Faut-il faire une démonstration de sa solution aux pentesters ?

Faut-il faire une demo de son produit aux pentesters

Avant de commencer un pentest, faut-il présenter votre produit ou votre solution aux pentesters ?
Tout dépend de votre situation et de vos objectifs !

Quels avantages à ne pas faire de démonstration ?

Si vous souhaitez évaluer la sécurité de votre solution dans des conditions réalistes et les plus proches d’une cyberattaque, il est préférable de ne pas faire une démo aux pentesters.
Lors du test d’intrusion, ils découvrent ainsi la solution lors de leur préparation, par les informations disponibles en ligne et au fur et à mesure de leurs attaques.
Ils se mettent dans la peau d’un attaquant, suivent le même chemin de réflexion et verront les mêmes points sensibles.

Laisser les pentesters découvrir votre produit ou solution a de plus l’avantage de les laisser porter un regard neuf sur votre situation. De plus, ils ne vont pas concentrer les tests sur des éléments que vous auriez indiqués, mais vont déterminer eux-mêmes les attaques prioritaires en fonction des informations qu’ils collectent.

Ne pas présenter votre solution convient pour les produits fonctionnellement simples à prendre en main. Les pentesters ont l’habitude et l’expérience de tester des solutions variées, ce qui leur permet d’identifier les processus de fonctionnement du produit sans avoir besoin d’une présentation.

Cette approche sans démo correspond au pentest externe. Comme un attaquant ayant accès depuis internet à votre solution, les pentesters trouvent et testent les éléments accessibles à tous.
Ces éléments accessibles et exposés sur internet sont des parties à surveiller avec attention, car ils sont soumis à des attaques générales ou ciblées.
Le pentest peut être un audit Black Box classique ou bien 100% Black Box.

Quels avantages à faire de démonstration ?

Présenter sa solution avant de commencer un pentest a l’avantage de donner aux pentesters une bonne compréhension du produit. Cela est pertinent pour les solutions métiers complexes, pour lesquelles le workflow est spécifique et lié au secteur d’activité. Les attaques menées seront ainsi judicieuses par rapport aux enjeux précis de l’activité. La bonne compréhension de la logique métier est de plus essentielle pour tester les failles logiques.

Avoir une démo est aussi un avantage pour les pentests approfondis, qui visent à évaluer en détail la sécurité d’une solution. Connaître en amont l’articulation des fonctionnalités permet de mieux les tester, afin de ne pas oublier d’éléments qui sont utilisés par le produit.
Cela est également adapté pour les produits qui évoluent fonctionnellement ou pour lesquels de nouvelles fonctionnalités sont ajoutées régulièrement.

Enfin, la présentation permet aux pentesters d’établir un plan d’attaque dès le début de l’audit de sécurité pour optimiser le temps imparti par l’audit. Ils ciblent ainsi directement les éléments importants à tester, car ils connaissent le fonctionnement de votre produit.

Pour conclure, faire ou ne pas faire une démo de son produit aux pentesters avant de commencer l’audit correspond à des objectifs différents. Prenez le temps de réfléchir à votre besoin et n’hésitez pas à échanger avec votre prestataire de pentest pour faire le choix qui répond le mieux à votre situation.

Pour recevoir d’autres articles : cliquez ici