les responsables de la sécurité des grandes structures.
Comment réaliser autant de tests – éclectiques de surcroît – sur autant d’actifs et de périmètres, à travers autant d’entités, de façon répétée ou continue tout au long de l’année ? Comment rationaliser l’exercice, automatiser les processus et centraliser les résultats ? Et surtout, comment faire tout cela sans faire exploser le budget de sécurité ?
Des tests automatisés plus facilement échelonnables
La nature automatisée de certains tests de sécurité les rend plus facilement échelonnables, tels que les scanners de vulnérabilité ou les outils SAST (Static Application Security Testing). Ici, les équipes de sécurité seront confrontées à trois défis principaux :
- négocier un budget suffisant pour s’offrir une palette d’outils nécessaires mais souvent onéreux ;
- bien connaître la surface d’attaque de l’organisation et tous ses actifs exposés, afin d’éviter des angles morts qui seraient autant de points d’entrée potentiels pour les acteurs malveillants ;
- calibrer correctement les différents outils automatisés, ce qui appelle là encore une connaissance approfondie de la surface d’attaque de l’organisation, mais aussi des compétences techniques et un travail préalable de renseignement sur les cybermenaces (CTI).
Lire aussi : Gestion de la Surface d’Attaque : outils, principes et stratégie
La difficulté du passage à l’échelle pour les interventions humaines
Mais le défi du passage à l’échelle est autrement plus épineux lorsqu’une intervention humaine, souvent manuelle, entre en ligne de compte :
- Il est autrement plus difficile de dimensionner l’expertise humaine que des solutions automatisées. Les professionnels de la sécurité sont une ressource rare, et tous n’ont que deux mains et aucune envie de travailler 24h/24.
- Les coûts de l’intervention humaine sont récurrents. Contrairement à l’acquisition d’une solution automatisée, qui peut être onéreuse mais reste ponctuelle, le recours à des professionnels de la cybersécurité implique de les payer à chaque fois, que ce soit par un salaire ou une facturation au service. Par ailleurs, la difficulté de la cybersécurité combinée à la pénurie de compétences fait que ces coûts sont généralement élevés.
- Les tâches connexes – réunions de cadrage, documentation, gestion des vulnérabilités, etc. – sont chronophages et exponentielles par rapport au nombre de tests conduits.
Lorsqu’il s’agit de monter en puissance, ces problématiques sont communes à toutes les interventions humaines en matière de cybersécurité, et notamment pour ce qui touche au test d’intrusion, ou pentest.
Le pentest est probablement le test offensif le plus couramment utilisé par les organisations de France et de Navarre, et c’est donc le plus important à considérer. Après tout, l’objectif est de renforcer et développer le niveau de sécurité du plus grand nombre, et c’est donc par les méthodes les plus répandues qu’il convient d’aborder le sujet du passage à l’échelle.
Lire aussi : Pentest, pourquoi et comment réaliser un test d’intrusion
Test d’intrusion : les limites des approches traditionnelles
Il faut se rendre à l’évidence : il est impensable de faire des pentests “à l’ancienne” pour une entité qui souhaite démultiplier ses activités de test, a fortiori si elle est soumise à des réglementations exigeantes comme NIS2 ou DORA. Ce ne sont pas tant les tests eux-mêmes qui poseraient problème, mais tout ce qui les entoure.
L’organisation d’un test d’intrusion avec un prestataire traditionnel, un cabinet d’audit le plus souvent, va de pair avec des process lourds et fastidieux. Les réunions de cadrage, de suivi et de compte-rendu sont chronophages, les tests effectifs débutent rarement avant trois à six semaines, et les résultats sont communiqués par des voies d’un autre temps – qui a dit PDF ? – qui ne sont pas plus agréables qu’agrégeables.
Et nous parlons ici d’un seul pentest, alors imaginez la difficulté de procéder ainsi pour tous les tests, pour tous les actifs, à travers toutes les entités… Sans parler du coût des pentests traditionnels qui, à eux seuls, feraient exploser tout le budget alloué à la sécurité.
Lire aussi : Pentest as a Service vs pentest traditionnel, quelles différences ?
Une périodicité qui n’est plus adapté aux enjeux de sécurité actuels
Plus grave encore, le caractère ponctuel des tests d’intrusion historiques fait qu’ils ne sont plus adaptés pour répondre aux enjeux de sécurité des organisations modernes. Ces tests sont utiles pour identifier les vulnérabilités à un instant T, mais ils sont par nature insuffisants pour faire face à la nature fluctuante des cybermenaces.
L’écosystème numérique est dynamique, de nouvelles vulnérabilités apparaissent chaque jour, et les acteurs malveillants renouvellent sans cesse leurs approches. Les tests ponctuels n’offrent qu’une visibilité restreinte, qui expose les entreprises aux risques potentiels qui peuvent survenir entre deux tests.
