Les responsables de la sécurité sont aujourd'hui confrontés à un choix critique entre les tests de pénétration structurés et sous-traités et les programmes de recherche de bogues continus et financés par la foule. Les deux méthodes permettent de trouver des vulnérabilités, mais quelle approche offre la meilleure assurance stratégique et le meilleur retour sur investissement pour l'atténuation des risques à long terme ?
Pour répondre à cette question, nous nous appuyons sur les idées de Mathieu Novis, testeur de pénétration senior chez SecureOps. Son point de vue, issu de près d'une décennie d'expérience spécialisée dans la sécurité des applications (AppSec), suggère que la valeur ultime de tout engagement de test réside dans le contexte. Pour l'assurance stratégique, la compréhension de l'impact commercial complet d'une vulnérabilité nécessite une expertise humaine dédiée qui va bien au-delà des modèles automatisés ou de paiement pour les résultats.
Le choix d'un programme de test des vulnérabilités nécessite de trouver un équilibre entre deux besoins distincts : la découverte continue et l'assurance stratégique. Si les programmes de primes aux bugs excellent dans le premier cas, ils posent des problèmes importants aux équipes internes. Examinons leurs différences :
M. Novis note que le crowdsourcing génère souvent un volume important de résultats de faible valeur. "La valeur d'un pentester dédié est moins bruyante. Avec les bug bounties, il y a beaucoup de gens qui demandent de l'argent pour de petites vulnérabilités qui n'ont pas d'impact. Il faut beaucoup de temps pour tout trier". Ce flot d'alertes mineures peut diluer l'attention et drainer des ressources qu'il vaudrait mieux consacrer à la remédiation.
Par conséquent, cette approche à grand volume fait que le bug bounty n'est pas adapté à certaines organisations. Les programmes de primes aux bugs conviennent généralement mieux aux grandes organisations dotées d'équipes cybernétiques importantes et matures.
En outre, le coût d'un programme indiscipliné peut être énorme. Si une entreprise qui n'a pas atteint la maturité en matière de cybersécurité lance un programme de primes à la détection de bogues, celui-ci pourrait s'avérer beaucoup plus coûteux en raison du volume de soumissions à trier et à payer.
En revanche, un test d'intrusion dédié offre le temps et la portée nécessaires pour comprendre la logique commerciale de base de l'application, la chaîne d'exploitation complète et le coût réel de l'échec. Ce contexte est essentiel pour hiérarchiser les risques. Novis explique le résultat : "Nous avons le temps de mieux comprendre l'impact. Au final, nous obtenons un résumé précis décrivant les lacunes de l'application". Ce résumé guide l'établissement des priorités au sein des équipes de développement, en veillant à ce que les ressources s'attaquent d'abord aux problèmes les plus graves.
Ce résumé est destiné à un large public. Alors que les rapports de bug bounty s'adressent principalement aux équipes techniqueset se concentrent davantage sur la recherche technique pure, un rapport de pentest a un objectif éducatif vital. Le rapport final s'adresse à tout le monde, y compris aux RSSI, aux directeurs, aux cadres supérieurs et aux équipes techniques. Novis a décrit les différences en disant : "Dans un bug bounty, plus de temps est consacré à la recherche technique pure. Dans un pentest, on consacre plus de temps à la restitution de ce qui a été vu".
Cet investissement dédié à la restitution permet d'orienter les priorités des équipes de développement, en veillant à ce que les ressources s'attaquent d'abord aux problèmes les plus graves.
Parmi les autres avantages d'un pentest sous-traité figurent le contrôle, des limites claires et la responsabilité, ce qui est essentiel lorsqu'il s'agit de systèmes internes très sensibles. "Vous savez qui vous teste. Vous savez d'où vient le testeur. Ce n'est pas le cas avec le bug bounty", explique M. Novis.
Dans le secteur, on pense à tort que des outils de haute qualité ou l'IA peuvent remplacer l'ingéniosité humaine. M. Novis n'hésite pas à rejeter cette idée. Les responsables de la cybersécurité et les professionnels non techniques peuvent sous-estimer le temps et le jugement spécialisé requis pour les tests complexes.
"Les gens pensent parfois que nous pouvons tout pirater en trois minutes. Ce n'est pas du tout le cas. Il faut surtout lire, lire, lire et essayer de comprendre", explique-t-il. Le processus n'a rien d'hollywoodien et relève davantage de la science médico-légale.
La valeur humaine fondamentale est la capacité à contourner la fonctionnalité prévue, ce qui exige une intuition qui va au-delà de la simple recherche de modèles. Les attaquants et les pentesters recherchent le chemin de moindre résistance, qui est souvent une faille logique que le développeur n'a jamais envisagée. Novis décrit ainsi son état d'esprit interne : "Le processus de réflexion est toujours le suivant : "Comment puis-je contourner la manière dont l'application ou le contrôle de sécurité est censé fonctionner ? L'objectif est vraiment de comprendre, puis de sortir des sentiers battus".
Si l'IA peut accélérer la recherche et l'analyse, Novis affirme qu'il s'agit actuellement d'un outil de productivité et non d'un substitut. L'IA ne dispose pas de l'intuition et du jugement éthique nécessaires pour réaliser des tests sûrs et à fort impact. "Le mot clé est le contexte. Je pense que pour que l'IA comprenne vraiment une application ou un réseau, elle devrait voir beaucoup plus de données qu'un pentester expérimenté. Le pentester apporte son expérience approfondie qui lui permet de reconnaître les domaines d'investigation au niveau des tripes."
La véritable mesure d'une vulnérabilité n'est pas sa complexité, mais son impact. C'est là que les tests contextuels offrent une vision claire des risques qui se cachent derrière les failles de base.
Dans le cadre d'une mission, Novis a trouvé un lien non authentifié intégré profondément dans les fichiers JavaScript d'un portail client. Il avait probablement été conçu pour le débogage de l'équipe d'assistance. En spécifiant simplement le numéro de téléphone d'un client, un pirate pouvait accéder à l'ensemble des données d'identification personnelle (PII).
La faille a rapidement dépassé le stade de la fuite de données. "J'étais capable de spécifier un numéro de téléphone et de géolocaliser la personne en temps réel sans authentification ou quoi que ce soit d'autre. C'était assez grave", se souvient M. Novis. Cette simple erreur de configuration s'est immédiatement transformée en une menace sérieuse impliquant des données de localisation en temps réel pour chaque client.
La réaction du client a validé la valeur préventive du test. M. Novis se souvient qu'un représentant de l'entreprise a souligné les implications financières : "La dernière fois qu'ils ont révélé un problème similaire, ils ont dû débourser 90 millions de dollars en frais d'avocat pour se défendre". Cette histoire montre comment une simple configuration manquée peut exposer une organisation à une responsabilité massive et non budgétée.
Pour l'avenir, Novis prévoit un changement critique dans l'orientation de la sécurité qui dominera les portefeuilles de risques des dirigeants : La sécurité des technologies opérationnelles (OT).
"La protection des technologies opérationnelles commencera à devenir une priorité, car si un attaquant se retrouve dans les technologies opérationnelles, il peut facilement perturber les lignes de production. Sous l'effet des tensions géopolitiques et d'une cyberguerre sophistiquée, les systèmes industriels et de production sont des cibles critiques. L'hypothèse historique selon laquelle les contrôles informatiques périmétriques protègent les systèmes informatiques est en train de s'effondrer.
Le problème central est l'architecture de ces systèmes dans les petites organisations du secteur industriel, comme la fabrication. Une fois qu'un attaquant franchit la frontière informatique, la compromission est quasi immédiate lorsque les réseaux OT ne disposent pas d'une segmentation moderne. M. Novis fait remarquer qu'"à l'heure actuelle, le réseau est pratiquement plat. Une fois que vous êtes entré, vous pouvez aller n'importe où". Il s'attend à ce que ces organisations s'alignent sur leurs concurrents plus importants et intermédiaires, ainsi que sur les entreprises du secteur de l'énergie qui ont investi davantage dans la sécurisation de leurs environnements OT.
Les tests de ces systèmes exigent un niveau de prudence et de contrôle rarement atteint dans les tests d'applications web, en raison des enjeux élevés qu'ils impliquent. La défaillance d'un système de contrôle dans le domaine des technologies de l'information peut entraîner des dommages physiques réels ou des pannes généralisées. Novis se souvient d'un avertissement brutal : "Nous menions un test sur l'environnement d'un fournisseur d'énergie, qui nous a dit : 'Si vous faites une erreur, vous allez couper l'électricité de toute une ville. Soyez donc prudents". Ce risque non quantifiable fait de la nature contrôlée et professionnelle du pentest sous-traité le seul modèle viable pour les environnements OT.
Les responsables de la cybersécurité devraient mesurer la valeur des tests de sécurité en fonction de la clarté stratégique obtenue, plutôt que du nombre de bogues trouvés. Une défense efficace nécessite une approche humaine et contextuelle pour identifier les risques les plus graves, en particulier ceux qui découlent d'une logique commerciale unique et de frontières émergentes telles que l'OT.
Contactez SecureOps pour savoir comment nous pouvons vous aider à renforcer votre maturité en matière de sécurité et à protéger votre environnement.