Table of Contents
Le passage à l’échelle des tests est un défi majeur pour les entités soumises à DORA. Explorons des solutions pour industrialiser les tests de résilience sans grever le budget.
Nota Bene : Cet article est le deuxième chapitre de notre guide sur les tests de sécurité pour les entités réglementées par DORA, que nous vous recommandons de lire depuis le début si ce n’est déjà fait.
Le passage à l’échelle de la cybersécurité est un sujet central et nécessaire – il était à l’honneur des Assises de la Sécurité 2022 –, a fortiori pour les acteurs du secteur financier. En effet, face à l’injonction de multiplier les tests de sécurité induite par le Digital Operational Resilience Act (DORA), une question de taille se pose pour les responsables de la sécurité des grandes structures.
Comment réaliser autant de tests – éclectiques de surcroît – sur autant d’actifs et de périmètres, à travers autant d’entités, de façon répétée ou continue tout au long de l’année ? Comment rationaliser l’exercice, automatiser les processus et centraliser les résultats ? Le Règlement DORA a de grandes ambitions, mais ce sont bien les RSSI des structures réglementées qui devront se donner les moyens de répondre.
Vous pouvez continuer à lire ce chapitre publié sous forme d’article sur notre blog, ou télécharger l’intégralité du guide DORA sur les tests de sécurité ci-dessous au format PDF pour une lecture plus aisée.
DORA : guide des tests de sécurité pour les entités réglementées
Un guide de conformité de 60 pages pour guider les responsables de la sécurité des entités réglementées par DORA à travers les obligations de test de sécurité prévues par le règlement : les tests de résilience et les tests de pénétration fondés sur la menace (TLPT).
Il n’y a pas un, mais plusieurs passages à l’échelle
Avant toute chose, il faut bien comprendre que la cybersécurité n’est pas un bloc uniforme et monotone, mais un domaine aux multiples facettes. Même si l’on se cantonne à la simple dichotomie entre sécurité défensive et offensive – Blue Team et Red Team –, force est de constater que les sujets sont nombreux et hétérogènes : détection des attaques, analyse des menaces, sécurité du code, sécurité du cloud, tests de sécurité, etc.
Il n’y a donc pas un passage à l’échelle en matière de résilience numérique, mais plusieurs, chacun avec ses propres défis et solutions. Corollaire du point précédent : si le renforcement de la sécurité numérique globale ne peut pas être envisagé d’un seul tenant, il doit être abordé à travers le prisme particulier de chacun de ses sous-domaines.
Chez Yogosha, il est un sujet qui nous tient particulièrement à cœur – c’est même notre métier –, et c’est celui des tests de sécurité. S’il y a un édifice auquel nous pouvons peut-être apporter une pierre, c’est bien celui-là. Nous n’explorerons donc pas la question du passage à l’échelle de la cybersécurité dans son ensemble, mais plutôt à travers le prisme très spécifique des tests de sécurité introduits par DORA, et plus particulièrement des tests offensifs.
Lire aussi : Qu’est-ce que l’OffSec ? Un guide d’intro à la sécurité offensive
Les tests automatisés, plus facilement échelonnables
La nature automatisée de certains tests de sécurité préconisés par l’Article 25 de DORA les rend plus facilement échelonnables, tels que les scanners de vulnérabilité ou les outils SAST (Static Application Security Testing). Ici, les équipes de sécurité seront confrontées à trois défis principaux :
- négocier un budget suffisant pour s’offrir une palette d’outils nécessaires mais souvent onéreux ;
- bien connaître la surface d’attaque de l’organisation et tous ses actifs exposés, afin d’éviter des angles morts qui seraient autant de points d’entrée potentiels pour les acteurs malveillants ;
- calibrer correctement les différents outils automatisés, ce qui appelle là encore une connaissance approfondie de la surface d’attaque de l’organisation, mais aussi des compétences techniques et un travail préalable de renseignement sur les cybermenaces (CTI).
