Comment choisissez-vous les cibles pour les tests d’intrusion ?

1 Portée et objectifs

Avant de commencer un projet de test d’intrusion, vous devez définir la portée et les objectifs du test. L’étendue détermine quels systèmes, réseaux ou applications sont dans le champ d’application et lesquels sont hors du champ d’application. Les objectifs définissent ce que vous souhaitez obtenir du test, comme la recherche de vulnérabilités spécifiques, le test de conformité ou l’évaluation des risques. La portée et les objectifs doivent être alignés sur les buts opérationnels et les politiques de sécurité de l’organisation, et approuvés par toutes les parties prenantes.

2 Modèle de menace

Un modèle de menace est un moyen systématique d’identifier et d’analyser les menaces et les risques potentiels auxquels votre cible est confrontée. Il vous aide à hiérarchiser les scénarios d’attaque les plus pertinents et les plus réalistes et à planifier votre stratégie de test en conséquence. Un modèle de menace peut inclure des éléments tels que les actifs, les attaquants, les vecteurs d’attaque, les surfaces d’attaque, les vulnérabilités et les contre-mesures de votre cible. Vous pouvez utiliser des outils et des infrastructures tels que STRIDE, DREAD ou PASTA pour créer et documenter votre modèle de menace.

5 Normes d’essai

La réalisation d’un test d’intrusion de manière cohérente, complète et professionnelle nécessite le respect des normes de test. Ces normes fournissent des lignes directrices et des pratiques exemplaires pour la planification, l’exécution et la déclaration d’un test d’intrusion. Ils vous aident également à répondre aux exigences légales et éthiques et à prévenir tout dommage ou perturbation inutile de votre cible. Les normes de test populaires incluent NIST SP 800-115: Guide technique des tests et de l’évaluation de la sécurité de l’information, PTES: Penetration Testing Execution Standard, OWASP: Open Web Application Security Project Testing Guide, OSSTMM: Open Source Security Testing Methodology Manual, et ISO/IEC 27001: Système de gestion de la sécurité de l’information. Lorsque vous choisissez une norme de test pour votre cible, assurez-vous qu’elle est pertinente et applicable à vos besoins. Il est essentiel de suivre la norme tout au long du test d’intrusion.

6 Fréquence des tests

La fréquence des tests d’intrusion dépend de plusieurs facteurs, tels que le type, la taille et la complexité de votre cible, le niveau de risque et de changement auquel elle est confrontée, ainsi que les obligations réglementaires et contractuelles qu’elle a. Il n’y a pas de réponse universelle, mais une règle générale est d’effectuer un test de pénétration au moins une fois par an, ou chaque fois qu’il y a un changement ou un événement important qui affecte votre cible. Vous devez également surveiller votre cible en permanence et effectuer régulièrement des analyses de vulnérabilité et des audits pour la sécuriser.

7 Voici ce qu’il faut prendre en compte

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre?