PASSI, CREST, OSCP, CEH… Faut-il faire un pentest avec un prestataire certifié ? Les certifications en sécurité permettent aux entreprises proposant des audits de sécurité de se qualifier. Si vous souhaitez faire appel à ce type de service, ce sont des éléments intéressants à prendre en compte pour le choix d’un prestataire, mais ce ne sont pas les seuls éléments permettant d’évaluer un niveau de qualité. De plus, si vous commanditez un pentest, se pose la question de la valorisation de la démarche et des éventuelles certifications que vous pourrez mettre en avant suite à l’audit de sécurité.
Faire un pentest avec une entreprise certifiée
Faire un pentest avec une entreprise possédant des certifications reconnues peut être rassurant pour le commanditaire, et pour les partenaires du commanditaire auxquels le rapport d’audit sera communiqué. Certaines certifications s’appliquent à l’entreprise de pentest elle-même, d’autres s’appliquent aux auditeurs en sécurité en charge du pentest.
Les certifications de l’entreprise de pentest
Certaines entreprises sont certifiées en pentest. Bien que ce ne soit pas un pré-requis pour effectuer des pentests de qualité (certaines petites entreprises ultra spécialisées ont peu de temps à accorder à une démarche de certification, tandis que d’autres entreprises pratiquant moins souvent le pentest peuvent avoir plus de moyens à allouer à une démarche de certification), ce type de certification spécifique à l’activité de pentest permet de valider que les processus de l’entreprise ont été audités et jugés crédibles par un tiers indépendant. En parallèle, d’autres labels de sécurité peuvent venir attester des processus mis en place par l’entreprise de pentest pour assurer la sécurité de son SI, de ses données propres ainsi que des données de ses clients.
Labels de l’activité de pentest : PASSI et CREST
PASSI (en France) et CREST (dans les pays anglo-saxons) sont les deux labels les plus reconnus pour les entreprises opérant des audits de sécurité.
PASSI est spécifique au marché français : il s’agit d’une qualification attribuée par l’ANSSI aux entreprises du secteur qui entreprennent la démarche de certification. Elle est exigée par les entreprises françaises opérant dans les secteurs les plus critiques (OIV) et elle sert aussi de repères aux autres entreprises lors du choix d’un prestataire pour réaliser un audit de sécurité.
CREST est un label anglo-saxon, largement reconnu à l’international, délivré par un organisme indépendant à but non-lucratif ayant pour but de structurer la démarche qualité des entreprises proposant des prestations techniques de cybersécurité. Il est exigé par des entreprises de différents pays afin de garantir le sérieux et le niveau de qualité d’une entreprise proposant des tests d’intrusion.
Ces certifications sont attribuées suite à une évaluation rigoureuse des processus, de la méthodologie et des profils des auditeurs qui travaillent pour une entreprise effectuant des audits de sécurité.
Autres labels et certifications de sécurité
Il existe d’autres certifications de cybersécurité que peuvent posséder les entreprises effectuant des tests d’intrusion (mais aussi d’autres entreprises de différents secteurs).
ISO27001 est la certification de cybersécurité la plus emblématique. Elle s’applique au management de la sécurité des systèmes d’information de l’entreprise dans son ensemble, et il s’agit d’une norme très complète. À noter que cette norme ne s’applique pas spécifiquement aux prestations de pentest effectuées pour des tiers mais va concerner la politique de sécurité et les processus mis en place pour assurer la cybersécurité en interne.
Si l’entreprise a également d’autres activités que les tests d’intrusion, d’autres certifications de cybersécurité pourront s’appliquer selon la nature des activités.
Pour les éditeurs de logiciels ou développeurs de solutions, la certification Critères Communs permet d’attester d’un niveau robuste de cybersécurité, largement reconnu à l’international. Aux USA, SOC2 est une norme relative au contrôle de la sécurité et de la confidentialité des données, couramment exigée pour les éditeurs de logiciels. En France, la certification CSPN permettent d’attester d’un premier niveau de sécurité, pour proposer une alternative plus abordable que les critères communs aux éditeurs de logiciels qui souhaitent valoriser leur démarche sécurité.
Pour les prestataires de services numériques, il existe une multitude de labels, applicables selon les domaines métiers. En France, l’ANSSI propose ainsi des qualifications spécifiques, par exemple : PDIS pour la détection des incidents de sécurité, SecNumCloud pour les fournisseurs de services cloud, autres labels pour les services de certification électronique…
Les certifications des pentesters
Indépendamment des certifications obtenues par l’entreprise dans laquelle ils travaillent, certains pentesters sont certifiés. Les certifications des pentesters sont des certifications individuelles, cependant l’entreprise dans laquelle ils travaillent peut encourager ses salariés à obtenir des certifications, et financer la démarche voire accorder du temps spécifique à la formation et à la préparation des examens. Ces certifications ne sont certainement pas le seul critère pour connaître le niveau d’expertise d’un pentester : il existe en effet des auditeurs en sécurité juniors voire des étudiants qui sont certifiés OSCP ou CEH, tandis que certains pentesters expérimentés et très compétents ne possèdent pas la moindre certification. Néanmoins, faire appel à des pentesters certifiés revient à s’assurer que des compétences ont été validées par un tiers indépendant.