- Notons ici que l’Article 13 de DORA concrétise cette obligation de mener un veille cyber pour les entités réglementées, tandis que le Chapitre VI encourage à l’entraide au sein du système bancaire, à travers des dispositifs de partage d’informations sur les cybermenaces entre les établissements financiers. Pour plus d’informations, nous vous invitons à lire notre guide de conformité DORA, et plus particulièrement le chapitre dédié à la veille cyber.
Lire aussi : Gestion de la Surface d’Attaque : outils, principes et stratégie
La difficulté du passage à l’échelle pour les interventions humaines
En revanche, le défi du passage à l’échelle est autrement plus épineux lorsqu’une intervention humaine, souvent manuelle, entre en ligne de compte :
- Il est autrement plus difficile de dimensionner l’expertise humaine que des solutions automatisées. Les professionnels de la sécurité sont une ressource rare, et tous n’ont que deux mains et aucune envie de travailler 24h/24.
- Les coûts de l’intervention humaine sont récurrents. Contrairement à l’acquisition d’une solution automatisée, qui peut être onéreuse mais reste ponctuelle, le recours à des professionnels de la cybersécurité implique de les payer à chaque fois, que ce soit par un salaire ou une facturation au service. Par ailleurs, la difficulté de la cybersécurité combinée à la pénurie de compétences fait que ces coûts sont généralement élevés.
- Les tâches connexes – réunions de cadrage, documentation, gestion des vulnérabilités, etc. – sont chronophages et exponentielles par rapport au nombre de tests conduits.
Lorsqu’il s’agit de monter en puissance, ces problématiques sont communes à toutes les interventions humaines en matière de cybersécurité. Ainsi, elles s’appliquent également aux tests d’intrusion, ou pentest, dont il est question dans l’Article 25 de DORA.
Le pentest est probablement le test offensif le plus couramment utilisé par les organisations de France et de Navarre, et c’est donc le plus important à considérer. Après tout, l’objectif est de renforcer et développer le niveau de sécurité du plus grand nombre, et c’est donc par les méthodes les plus répandues qu’il convient d’aborder le sujet du passage à l’échelle.
Lire aussi : Pentest, pourquoi et comment réaliser un test d’intrusion
Test d’intrusion : les limites des approches traditionnelles
Il faut se rendre à l’évidence : il est impensable de faire des pentests “à l’ancienne” dans le cadre du Digital Operational Resilience Act. Ce ne sont pas tant les tests eux-mêmes qui poseraient problème, mais tout ce qui les entoure.
L’organisation d’un test d’intrusion avec un prestataire traditionnel, un cabinet d’audit le plus souvent, va de pair avec des process lourds et fastidieux. Les réunions de cadrage, de suivi et de compte-rendu sont chronophages, les tests effectifs débutent rarement avant trois à six semaines, et les résultats sont communiqués par des voies d’un autre temps – qui a dit PDF ? – qui ne sont pas plus agréables qu’agrégeables.
Et nous parlons ici d’un seul pentest, alors imaginez la difficulté de procéder ainsi pour tous les tests induits par DORA, pour tous les actifs, à travers toutes les entités… Sans parler du coût des pentests traditionnels qui, à eux seuls, feraient exploser tout le budget alloué à la sécurité.
DORA : Guide de conformité complet pour le secteur financier
Un guide de 50 pages pour accompagner les RSSI, les DPO et les services juridiques dans l'application de la réglementation européenne. Aucun blabla, rien que des conseils pratiques et des analyses exploitables.
Une périodicité qui n’est plus adaptée aux enjeux de sécurité actuels
Plus grave encore, le caractère ponctuel des tests d’intrusion historiques fait qu’ils ne sont plus adaptés pour répondre aux enjeux de sécurité des organisations modernes. Ces tests sont utiles pour identifier les vulnérabilités à un instant T, mais ils sont par nature insuffisants pour faire face à la nature fluctuante des cybermenaces.
L’écosystème numérique est dynamique, de nouvelles vulnérabilités apparaissent chaque jour, et les acteurs malveillants renouvellent sans cesse leurs approches. Les tests ponctuels n’offrent qu’une visibilité restreinte, qui expose les entreprises aux risques potentiels qui peuvent survenir entre deux tests.
