Faire un pentest pour moins de 1 500€

Réaliser un audit de sécurité a un coût. Quand on interroge des sociétés sur le budget qu’elles y ont consacré, on entend souvent « entre 10k€ et 20k€ », parfois un peu plus, parfois un peu moins. Cependant, il n’y a pas vraiment de prix standard pour ce type de prestation : tout dépend de ce qui est fait, comment, et par qui. Si l’objectif principal est de pouvoir montrer qu’un pentest a été réalisé il y a moins de 6 mois, il est possible de faire des concessions pour respecter un budget extrêmement limité.

L’objectif de cet article n’est pas d’encourager les entreprises à choisir des prestations « dégradées » pour des raisons de budget, mais de fournir des solutions concrètes à ceux qui ont une vraie problématique de budget et qui ont cependant un besoin urgent de faire conduire un pentest. C’est notamment le cas pour des jeunes startups qui se retrouvent dans un processus de vente de leur solution à un grand-compte et qui sont parfois bloquées en raison de leur incapacité à fournir un rapport de pentest. La meilleure solution serait d’avoir suffisamment de budget pour faire un audit de sécurité approfondi, mais ce n’est malheureusement pas toujours possible.

L’intérêt de faire un « mini » pentest

Un test d’intrusion, ou pentest, reste le meilleur moyen d’évaluer le niveau de sécurité d’un système ou d’une plateforme. Au-delà d’une analyse des choix techniques ayant été effectués, et des protections mises en place, on teste concrètement la possibilité de trouver et d’exploiter des failles de sécurité. L’approche est qualitative, et va plus loin que des scans automatisés.

Il est possible de conduire ce type de prestation en limitant le périmètre à auditer, ou le niveau de profondeur de l’audit, ou les deux. Définir des limites de périmètre ou de niveau de profondeur permet de limiter le temps à passer sur les tests d’intrusion, et donc le coût de la prestation. Dans un cas « extrême », on peut limiter le pentest à 1 jour homme uniquement, ce qui revient à conduire un « mini » pentest.

Dans les faits, tout pentest a ses limites. On pourrait presque toujours passer plus de temps, afin de couvrir un périmètre plus large ou de pousser plus loin l’analyse. De la même manière, un hacker surmotivé pourra toujours investir plus de temps pour essayer de pirater une cible… si le jeu en vaut la chandelle. Pour l’entreprise qui souhaite réaliser un pentest, l’important est donc de délimiter le pentest en fonction de ses enjeux de sécurité, du niveau de risques, des priorités en termes de protection et en termes de communication sur un niveau de sécurité.

Un « mini » pentest présente les avantages suivants :

  • Faire une première évaluation du niveau de sécurité d’une cible précise
  • Rechercher des vulnérabilités « majeures » (les plus faciles à identifier et les plus impactantes)
  • Être en mesure de corriger les failles identifiées, ce qui dans certains cas signifie augmenter considérablement le niveau de sécurité de la cible en question (parfois un mini-audit permet d’identifier de nombreuses failles, y compris des failles critiques)
  • Obtenir un premier rapport de pentest pour un (tout) petit budget

Selon les résultats du pentest, on aboutira à l’une des situations suivantes (ou à un intermédiaire entre les 2 situations) :

  • Soit le mini-audit permet de mettre en évidence des failles impactantes, ce qui signifie progresser considérablement en sécurité suite à un audit à moindre coût ;
  • Soit le mini-audit ne permet pas de mettre en évidence des failles impactantes, ce qui signifie obtenir un rapport de pentest valorisant pour l’entreprise commanditaire.

La démarche de « mini » pentest est intéressante pour une cible en production (pour laquelle on souhaite obtenir un tout premier feedback de sécurité) ou pour une cible en cours de construction (par exemple une application en cours de développement, pour laquelle on souhaite avoir un feedback en cours de route afin de partir sur de bonnes bases).

Les limites d’un « mini » pentest

Bien sûr, un « mini » pentest n’est pas adapté à toute entreprise. Dans de nombreux cas, il s’agirait d’une prestation inutile, car beaucoup trop superficielle. 

Dans certains cas, un pentest de 5 jours homme pourrait également être considéré comme un « mini » pentest, étant donné les enjeux de sécurité de l’entreprise, et donc le besoin d’une analyse plus complète. Il faut toujours mettre en perspective les objectifs à atteindre avec les moyens à fixer pour les atteindre.

Par ailleurs, pour les entreprises qui choisissent de réaliser un « mini » pentest, il s’agit la plupart du temps d’une étape vers la mise en place de tests d’intrusion réguliers, voire d’autres actions de sécurisation. Il s’agit de mettre un premier « pied à l’étrier », sachant que les résultats de ce premier pentest peuvent entraîner des prises de conscience à différents niveaux (que ce soit par exemple au niveau d’une équipe technique ou au niveau de la direction).

Y compris à très court terme, le « mini » audit est généralement suivi de questions :

  • Si le « mini » audit a mis en évidence des failles impactantes, l’entreprise peut être tentée de faire un contre-audit suite à la correction des vulnérabilités, voire de refaire un audit en espérant obtenir un rapport d’audit plus valorisant ;
  • Si le « mini » audit n’a pas mis en évidence de failles impactantes, l’entreprise peut se poser la question de la pertinence du périmètre et de la durée des tests, et souhaiter conduire rapidement un audit plus approfondi pour rassurer et se rassurer davantage.

Quoi qu’il en soit, il est possible de faire un « mini » pentest pour un budget inférieur à 1500 euros, et dans certains cas cela permet de débloquer une situation avec un premier test d’intrusion. Pour certaines entreprises, ce sera approprié, et pour d’autres non.
Si vous hésitez sur la démarche à suivre dans votre cas, vous pouvez contacter l’équipe de Vaadata pour une évaluation rapide de votre besoin.