Les tests de pénétration, également appelés piratage de pentes ou piratage éthique, sont un service par lequel un professionnel de la sécurité est embauché pour « pirater » votre réseau. Dans cet article, nous discuterons de ce qu’est la pente, du moment où vous devriez envisager la pente et de la façon d’utiliser la pente dans le cadre de votre programme de sécurité.
Qu’est-ce que les tests de pénétration?
Pentesting implique l’embauche d’un professionnel de la sécurité pour pirater votre réseau. Il est important de comprendre que la pente est autant un art qu’une science. Par conséquent, il y a des différences dans l’approche et la qualité des testeurs de pénétration. Certains testeurs de pénétration comptent sur l’ingénierie sociale pour tromper les employés, tandis que d’autres se concentrent sur les tests d’applications Web pour identifier les faiblesses dans vos applications Web. Il est essentiel de définir ou de définir la portée de votre pente pour obtenir les résultats dont vous avez besoin.
Le test de dépistage n’est PAS une évaluation de la vulnérabilité - Il n’est pas de la responsabilité du penteteur de trouver toutes les faiblesses possibles dans vos systèmes. Le travail du penteteur est plutôt d’entrer dans votre réseau par tous les moyens possibles (dans la portée) et de vous montrer comment il le fait. Il est important de se rappeler qu’un pentet réussit lorsqu’il trouve une voie, pas toutes les voies.
Types de tests de pénétration :
-
Portée complète (test en équipe rouge)
-
Test de pénétration du réseau
-
Ingénierie sociale (p. ex., hameçonnage, messagerie texte, attaques par téléphone)
-
Web Application Pentest (spécifique pour une application Web)
-
Physique Pentest (perçage des installations)
Il existe également des variations sur chacun de ces types. Par exemple, il est courant de faire un champ complet sans pentette physique.
Quand devrais-je envisager une pentette?
Pentesting est un service professionnel hautement qualifié qui vient avec une étiquette de prix. S’assurer de tirer le meilleur parti d’une pente est essentiel et est souvent négligé.
Pentesting est utilisé pour tester les résultats de votre programme de sécurité existant. Si vous n’avez pas de programme de sécurité existant, ne gaspillez pas votre argent sur une pentette (pour le moment). Tout d’abord, nous recommandons une évaluation des risques de sécurité, combinée à des évaluations de vulnérabilité, pour comprendre votre posture de sécurité actuelle. Ensuite, après avoir corrigé (ou autrement corrigé) les vulnérabilités trouvées, vous pouvez envisager d’embaucher une entreprise de tests d’intrusion.
L’embauche prématurée d’un pentester peut aider à prouver à la direction que la sécurité est nécessaire, mais elle fournira très peu d’améliorations durables en matière de cybersécurité.
Comment puis-je utiliser la pente pour la sécurité à long terme?
Pentesting fait partie de la solution de sécurité globale et non de la solution de sécurité complète. Nous recommandons de planifier un pentet une fois par an, après une évaluation annuelle des risques de sécurité. Lors de l’examen des résultats d’un pentet, il est tentant de simplement corriger le défaut qui a permis au pentet de « pénétrer », mais il est également sage d’examiner les causes profondes de toute violation. Les questions courantes à poser comprennent : Était-ce un manque de sécurité des courriels? Sécurité du réseau Cela devrait-il faire partie de votre évaluation des risques? Avez-vous besoin d’investir davantage?
En résumé, un test de pénétration peut être utilisé pour améliorer votre programme de sécurité lorsqu’il est utilisé correctement. Résistez à la tentation d’embaucher une entreprise la plus en pente avant d’effectuer d’abord la cybersécurité de base. Ensuite, après le test, assurez-vous d’utiliser les résultats et les conclusions pour améliorer votre compréhension de votre posture globale de cybersécurité.
Pour en savoir plus sur ce sujet, veuillez communiquer avec nous; nous sommes là pour vous aider!