Lire aussi : Tests de sécurité, de la nécessité d’une approche continue
Pour les organisations régulées par DORA, aux besoins de sécurité croissants, la réponse est donc ailleurs que dans les approches traditionnelles. Il faut revoir la construction des outils et des processus. Il faut pouvoir répondre aux centaines de projets en mode Agile, aux livraisons nombreuses et hebdomadaires, aux impératifs business, aux enjeux de souveraineté de la donnée…
Il faut une approche du test d’intrusion qui soit flexible, évolutive, rationalisée et, si possible, continue. Autrement dit, il faut du Pentest as a Service (PtaaS).
Le passage à l’échelle grâce au Pentest as a Service (PtaaS)
Le Pentest as a Service (PtaaS) est une solution pour toutes les organisations qui doivent réaliser plusieurs dizaines de tests d’intrusion par an, sur de multiples périmètres et entités. Le PtaaS tel que proposé par Yogosha se distingue des approches traditionnelles en deux endroits :
- Une digitalisation et une industrialisation du pentest, à travers une plateforme souveraine disponible en SaaS ou Self-Hosted ;
- Un accès à un vivier de compétences unique en son genre, à travers une communauté de plus de 800 chercheurs en sécurité spécialisés dans différents types d’actifs et de technologies.
1. Industrialiser l’activité de pentest à travers la digitalisation
La digitalisation du pentest à travers une plateforme apporte la flexibilité et la rapidité indispensables au passage à l’échelle des tests d’intrusion, avec :
- un lancement d’un pentest en moins d’une semaine (contre 3 à 6 semaines avec un cabinet IT) ;
- des rapports de vulnérabilités signalés en direct sur notre plateforme, sans avoir à attendre la fin du test, ce qui permet une remédiation rapide des failles les plus critiques, et une intégration transparente des tests de sécurité dans les pipelines CI/CD ;
- une communication directe avec les chercheurs en sécurité pour des tests plus agiles et efficients ;
- un cloisonnement des tests (et des rôles) à travers plusieurs entités et Business Units, grâce au système de programmes et de workspaces ;
- une traçabilité des activités de test grâce au VPN intégré ;
- une simplification et une centralisation de la gestion des vulnérabilités avant, pendant et après les pentests grâce à notre Vulnerability Operations Center (VOC) et ses différents dashboards analytiques ;
- une intégration avec vos outils de ticketing et de remédiation via API ou connecteurs (Jira, Slack, ServiceNow…) ;
- une industrialisation de l’activité de pentest avec des offres packagées et évolutives, et un cadre contractuel unique.
2. Trouver les bons experts et pallier le déficit de compétences
La digitalisation du pentesting au travers d’une plateforme ne répond qu’à l’un des défis que pose le passage à l’échelle des tests de sécurité, celui de l’industrialisation des outils et des processus. Mais il reste un autre enjeu majeur pour les organisations : trouver des experts qualifiés pour exécuter les tests en question.
Recruter des professionnels de la sécurité ou externaliser les tests ?
Deux options s’offrent aux organisations qui souhaitent réaliser des tests d’intrusion.
1. Disposer des ressources humaines compétentes en interne. Cette option présente de nombreux avantages, mais il existe malheureusement une pénurie mondiale de talents en cybersécurité. Forbes estimait à 3,5 millions le nombre de postes vacants dans le secteur au début de l’année 2023, soit une augmentation de 350% en moins de 10 ans. Les talents sont donc rares et coûteux, et toutes les entités ne peuvent se permettre d’avoir une équipe de pentesters digne de ce nom.
2. Faire appel à un prestataire de services spécialisé. C’est la solution retenue par de nombreuses entreprises, qui choisissent d’externaliser les tests de sécurité à un prestataire, le plus souvent un cabinet d’audit. Mais l’expertise d’un cabinet est toujours limitée à celle de ses propres employés, ainsi qu’à leur nombre. Même le pentester le plus talentueux ne sera pas familier avec tous les types d’actifs et de technologies – c’est impossible. Au moment de choisir le prestataire qui effectuera les tests, il est donc essentiel de s’assurer qu’il dispose des compétences internes correspondant aux spécificités du périmètre à éprouver.
