Réaliser un pentest (test d’intrusion) a un coût. Quand on interroge des sociétés sur le budget qu’elles y ont consacré, on entend souvent « entre 10k€ et 20k€ », parfois un peu plus ou un peu moins. Cependant, il n’y a pas vraiment de prix standard pour ce type de prestation : tout dépend de la complexité fonctionnelle de la cible, du périmètre et du niveau de profondeur souhaité pour les tests.
Si l’objectif principal est de pouvoir montrer qu’un pentest a été réalisé il y a moins de 6 mois, il est possible de faire des concessions pour respecter un budget extrêmement limité.
L’objectif de cet article n’est pas d’encourager les entreprises à choisir des prestations « dégradées » pour des raisons de budget, mais de fournir des solutions concrètes à ceux qui ont une vraie problématique de budget et qui ont cependant un besoin urgent de réaliser un pentest. C’est notamment le cas pour des jeunes startups qui se retrouvent dans un processus de vente de leur solution à des grands comptes et qui sont parfois bloquées en raison de leur incapacité à fournir un rapport de pentest. L’idéal serait d’avoir suffisamment de budget pour faire un test d’intrusion approfondi, mais ce n’est malheureusement pas toujours possible.
L’intérêt de faire un « mini » pentest
Un pentest, reste le meilleur moyen d’évaluer le niveau de sécurité d’un système ou d’une plateforme. Au-delà de analyse des choix techniques effectués et des protections mises en place, on teste concrètement la possibilité de trouver et d’exploiter des failles de sécurité. L’approche est qualitative, et va plus loin que des scans automatisés.
Il est possible de réaliser un pentest en réduisant le périmètre et/ou le niveau de profondeur de l’audit. Cela permet de limiter le temps à passer sur les tests d’intrusion, et donc le coût de la prestation. Dans un cas « extrême », on peut limiter le pentest à 1 jour homme uniquement, ce qui revient à conduire un « mini » pentest.
Dans les faits, tout pentest a ses limites. On pourrait presque toujours passer plus de temps, afin de couvrir un périmètre plus large ou de pousser plus loin l’analyse. De la même manière, un hacker surmotivé pourra toujours investir plus de temps pour essayer de pirater une cible si le jeu en vaut la chandelle. Pour l’entreprise qui souhaite réaliser un pentest, l’important est donc de délimiter le pentest en fonction de ses enjeux de sécurité, du niveau de risques, des priorités en termes de protection et de communication sur un niveau de sécurité.
Un « mini » pentest présente les avantages suivants :
- Faire une première évaluation du niveau de sécurité d’une cible précise : application web ou mobile, solution IoT, infrastructure, réseau, etc.
- Rechercher des vulnérabilités « majeures ». Pour un pentest d’application web par exemple, il s’agira notamment de balayer les vulnérabilités du top 10 OWASP.
- Être en mesure de corriger les failles identifiées, ce qui dans certains cas signifie augmenter considérablement le niveau de sécurité de la cible en question
- Obtenir un premier rapport de pentest
Selon les résultats du pentest, on aboutira à l’une des situations suivantes (ou à un intermédiaire entre les 2 situations) :
- Soit le mini-audit permet de mettre en évidence des failles impactantes, ce qui signifie progresser considérablement en sécurité suite à un audit à moindre coût ;
- Soit le mini-audit ne permet pas de mettre en évidence des failles impactantes, ce qui signifie obtenir un rapport de pentest valorisant pour l’entreprise commanditaire.
La démarche de « mini » pentest est intéressante pour une cible en production (pour laquelle on souhaite obtenir un tout premier feedback de sécurité) ou pour une cible en cours de construction (par exemple une application en cours de développement, pour laquelle on souhaite avoir un feedback en cours de route afin de partir sur de bonnes bases).
Les limites d’un « mini » pentest
Bien sûr, un « mini » pentest n’est pas adapté à toute entreprise. Dans de nombreux cas, il s’agirait d’une prestation inutile, car beaucoup trop superficielle.
Dans certains cas, un pentest de 5 jours homme pourrait également être considéré comme un « mini » pentest, étant donné les enjeux de sécurité de l’entreprise, et donc le besoin d’une analyse plus complète. Il faut toujours mettre en perspective les objectifs à atteindre avec les moyens à allouer pour les atteindre.
Par ailleurs, pour les entreprises qui choisissent de réaliser un « mini » pentest, il s’agit la plupart du temps d’une étape vers la mise en place de tests d’intrusion réguliers, voire d’autres actions de sécurisation. Il s’agit de mettre un premier « pied à l’étrier », sachant que les résultats de ce premier pentest peuvent entraîner une prise de conscience au niveau d’une équipe technique ou au niveau de la direction.
Y compris à très court terme, le « mini » audit est généralement suivi de questions :
- Si le « mini » audit a mis en évidence des failles impactantes, l’entreprise peut être tentée de faire un contre-audit suite à la correction des vulnérabilités, voire de refaire un audit en espérant obtenir un rapport d’audit plus valorisant ;
- Si le « mini » audit n’a pas mis en évidence de failles impactantes, l’entreprise peut se poser la question de la pertinence du périmètre et de la durée des tests, et souhaiter conduire rapidement un audit plus approfondi pour rassurer et se rassurer davantage.
Quoi qu’il en soit, il est possible de faire un « mini » pentest pour un budget inférieur à 1500 euros, et dans certains cas cela permet de débloquer une situation avec un premier test d’intrusion. Pour certaines entreprises, ce sera approprié, et pour d’autres non.
Si vous hésitez sur la démarche à suivre dans votre cas, vous pouvez contacter l’équipe de Vaadata pour une évaluation rapide de votre besoin.