Lire aussi : Tests de sécurité, de la nécessité d’une approche continue
Pour les organisations aux besoins de sécurité croissants, la réponse est donc ailleurs que dans les approches traditionnelles. Il faut revoir la construction des outils et des processus. Il faut pouvoir répondre aux centaines de projets en mode Agile, aux livraisons nombreuses et hebdomadaires, aux impératifs business, aux enjeux de souveraineté de la donnée…
Il faut une approche du test d’intrusion qui soit flexible, évolutive, rationalisée et, si possible, continue. Autrement dit, il faut du Pentest as a Service (PtaaS).
Le passage à l’échelle grâce au Pentest as a Service (PtaaS)
Le Pentest as a Service (PtaaS) est une solution pour toutes les organisations qui doivent réaliser plusieurs dizaines de tests d’intrusion par an, sur de multiples périmètres et entités. Le PtaaS tel que proposé par Yogosha se distingue des approches traditionnelles en deux endroits :
- Une digitalisation et une industrialisation du pentest, à travers une plateforme souveraine disponible en SaaS ou Self-Hosted ;
- Un accès à un vivier de compétences unique en son genre, à travers une communauté de plus de 800 chercheurs en sécurité spécialisés dans différents types d’actifs et de technologies.
I. Industrialiser l’activité de pentest à travers la digitalisation
La digitalisation du pentest à travers une plateforme apporte la flexibilité et la rapidité indispensables au passage à l’échelle des tests d’intrusion, avec :
- un lancement d’un pentest en moins d’une semaine (contre 3 à 6 semaines avec un cabinet IT) ;
- des rapports de vulnérabilités signalés en direct sur notre plateforme, sans avoir à attendre la fin du test, ce qui permet une remédiation rapide des failles les plus critiques, et une intégration transparente des tests de sécurité dans les pipelines CI/CD ;
- une communication directe avec les chercheurs en sécurité pour des tests plus agiles et efficients ;
- un cloisonnement des tests (et des rôles) à travers plusieurs entités et Business Units, grâce au système de programmes et de workspaces ;
- une traçabilité des activités de test grâce au VPN intégré ;
- une simplification et une centralisation de la gestion des vulnérabilités avant, pendant et après les pentests grâce à notre Vulnerability Operations Center (VOC) et ses différents dashboards analytiques ;
- une intégration avec vos outils de ticketing et de remédiation via API ou connecteurs (Jira, Slack, ServiceNow…) ;
- une industrialisation de l’activité de pentest avec des offres packagées et évolutives, et un cadre contractuel unique.
II. Trouver les bons experts et pallier le déficit de compétences
La digitalisation du pentesting au travers d’une plateforme ne répond qu’à l’un des défis que pose le passage à l’échelle des tests de sécurité, celui de l’industrialisation des outils et des processus. Mais il reste un autre enjeu majeur pour les organisations : trouver des experts qualifiés pour exécuter les tests en question.
Recruter des professionnels de la sécurité ou externaliser les tests ?
Deux options s’offrent aux organisations qui souhaitent réaliser des tests d’intrusion.
1. Disposer des ressources humaines compétentes en interne. Cette option présente de nombreux avantages, mais il existe malheureusement une pénurie mondiale de talents en cybersécurité. Forbes estimait à 3,5 millions le nombre de postes vacants dans le secteur au début de l’année 2023, soit une augmentation de 350% en moins de 10 ans. Les talents sont donc rares et coûteux, et toutes les entités ne peuvent se permettre d’avoir une équipe de pentesters digne de ce nom.
2. Faire appel à un prestataire de services spécialisé. C’est la solution retenue par de nombreuses entreprises, qui choisissent d’externaliser les tests de sécurité à un prestataire, le plus souvent un cabinet d’audit. Mais l’expertise d’un cabinet est toujours limitée à celle de ses propres employés, ainsi qu’à leur nombre. Même le pentester le plus talentueux ne sera pas familier avec tous les types d’actifs et de technologies – c’est impossible. Au moment de choisir le prestataire qui effectuera les tests, il est donc essentiel de s’assurer qu’il dispose des compétences internes correspondant aux spécificités du périmètre à éprouver.
Face à ces deux difficultés – recruter des professionnels qualifiés, ou s’assurer des compétences internes d’un prestataire –, nous apportons une réponse unique : la Yogosha Strike Force.
La Yogosha Strike Force, 800+ experts triés sur le volet
La Yogosha Strike Force (YSF) est une communauté privée et sélective qui regroupe plus de 800 chercheurs en sécurité internationaux qui sont :
- Spécialisés dans la recherche des vulnérabilités les plus critiques en simulant les attaques sophistiquées des pirates informatiques.
- Experts dans de multiples types d’actifs – Applications Web et Mobiles, IOT, Cloud, Réseaux, API, Infrastructure…
- Titulaires de certifications reconnues en matière de cybersécurité – OSCP, OSEP, OSWE, OSEE, GXPN, GCPN, eWPTXv2, PNPT, CISSP…
Nous sélectionnons uniquement les chercheurs les plus talentueux : seuls 10% des candidats sont acceptés, après avoir réussi des examens techniques et pédagogiques. Leur identité et leurs antécédents sont également vérifiés.
