Le « test d’intrusion » n’est-il pas la même chose que « l’analyse des vulnérabilités » de toute façon ?
Les tests d’intrusion et l’analyse des vulnérabilités sont des applications différentes.L’analyse des vulnérabilités comprend des vérifications rapides avec des véhicules automatisés. Aucun travail n’est effectué sur l’exploitation ou les différents effets ponctuels des ouvertures détectées après le filtrage des vulnérabilités.
En plus du filtrage des vulnérabilités, le test d’intrusion comprend la vérification des résultats de l’analyse, l’exploitation des vulnérabilités trouvées et la détection de différentes vulnérabilités avec de nouvelles analyses sur les systèmes, ainsi que l’examen des vulnérabilités découlant de la logique métier.
Quels actifs une organisation aurait-elle dû tester selon la norme ISO/IEC 27001 ?
L’institution est tenue d’avoir un test d’intrusion pour tous ses actifs écrit dans l'« Inventaire des actifs ». Institutionnel; les systèmes serveur, les composants réseau, les applications Web, les applications mobiles sont des exemples de ces actifs.
Le critère à prendre en considération à ce stade est de savoir si les actifs existants relèvent de la responsabilité de l’institution. Par exemple, si les applications que l’organisation a développées et transférées à un client ne sont plus sous la responsabilité de l’institution, les tests d’intrusion ne sont pas nécessaires pour elles.
Lorsque tous les actifs sont pris en compte pour les tests d’intrusion, y a-t-il un coût très élevé? Comment peut-on atténuer ce problème?
À ce stade, la méthode de « filtrage de la vulnérabilité » peut venir à la rescousse. Si l’institution effectue un filtrage de vulnérabilité au lieu de tests d’intrusion pour les actifs à faible criticité, elle aura pris une mesure de base à moindre coût.
En outre, dans les systèmes connectés avec un compte d’utilisateur, la suppression des étapes post-« connexion » de la portée du test réduira le coût du test. Bien qu’il soit utile de tester les étapes post-connexion, un calcul de coût peut être effectué de cette manière afin de tester la partie anonyme de l’application dans la première étape.
Une autre pratique qui réduira le coût des travaux de test d’intrusion est d’avoir une coopération maximale avec l’équipe de test dans le processus de test. Dans ce processus, donner un accès direct aux systèmes à tester évitera à l’équipe de test de perdre du temps pendant l’exploration et l’accès aux systèmes, ce qui réduira le coût.
Que signifient les tests d’intrusion conformément à la norme ISO/IEC 27001 ?
L’ISO/IEC 27001 ne fournit ni ne recommande aucune méthode de test d’intrusion. Dans ce contexte, l’utilisation de l’expression « test d’intrusion conforme à la norme ISO 27001 » est généralement considérée comme correcte.
Afin de comprendre le sujet, les règlements, méthodologies ou lignes directrices suivants peuvent être donnés comme exemples de différentes utilisations avec lesquelles cette expression est compatible?
- Tests d’intrusion conformes à la norme PCI DSS
- Tests d’intrusion conformes à la norme ISSAF
- Tests d’intrusion conformes à l’OWASP
[Source : Publié par BTUYUM le 9 octobre 2021]