Si vous n’aimez pas le foot, ce billet n’est pas fait pour vous… du moins les quelques premiers paragraphes ⚽😇
Uns des principaux gages de performance sur un marché économique, quel qu’il soit, est de faire rencontrer l’offre et la demande. Et c’est d’autant plus vrai en cybersécurité.
Une particularité sur ce marché réside dans le fait que le « défenseur », à savoir le donneur d’ordre ou le client, doit protéger toute la largeur de sa cage de but alors que l’ « attaquant », pentester ou prestataire, se contente de trouver une ouverture dans cette lucarne pour marquer.
🧐 Comment alors exprimer son besoin en « pentesting » ?
Voudrait-on juste savoir si l’attaquant peut marquer un ou plusieurs buts et au bout de combien de minutes après le coup de sifflet initial ?
Recherche-t-on l’exhaustivité ?
Voudrait-on se confronter à des attaquants capés, détenteurs du ballon d’or, ou voudrait-on aussi savoir s’il est possible de se protéger face à un défenseur qui se voit pousser des ailes offensives pendant un corner ?
Souhaite-on par ailleurs corser le jeu en défendant face à un attaquant qui a déjà joué auparavant dans notre équipe et qui connaît sur le bout des doigts (de pied 🦶) nos tactiques et nos failles ?
Il est donc important de procéder avec méthode et de répondre aux questions suivantes :
✅ Quel périmètre dois-je évaluer en termes de niveau de protection cyber ?
✅ De quel type de menace je cherche à me prémunir ?
✅ Est-ce que cette menace connaît tout ou partie des entrailles de mes systèmes d’information et de mes activités ?
✅ Quelle couleur donner à l’approche intrusive : noire, grise ou blanche ? (conséquence des questions précédentes !)
✅ Quelle durée suis-je prêt à consentir aux tests ?
✅ Devrais-je prévenir mes « cyberdéfenseurs » en interne, les administrateurs de mon SI ou encore mon infogérant ou hébergeur du lancement de tests, ou vais-je profiter de cette opportunité pour éprouver les mécanismes de détection et de réponse à incidents en place ?
✅ Quels sont les lecteurs potentiels du rapport final de tests ?
✅ Est-ce que le rapport de pentesting devrait être « business readable », à savoir compréhensible par des interlocuteurs non techniques ?
✅ Le(s) pentester(s) sélectionnés devraient-ils également être des « chasseurs » reconnus et très bien notés sur les plateformes de bug bounty ?
✅ Suis-je dans un secteur d’activité exigeant de me limiter à des prestataires qualifiés PASSI (Prestataire d’audit de la sécurité des systèmes d’information) par l’ANSSI ?
✅ Devrais-je disposer de toutes les traces générées par les tests, côté pentesters, afin de les rejouer éventuellement ou de les réutiliser comme use cases pour mon SIEM ?
Les réponses à ce questionnaire constitueront ainsi une bonne ossature 🦴 pour un cahier des charges de pentesting, permettant au client de comparer et de qualifier efficacement les offres reçues.
Et vous, comment faites-vous pour exprimer votre besoin en pentesting ? 🤓
Dites le nous en commentaire ou encore en interagissant avec nous sur les réseaux sociaux !
Envie d’en savoir plus ?
Contactez-nous !