Certifications du métier de pentester : CEH et OSCP
CEH (Certified Ethical Hacker) et OSCP (Offensive Security Certified Professional) sont les deux certifications largement populaires, reconnues à l’international et correspondant au métier de pentester lui-même.
Ces deux certifications présentent des différences en termes de contenu et de processus d’évaluation, mais leur finalité est de valider un niveau de connaissances et de compétences en hacking éthique / sécurité offensive. CEH et OSCP sont fréquemment mises en avant par les entreprises de pentest pour valoriser les compétences de leurs consultants auprès de leurs clients.
Certifications spécifiques à certaines catégories de pentest
Il existe d’autres certifications pour les pentesters, plus spécifiques à certains types de tests d’intrusion.
Pour les pentest d’applications web, il existe notamment GWAPT, eWPT et OSWE. Ces certifications sont exclusivement focalisées sur les types de failles et de techniques d’intrusion spécifiques au web. En effet, le pentest d’applications web nécessite une approche et des compétences bien distinctes du pentest d’infrastructure et réseaux. Si les auditeurs en sécurité ne possèdent pas ces certifications, il est utile de regarder s’ils possèdent des compétences en développement web. En effet, combiner une expérience en développement web et une expérience en pentest est un gage de crédibilité et de compétences encore plus que le fait d’avoir préparé une certification sans avoir de background technique dans le web.
Pour le pentest d’ingénierie sociale, il existe une certification spécifique : SEPP. Celle-ci est exclusivement focalisée sur les techniques d’ingénierie sociale, permettant de tester les facteurs humains de la cybersécurité. Cependant, cette certification n’étant pas très répandue, il est intéressant de s’attacher davantage à l’expérience des auditeurs dans ce domaine et à la capacité de l’entreprise de pentest à proposer une approche pertinente pour ce type de tests.
Certifications spécifiques à certains types de technologies
Les certifications par type de technologies ne s’appliquent pas spécifiquement au pentest mais démontrent la maîtrise approfondie de certaines technologies qui s’avère très utile pour réaliser un audit de sécurité.
Côté serveurs, les technologies Linux, Unix et Windows correspondent à des expertises spécifiques. Un pentester expérimenté sera capable de tester des systèmes reposant sur différents types de technologies. Cependant, une maîtrise approfondie de Linux, par exemple, permettra d’aller plus loin dans la découverte et l’exploitation de certaines failles, et de fournir un niveau de recommandation plus détaillé suite à l’audit de sécurité. Ce type d’expertise avancée peut être démontrée par une certification Linux, ou par une expérience significative en tant qu’administrateur Linux.
Les technologies cloud, et notamment les infrastructures cloud publiques les plus populaires (AWS, Azure, Google Cloud) correspondent aussi à des expertises à part entière. Il existe des certifications spécifiques au cloud et même à la sécurité du cloud, par exemple AWS Certified Security Specialty.
Côté développement, les technologies couramment utilisées (PHP, Java, Ruby, Python, NodeJS, etc.) correspondent également à des expertises spécifiques. C’est aussi le cas des différents frameworks propres à ces technologies. Une maîtrise approfondie de PHP et de Symfony, par exemple, permettra à un pentester d’aller encore plus loin dans certains types de tests et de recommandations de correction des vulnérabilités. Ce type d’expertise avancée peut être démontrée par une certification Symfony, ou par une expérience significative en développement sous Symfony.
Autres certifications de cybersécurité
D’autres certifications de cybersécurité, plus généralistes, peuvent être possédées par des pentesters et présenter un intérêt pour leurs clients.
CISSP est une certification qui couvre les aspects d’audits de sécurité et de tests, mais d’un point de vue généraliste pour un professionnel de la cybersécurité. Elle n’est pas spécifique au métier de pentester lui-même mais permet de valider un niveau global de maîtrise des enjeux de cybersécurité d’une entreprise (management des risques, sécurité des ressources, architecture et conception de la sécurité, sécurité des communications et réseaux, gestion des identités et des accès, évaluations et tests de sécurité, sécurité des développements logiciels…). Cela peut s’avérer très utile pour conseiller un client sur sa stratégie de pentest au regard d’une démarche sécurité comprise dans son ensemble.
ISO27001 Lead Implementer est une certification davantage tournée vers les aspects « fonctionnels » de la sécurité, pour accompagner une démarche de formalisation des politiques de sécurité en vue d’une certification ISO27001. Néanmoins, certains pentesters qui possèdent aussi cette certification sont à même d’envisager les besoins de pentest de leurs clients avec une approche plus globale.
Autres critères au-delà de la certification
Comme évoqué précédemment, les certifications en elles-mêmes ne résument pas toutes les compétences de l’entreprise de pentest et de ses pentesters. Il est important de considérer d’autres critères afin d’évaluer la pertinence d’un prestataire en vue de réaliser un audit de sécurité.
- Cœur de métier : L’entreprise est-elle spécialisée en pentest ? Quel volume représentent les tests d’intrusion par rapport à l’ensemble de ses prestations ou de ses activités ?
