Comment sécuriser les applications Web en continu avec le pentesting-as-a-service ?

Les tests d’intrusion (« penetration testing » ou « pen test » en anglais) sont une pratique précieuse pour découvrir les vulnérabilités exploitables dans le code et y remédier. Cependant, les tests d’intrusion traditionnels ne peuvent pas suivre le rythme des environnements agiles. Pour répondre aux exigences des applications modernes, découvrez comment le pentesting-as-a-service permet d’obtenir des résultats plus rapides, automatiquement ou à la demande.

Le pentesting-as-a-service

Votre application est entièrement agile, produit un flux continu de nouvelles données et fonctionnalités et exécute des opérations clés de l’entreprise. Mais avec l’incroyable vélocité des changements du code, comment pouvez-vous être sûr que ces applications sont sécurisées ? Il ne s’agit pas d’une question secondaire : les cyberattaques contre les applications Web et leurs serveurs sont les plus fréquentes parmi les cyberattaques selon le rapport 2021 Verizon Data Breach Investigations Report (rapport d’enquête sur les violations de données de Verizon).

Dans les périodes plus calmes de l’ère pré-agile, une équipe rouge (red team) effectuait périodiquement un test d’intrusion pour sonder manuellement les vulnérabilités de vos applications et de votre infrastructure. Ce regard du point de vue du hacker sur l’efficacité des contrôles de sécurité de votre organisation avait pour but de clarifier le potentiel d’accès aux fonctionnalités et aux données du système par des parties non autorisées.

Cette approche pose deux problèmes. La première est le manque général de professionnels de la sécurité qualifiés capables d’effectuer des tests d’intrusion. Il s’agit d’un problème bien documenté « qui continue d’avoir un impact significatif sur les pays d’Europe et du monde », selon un rapport de l’Agence européenne pour la cybersécurité (ENISA).

L’autre problème est qu’une évaluation ponctuelle du point de vue des pirates ne suffit plus alors que le code change plusieurs fois par jour. Dans cet article, nous décrivons une nouvelle approche adaptée à la vélocité de la méthode agile : le pentesting-as-a-service – une nouvelle façon de sécuriser vos applications Web en continu qui combine les techniques traditionnelles de test manuel et l’utilisation de technologies avancées à travers une plateforme SaaS.

Tirer parti de la technologie pour le SaaS

Son seul nom implique que le pentesting-as-a-service est « cloud-native » et comporte un élément d’automatisation – deux caractéristiques idéales pour un environnement agile. L’un des principaux avantages des tests d’intrusion basés sur la technologie est la rentabilité. Comme tout outil SaaS, le pentesting-as-a-service est fourni sous la forme d’un service régulier et prévisible offrant un cycle continu de tests d’intrusion manuels et de surveillance de la sécurité afin de maintenir vos applications agiles sûres et sécurisées, quelle que soit la fréquence à laquelle votre code de production est modifié. Mieux encore, vous pouvez utiliser pentesting-as-a-service chaque fois que vous en avez besoin, sans frais de mise en place et sans avoir à obtenir d’approbations supplémentaires pour modifier le champ d’application, ce qui facilite grandement la planification et le contrôle des coûts sans compromettre la qualité des tests.

Tests en temps réel, plus rapides et continus

Tout d’abord, le pentesting-as-a-service est précieux en raison de sa rapidité ; son processus d’analyse et de test est continu ou à la demande. Les tests d’intrusion traditionnels sont eux, plus laborieux. L’installation et l’exécution de ces derniers prennent du temps, sont souvent interrompues et, lorsque les testeurs parviennent enfin à produire un rapport, les résultats sont déjà périmés depuis plusieurs générations de code. Savoir que votre organisation a été soumise à une vulnérabilité par le passé ne vous aidera peut-être pas à protéger vos applications aujourd’hui !

Le pentesting-as-a-service étant exécuté en temps réel, votre équipe SecOps peut analyser les applications quotidiennement ou plus souvent si nécessaire. Les résultats des analyses sont automatiquement publiés sur le portail pentesting-as-a-service et pourront être affichés comme vous le souhaitez. Le portail fournit également des ressources à votre équipe pour analyser les vulnérabilités et vérifier l’efficacité d’une remédiation. La base de connaissances proposée par l’interface pour aider l’équipe à remédier à la situation s’avère également très utile.