Face à ces deux difficultés – recruter des professionnels qualifiés, ou s’assurer des compétences internes d’un prestataire –, nous apportons une réponse unique : la Yogosha Strike Force.
La Yogosha Strike Force, 800+ experts triés sur le volet
La Yogosha Strike Force (YSF) est une communauté privée et sélective qui regroupe plus de 800 chercheurs en sécurité internationaux qui sont :
- Spécialisés dans la recherche des vulnérabilités les plus critiques en simulant les attaques sophistiquées des pirates informatiques.
- Experts dans de multiples types d’actifs – Applications Web et Mobiles, IOT, Cloud, Réseaux, API, Infrastructure…
- Titulaires de certifications reconnues en matière de cybersécurité – OSCP, OSEP, OSWE, OSEE, GXPN, GCPN, eWPTXv2, PNPT, CISSP…
Nous sélectionnons uniquement les chercheurs les plus talentueux : seuls 10% des candidats sont acceptés, après avoir réussi des examens techniques et pédagogiques. Leur identité et leurs antécédents sont également vérifiés.
A travers la Yogosha Strike Force, les entités réglementées par DORA ont donc accès à :
- un grand nombre d’experts en sécurité internationaux triés sur le volet ;
- un panel de compétences sans pareil pour adresser au mieux tous les types d’actifs et de technologies.
“Par l’intermédiaire de Yogosha, on a réussi à trouver des gens vraiment talentueux.”
– Éric Vautier, RSSI du Groupe ADP (Aéroports de Paris)
Vers une meilleure gestion des pentests internes
Il va sans dire que recourir aux experts de la Yogosha Strike Force est optionnel, surtout si vous avez déjà des professionnels compétents en interne. La difficulté n’est alors pas tant de trouver les bons profils que d’organiser efficacement des tests de résilience internalisés en quantité, puis de gérer efficacement leurs retombées – encore et toujours ce défi du passage à l’échelle. Ici, la plateforme Yogosha a également un rôle à jouer.
Yogosha comme plateforme de Pentest Management
Les organisations qui disposent de leurs propres pentesters peuvent les inviter à rejoindre notre plateforme, le Vulnerability Operations Center (VOC), afin de digitaliser et fluidifier les tests d’intrusion.
Les pentests sont alors organisés par projets et par entités, avec une gestion des rôles et des accès, et les rapports sont centralisés dans un seul et même outil. Les échanges avec les pentesters peuvent se faire directement à l’intérieur des rapports, tandis que les vues holistiques permettent d’évaluer rapidement l’exposition au risque à un niveau micro (par périmètre) ou macro (au niveau des entités). La gestion des vulnérabilités est facilitée, du traitement à la remédiation grâce aux connecteurs et webhooks avec différents outils – Jira, Slack, ServiceNow, etc.
La plateforme Yogosha présente un autre avantage intéressant pour les entités financières les plus sensibles : elle est disponible en SaaS, mais aussi en auto-hébergement pour un déploiement sur un cloud privé ou on premise. Ce qui nous amène tout droit au point suivant.
La gouvernance des tests et des données, un enjeu majeur
La maîtrise de la donnée est un enjeu majeur pour les entités financières. Le cadre de gestion du risque TIC introduit par DORA (Article 6) exige des organisations qu’elles protègent tous leurs actifs, y compris les “actifs informationnels” – autrement dit, les données. Par ailleurs, il est évident que cette responsabilité des entités financières ne s’arrête pas dès lors qu’un fournisseur entre en jeu, le texte de DORA est très clair sur ce point.
Les tests de résilience impliquent un certain nombre de données sensibles, comme des informations sur des vulnérabilités potentiellement exploitables. Il est donc essentiel de choisir un fournisseur de tests fiable et solide. Il appartient ici aux organisations de se renseigner sur la qualité de chaque prestataire.