A travers la Yogosha Strike Force, les organisations ont donc accès à :
- un grand nombre d’experts en sécurité internationaux triés sur le volet ;
- un panel de compétences sans pareil pour adresser au mieux tous les types d’actifs et de technologies.
“Par l’intermédiaire de Yogosha, nous avons réussi à trouver des gens talentueux.” – Éric Vautier, RSSI du Groupe ADP (Aéroports de Paris)
Vers une meilleure gestion des pentests internes
Il va sans dire que recourir aux experts de la Yogosha Strike Force est optionnel, surtout si vous avez déjà des professionnels compétents en interne. La difficulté n’est alors pas tant de trouver les bons profils que d’organiser efficacement des tests de sécurité internalisés en quantité, puis de gérer efficacement leurs retombées – encore et toujours ce défi du passage à l’échelle. Ici, la plateforme Yogosha a également un rôle à jouer.
Yogosha comme plateforme de Pentest Management
Les organisations qui disposent de leurs propres pentesters peuvent les inviter à rejoindre notre plateforme, le Vulnerability Operations Center (VOC), afin de digitaliser et fluidifier les tests d’intrusion.
Les pentests sont alors organisés par projets et par entités, avec une gestion des rôles et des accès, et les rapports sont centralisés dans un seul et même outil. Les échanges avec les pentesters peuvent se faire directement à l’intérieur des rapports, tandis que les vues holistiques permettent d’évaluer rapidement l’exposition au risque à un niveau micro (par périmètre) ou macro (au niveau des entités). La gestion des vulnérabilités est facilitée, du traitement à la remédiation grâce aux connecteurs et webhooks avec différents outils – Jira, Slack, ServiceNow, etc.
Disponible en SaaS ou Self-Hosted
Nous proposons plusieurs types de déploiement de notre plateforme afin de répondre au mieux aux impératifs de sécurité de chaque organisation, y compris les plus sensibles.
La plateforme Yogosha est ainsi disponible :
- en SaaS : une solution clé en main, hébergée via 3DS Outscale et son cloud souverain certifié SecNumCloud (la plus haute norme de sécurité française, établie par l’ANSSI). Les données sont hébergées sur le sol français.
- en Self-Hosted : une solution taillée pour les entités aux exigences les plus strictes en matière de sécurité. Vous êtes libre d’héberger la plateforme Yogosha où bon vous semble – cloud privé, on premise – pour garder le contrôle total de vos données et du contexte d’exécution. Après tout, on n’est jamais mieux servi que par soi-même.
Dans les deux cas, la robustesse intrinsèque de notre produit est au centre de nos préoccupations. Nous sécurisons continuellement nos actifs à travers un pipeline DevSecOps, les directives OWASP, des tests d’intrusion récurrents et un programme de bug bounty continu. Par ailleurs, la certification ISO 27001 de notre plateforme est en cours.
E-Book: Bug Bounty, le guide ultime pour un programme réussi
Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.
Concilier le passage à l’échelle des tests avec le budget de sécurité
La multiplication des tests de sécurité soulève également un certain nombre de questions d’ordre financier. Un test d’intrusion traditionnel coûte cher, entre $10k et $35k selon Blaze. Et on parle ici d’un seul test, alors imaginez la facture pour les organisations tenues de réaliser une myriade d’audits chaque année, sur différents actifs sensibles, à travers plusieurs entités. La facture a de quoi faire frémir n’importe quel RSSI ou directeur financier.
Le passage à l’échelle des tests de sécurité constitue donc un véritable enjeu économique pour les organisations. Comment multiplier les tests de sécurité sans faire exploser le budget alloué à la cybersécurité ? Ici encore, nous prêchons pour notre paroisse avec le Pentest as a Service (PtaaS).
PtaaS : un ROI jusqu’à 96% supérieur au pentest traditionnel
D’un point de vue financier, le PtaaS est, de manière générale, plus intéressant que l’approche traditionnelle. Les tarifs sont globalement plus attractifs pour les entreprises, mais c’est la disparition de nombreux coûts cachés qui fait toute la différence – triage chronophage, gestion des vulnérabilités laborieuse, frictions avec les méthodologies Agile, etc.
Puisque nous ne sommes pas impartiaux sur cette question, nous vous renvoyons plutôt vers un article de Tech Beacon, 4 coûts cachés du pentest. On y apprend que le ROI du Pentest as a Service peut être jusqu’à 96% plus élevé que son homologue historique.
Vous souhaitez industrialiser vos tests de sécurité à grande échelle, avec les bons experts, de manière ponctuelle ou continue ? Demandez dès maintenant une démo de notre offre de Pentest as a Service (PtaaS).