Exploiter l’expertise humaine à grande échelle

Même si nous aimerions que l’apprentissage automatique et d’autres technologies fassent tout le travail de pentesting-as-a-service, l’état de l’art est encore en évolution. Il arrive qu’un scan des vulnérabilités repère une anomalie mais ne sache pas quoi faire des données. L’anomalie peut être déclenchée par quelque chose de mineur, comme l’ajout d’une nouvelle bibliothèque ou d’une nouvelle page tierce ; ou bien un changement important pouvant entraîner des ajouts ou des modifications majeures du code. À ce stade, vous devriez faire appel à la sagesse des testeurs expérimentés de l’équipe rouge. Avec le pentesting-as-a-service, vous n’avez rien à faire pour appeler des humains à l’aide. Le pentesting-as-a-service le fait automatiquement pour vous.

Outpost24 répond à cette exigence en combinant tests manuels et analyse automatisée. Notre approche hybride allie la puissance de l’intelligence humaine et les capacités des machines pour fournir une évaluation et une surveillance continues. C’est le moyen le plus efficace d’identifier les menaces potentielles pour votre application en révélant à quel point votre entreprise est vulnérable aux cyber-attaques. Elle vous aidera à comprendre les enjeux spécifiques à votre entreprise et vous permettra d’ajuster et d’adapter vos contrôles de sécurité en permanence, en évitant que des informations sensibles ne tombent entre de mauvaises mains et ne retardent votre cycle de développement.

Nos services de tests manuels sont certifiés CREST, examinés par des pairs et vérifiés par nos experts en sécurité. Ils vous donnent un panorama d’ensemble des vulnérabilités (comme le top 10 de l’OWASP) et de leur niveau de risque associé (erreurs de logique commerciale et les portes dérobées manquées par les scanners automatisés par exemple) avec zéro faux positif. Vous disposerez également d’un accès direct aux pentesteurs afin d’obtenir des éclaircissements et des recommandations sur ce qu’il convient de faire face à telle ou telle vulnérabilité.

Autre avantage important : l’équipe humaine de pentesteurs d’Outpost24 est composée d’employés de notre entreprise ayant fait l’objet de contrôles approfondis. Certains services de tests d’intrusion externalisent ou confient cette tâche à des contractants tiers. Si l’approche consistant à faire appel à des sous-traitants résout le problème du trop faible nombre de personnes qualifiées pour réaliser ce travail, elle expose votre DevOps à un accès à la sécurité potentiellement non vérifiée – et ce risque peut être trop important pour que votre entreprise le court simplement pour « faire le boulot ».

Résumé des principaux avantages du pentesting-as-a-service

Si vous envisagez d’explorer ce nouveau monde du pentesting-as-a-service, privilégiez une solution qui vous offrira automatiquement les avantages suivants :

• Rapidité de mise en œuvre – La mise en place du pentesting-as-a-service ne doit pas prendre des mois ou des semaines. Les tests doivent être lancés dans les jours qui suivent l’installation.
• Collaboration – Vos organisations DevOps et SecOps doivent pouvoir communiquer avec l’équipe rouge via le portail pentesting-as-a-service pour obtenir des informations sur les résultats. La collaboration doit être fluide et facile !
• Validation des conclusions – La valeur ajoutée du pentesting-as-a-service est d’obtenir une validation continue des mesures correctives après avoir mis en œuvre les recommandations du rapport. Le pentesting-as-a-service doit permettre un nombre illimité de demandes de vérification, car votre code ne cessera jamais de changer.
• Rapports adaptés à vos besoins – L’obtention de rapports pentesting-as-a-service ne devrait pas être synonyme d’attente et d’espoir de voir (enfin !) les résultats, ce qui arrive fréquemment avec les tests d’écriture traditionnels. Le pentesting-as-a-service doit fournir des rapports au moment où vous en avez besoin.
• Meilleur retour sur investissement – Grâce aux avantages d’une approche cloud des tests d’intrusion, l’automatisation fournie par le pentesting-as-a-service devrait offrir un meilleur retour sur investissement que les tests d’intrusion traditionnels.

Les tests d’intrusion sont une pratique précieuse pour mettre à jour les vulnérabilités exploitables dans le code et y remédier. Cependant, les tests d’intrusion traditionnels ne peuvent pas suivre le rythme des mutations au sein des environnements agiles. Pour répondre aux exigences des applications modernes, les pentesting-as-a-service fournissent des résultats plus rapides, automatiquement ou à la demande. Si vous effectuez plusieurs tests d’intrusion par an et que vous avez du mal à en retirer tout le bénéfice, nous vous invitons à découvrir comment l’offre pentesting-as-a-service d’Outpost24 peut systématiquement renforcer la sécurité des applications de votre organisation en visitant notre page produit pentesting-as-a-service.