Scanner de vulnérabilités vs pentestL’un et l’autre sont dits comme les meilleurs alliés des RSSI (et en général des personnes en charge de la sécurité). Ils sont toutefois deux outils différents dans une stratégie de sécurité. Quelles sont les différentes caractéristiques de chacun ?

Commençons par le scanner de vulnérabilités.

Il s’agit d’un logiciel qui mène des tests sur votre plateforme – votre système d’information – … pour détecter des vulnérabilités. Un scanner identifie les vulnérabilités grâce à sa base de données qui contient les vulnérabilités connues et les problèmes de sécurité courants.

Première caractéristique, les tests sont automatiques. Cela signifie qu’ils sont rapides et un système entier peut être facilement testé en quelques heures / jours, en fonction de sa taille.

Deuxième point, il peut être planifié à des horaires précis, par exemple en dehors des heures de travail ou lorsque cela est le plus pratique pour votre organisation.
Vous pouvez alors prévoir des scans régulièrement et avoir par conséquent un monitoring en continu (ou presque).

Une troisième caractéristique est la base de données, qui est l’élément central des scanners. La base de données est mise à jour quotidiennement avec les dernières vulnérabilités publiées. C’est un bon avantage pour remédier rapidement aux dernières menaces, comparé à un test d’intrusion conduit en général une à deux fois par an.

Enfin, un scan a un coût bas comparé à un pentest. Cependant, ce bas coût à première vue est contrebalancé par le temps passé par les équipes techniques pour lire et confirmer ce qui a été trouvé par le scan de vulnérabilité. Régulièrement, des faux positifs sont inclus dans le rapport compilé à la fin du scan.

Notons également que les scanners ne testent que les vulnérabilités qu’ils ont dans leur base de données. Ils ne détectent pas les vulnérabilités non classifiées ou les failles logiques spécifiques à votre situation.

 

Regardons maintenant un test d’intrusion

Un test d’intrusion est conduit par un pentester, un spécialiste cybersécurité, qui découvre et exploite les vulnérabilités comme un vrai attaquant le ferait.

Première caractéristique, les vulnérabilités trouvées sont exploitées : cela permet de voir l’impact potentiel d’une attaque. Certaines vulnérabilités sont combinées pour aller plus loin dans les attaques.
Les pentesters utilisent les pratiques actuelles des hackers malveillants, les mêmes méthodes et outils. Les attaques sont réalistes.

Deuxième point, les pentesters utilisent des outils automatiques du marché, mais également leurs propres outils et scripts qu’ils ont développés. Ils en font une utilisation précise et sont capables de les configurer pour leurs besoins en fonction de la situation.

Effectivement, comme il s’agit d’humains qui font les tests, ils sont en mesure d’analyser votre contexte pour voir les priorités à tester et à sécuriser. Ils ciblent les éléments qui sont les plus importants pour votre business.

Une troisième caractéristique du pentest est que cela détecte les failles logiques. Les failles logiques ne sont pas des problèmes techniques proprement dits comme cet article explique (et donne des exemples). En résumé, une faille logique est lorsqu’un processus logique ou un workflow peut être évité ou contourné.
Les humains sont capables de trouver des alternatives pour abuser des fonctionnalités, des services, comme ils comprennent le contexte d’application. Par conséquent, ils sont capables de tester le workflow ou comment la saisie de données d’utilisateurs peut être abusée, ce qu’un scanner automatique ne puisse pas.

Enfin, lorsqu’un test d’intrusion est fini, un rapport technique détaillé avec les failles et les attaques conduites est remis. Il inclut aussi des suggestions de remédiations concrètes qui peuvent être appliquées directement. Le coût initial plus élevé d’un pentest est compensé par le temps gagné des équipes techniques. Le test d’intrusion est une solution clé en main.

 

Notre conseil ?

Choisir entre l’un et l’autre dépend de votre contexte : des autres mesures de sécurité déjà faites ou en place, les risques spécifiques, l’enveloppe budgétaire … Ils répondent à des besoins différents et à des situations différentes.
Si vous devez choisir entre les deux, prenez le temps de réfléchir à chaque solution et contactez des fournisseurs de chaque service pour avoir un échange direct à propos de votre contexte spécifique.