Une plateforme disponible en SaaS ou Self-Hosted
Nous proposons plusieurs types de déploiement de notre plateforme afin de répondre au mieux aux impératifs de sécurité de chaque organisation, y compris les plus sensibles.
La plateforme Yogosha est ainsi disponible :
- en SaaS : une solution clé en main, hébergée via 3DS Outscale et son cloud souverain certifié SecNumCloud (la plus haute norme de sécurité française, établie par l’ANSSI). Les données sont hébergées sur le sol français.
- en Self-Hosted : une solution taillée pour les entités aux exigences les plus strictes en matière de sécurité. Vous êtes libre d’héberger la plateforme Yogosha où bon vous semble – cloud privé, on premise – pour garder le contrôle total de vos données et du contexte d’exécution.
Dans les deux cas, la robustesse intrinsèque de notre produit est au centre de nos préoccupations. Nous sécurisons continuellement nos actifs à travers un pipeline DevSecOps, les directives OWASP, des tests d’intrusion récurrents et un programme de bug bounty continu. Par ailleurs, la certification ISO 27001 de notre plateforme est en cours.
Réduire le nombre de prestataires de tests pour simplifier la gestion des tiers
DORA autorise les entités financières à faire appel à de multiples prestataires, “au niveau du groupe ou de l’entité”, dans le cadre de leur stratégie de résilience opérationnelle numérique. En revanche, il faudra alors mettre en évidence “les principales relations de dépendance à l’égard de chacun, et exposer les raisons qui sous-tendent la combinaison de différents prestataires” [DORA, Article 6(9)]. Autrement dit, il faut construire une politique de gestion des tiers pleinement détaillée et documentée.
Il est donc dans l’intérêt des entités financières de ne pas multiplier plus que de raison leurs prestataires de services, afin de s’épargner une gestion des tiers inutilement fastidieuse. Sans compter que la multiplication des fournisseurs implique aussi une augmentation des tâches de gestion et de communication, et des problématiques liées à la sécurité des données.
En industrialisant les tests de résilience avec Yogosha, vous limitez de fait le nombre de prestataires sur ce sujet à un seul – vos équipes juridiques et GRC vous remercieront.
Concilier le passage à l’échelle des tests avec le budget de sécurité
La multiplication des tests de sécurité soulève également un certain nombre de questions d’ordre financier. Un test d’intrusion traditionnel coûte cher, entre $10k et $35k selon Blaze. Et on parle ici d’un seul test, alors imaginez la facture pour les entités concernées par DORA, qui sont tenues d’effectuer des tests de résilience au moins une fois par an pour chaque système ou application qui soutient des fonctions critiques ou importantes. Il y a de quoi faire frémir n’importe quel RSSI ou directeur financier.
Le passage à l’échelle des tests de sécurité constitue donc un véritable enjeu économique pour les organisations. Comment multiplier les tests de sécurité sans faire exploser le budget alloué à la cybersécurité ? Ici encore, nous prêchons pour notre paroisse avec le Pentest as a Service (PtaaS).
PtaaS : un ROI jusqu’à 96% supérieur au pentest traditionnel
D’un point de vue financier, le PtaaS est, de manière générale, plus intéressant que l’approche traditionnelle. Les tarifs sont globalement plus attractifs pour les entreprises, mais c’est la disparition de nombreux coûts cachés qui fait toute la différence – triage chronophage, gestion des vulnérabilités laborieuse, frictions avec les méthodologies Agile, etc.
Puisque nous ne sommes pas impartiaux sur cette question, nous vous renvoyons plutôt vers un article de Tech Beacon, 4 coûts cachés du pentest. On y apprend que le ROI du Pentest as a Service peut être jusqu’à 96% plus élevé que son homologue historique.
Si vous êtes concernés par l’augmentation des tests de sécurité induits par DORA, et de leurs coûts, n’hésitez pas à nous contacter pour un devis ou une démonstration de notre solution de Pentest as a Service (PtaaS).
Par ailleurs, il faut savoir que le programme de tests de résilience n’est que le premier volet des obligations de tests induites par DORA. Le deuxième volet, plus exigeant encore, fait l’objet du troisième chapitre de ce guide :