- Approche, méthodologie, outils : Quelle est l’approche proposée pour un pentest ? Sur quelle méthodologie et sur quels outils s’appuie le prestataire ?
- Compréhension des besoins clients : Quelle est la capacité du prestataire à comprendre et reformuler le besoin du client ? Quel est son degré de compréhension technique et de précision de son offre ?
- Processus : Quels sont les processus mis en place pour définir les besoins en amont du pentest, pour contractualiser, et pour dérouler l’audit de sécurité ?
- Liens avec d’autres structures : L’entreprise est-elle indépendante ? Ou est-elle filiale d’un groupe possédant d’autres activités ? Pour quelle typologie de clients travaille-t-elle et quels sont les types de pentest les plus pratiqués ?
- Attractivité : Quelle est l’attractivité de l’entreprise pour des pentesters ? Et donc, quelle est sa capacité à recruter et fidéliser des profils de bon niveau ?
- Éthique : Quelles sont les garanties en matière de protection des données et de confidentialité des résultats ? L’entreprise a-t-elle d’autres engagements éthiques voire des engagements de RSE ?
Se faire certifier suite à un pentest
La question de la certification en lien avec un pentest s’applique aussi à la valorisation de l’audit de sécurité et à l’obtention d’une éventuelle certification pour le client. Il existe des certifications en sécurité, dont le pentest est une composante, mais aussi des certificats d’audits de sécurité ainsi que d’autres livrables pouvant être remis au client suite à un pentest.
Passer une certification de sécurité
Pour une entreprise commanditaire d’un pentest, l’objectif final peut être d’obtenir une certification en cybersécurité. Cela concerne notamment les projets de certification ISO27001, mais aussi les certifications plus spécifiques, comme SOC2. Dans ce cas, le pentest est un critère ou une étape parmi d’autres en vue de l’obtention de la certification. Il est important d’évoquer le contexte de certification en cours avec l’entreprise qui sera chargée du pentest, car l’objectif final ainsi que les objectifs définis au cours de l’analyse de risque vont avoir une influence sur le scope du pentest.
L’accompagnement pour l’obtention d’une certification telle que ISO27001 et le pentest sont deux métiers distincts. Certaines entreprises proposent ces deux types de services, mais il est courant de faire appel à des prestataires différents afin de bien distinguer les expertises et d’avoir un regard totalement neutre pour le pentest.
Obtenir un certificat de pentest
Au-delà des certifications en cybersécurité que nous venons d’évoquer, il est possible d’obtenir un certificat d’audit de sécurité après certains types de pentest.
Dans ce cas, il s’agit d’un certificat privé, délivré par l’entreprise ayant effectué le pentest. Le certificat prouve que des tests d’intrusion ont été réalisés par un tiers spécialisé dans le domaine. L’entreprise de pentest engage son image et le sérieux de ses services en attestant officiellement du travail réalisé. Généralement, ce type de certificat est délivré après un pentest complet (tests d’intrusion approfondis, et vérification des corrections effectuées par la suite) afin d’éviter d’engager sa crédibilité si le pentest a été de courte durée et n’a permis de couvrir qu’une partie du périmètre exposé.
Un certificat d’audit de sécurité est un livrable intéressant à communiquer à des prospects, des clients et des partenaires.
Autres livrables communicables suite à un pentest
Un certificat n’est pas l’unique type de livrable pouvant être transmis à des tiers après un pentest. Les rapports d’audit de sécurité peuvent également être communiqués en intégralité ou en partie.
Il convient de distinguer plusieurs types de livrables :
- Le rapport technique, qui détaille les portions testées, les types de tests effectués, les vulnérabilités découvertes, les recommandations de correction
- Le rapport de contre-audit, qui montre que les problèmes de sécurité identifiés pendant l’audit ont été résolus
- L’executive summary, qui propose une synthèse non-technique pour le management ou pour des décisionnaires non en charge de l’IT et de la cybersécurité
Dans certains cas, il est également possible d’obtenir un label ou un sceau privé (délivré par l’entreprise de pentest) suite à l’audit de sécurité. C’est le cas des quatre sceaux de sécurité de Vaadata.
Actions complémentaires pour attester d’une démarche sécurité
Démontrer qu’un pentest a été réalisé, ou communiquer sur les résultats, n’est pas la seule approche pour renforcer votre démarche sécurité et pour répondre aux exigences de clients ou de partenaires.
La cybersécurité est un domaine large, et les actions à entreprendre sont multiples pour assurer la protection des données de vos clients et pour vous montrer conforme avec les diverses exigences.
En fonction de l’activité de votre entreprise, et du profil de vos clients, différents types de documents seront exigés : analyse de risque, PSSI, rapports de pentest, plan de réponse à incident, plan de reprise d’activité…
En fonction des enjeux et des priorités, certaines entreprises travailleront spécifiquement certaines procédures pour élaborer la documentation correspondante, tandis que d’autres se tourneront vers la démarche de certification ISO27001 qui couvre l’ensemble des sujets relatifs à la cybersécurité dans l’entreprise.