Les tests d’intrusion, également appelés « pentests », pour l’anglais penetration tests, identifient parfois un point de vulnérabilité ou une problématique de sécurité, qui en réalité, n’existe pas : c’est ce qu’on appelle un faux positif. En d’autres termes, c’est une fausse alerte. Différentes raisons peuvent expliquer ce phénomène : un problème de configuration des outils de test, des suppositions erronées, ou encore des facteurs environnementaux. Les faux positifs peuvent donner lieu à la prise de mesures inutiles et à une perte de temps et de ressources précieux, c’est pourquoi il est important de vérifier la véracité des résultats des tests. 

Les faux négatifs et les faux positifs dans la cybersécurité 

Les « faux négatifs » présentent un risque évident de sécurité dans le contexte des pentests : si un véritable point de vulnérabilité est classé comme bénin, les risques associés sont évidents. Les faux positifs, eux, posent un autre problème. Lorsqu’il s’agit de notre santé, on accueille souvent les fausses alertes avec soulagement – mais en matière de cybersécurité, ce n’est pas si simple. Lorsqu’on perçoit à tort un élément comme présentant un risque ou une menace malveillants dans nos réseaux ou nos systèmes, cela devient synonyme de perte de temps et de ressources qui auraient pu servir à gérer des risques bien réels. 

Quels risques présentent les faux positifs ? 

Dans cet article, nous nous intéressons aux problématiques significatives que posent les faux positifs dans la chasse aux menaces. Les faux positifs peuvent générer une certaine désensibilisation aux alertes en épuisant les équipes de sécurité et en les poussant à ignorer certaines alertes, parmi lesquelles se cachent des alertes bien réelles, qui peuvent ainsi être négligées. De plus, les faux positifs prennent du temps et des ressources qui pourraient servir à faire face à de réelles problématiques de sécurité. Ils abîment également la confiance accordée aux outils et aux processus de sécurité, ce qui compromet la qualité des décisions prises et nuit à la confiance dans les capacités de l’organisation en matière de cybersécurité. 

Frustration des équipes informatiques 

L’obtention de faux positifs aux pentests peut poser problème et venir frustrer les équipes informatiques à différents égards :  

1. Désensibilisation aux alertes : Les équipes de sécurité deviennent moins sensibles aux différents faux positifs sur lesquels ils sont alertés. Le plus gros écueil de la désensibilisation aux alertes est que l’équipe de sécurité puisse accidentellement rater ou ignorer un risque grave en baissant sa garde face aux alertes constantes qui s’avèrent souvent être des faux positifs.   

2. Perte de temps et de ressources : Les équipes informatiques doivent consacrer du temps et des efforts pour enquêter et vérifier chaque problème signalé, même s’il s’avère être un faux positif. Les faux positifs peuvent biaiser la priorisation des tâches de sécurité. Les équipes peuvent se concentrer sur la résolution de problèmes inexistants au détriment de vulnérabilités plus importantes. 

3. Perte de confiance dans les outils : Si les faux positifs sont fréquents, les équipes informatiques peuvent commencer à perdre confiance dans la précision et la fiabilité des outils et des méthodes de test d’intrusion qu’elles utilisent. Cela peut se traduire en une réticence à utiliser ces outils, et donc conduire l’équipe à manquer des risques réels. Vérifier et gérer les faux positifs peut être accablant, en particulier pour les équipes qui sont déjà  débordées. Cela peut conduire à l’épuisement et à une baisse du moral général. 

Pourquoi vos outils de pentests génèrent-ils des faux positifs ? 

Les faux positifs peuvent être dus à de nombreux facteurs. Il peut s’agir de paramètres de sécurité mal configurés ou excessifs, de limites des algorithmes de détection, ou encore de signatures de menaces obsolètes. Voici quelques exemples de défauts des outils pouvant donner lieu à davantage de faux positifs :  

1. Algorithmes de détection peu précis : Certains outils peuvent utiliser des algorithmes de détection qui manquent de précision et qui entraînent des identifications trop larges ou erronées des vulnérabilités. Par exemple, un outil peut classer une configuration comme non sûre alors qu’il s’agit d’une pratique connue et acceptée. 

2. Signatures obsolètes : Les outils de détection d’intrusion reposent souvent sur une base de données recensant les vulnérabilités et les schémas d’attaque connus. Si ces bases de données ne sont pas régulièrement mises à jour, les outils peuvent relever des problèmes qui ont déjà été réparés ou qui ne sont plus pertinents. 

3. Sensibilité excessive : Certains outils sont paramétrés de manière à être excessivement sensibles pour détecter le plus de problématiques potentielles possibles. Si cette pratique peut aider à détecter les vulnérabilités réelles, elle augmente également la probabilité de détection de faux positifs. Si un outil n’est pas configuré de manière à exclure certaines configurations correctes connues, il peut considérer qu’il s’agit de problèmes. 

4. Manque de contexte : De nombreux outils automatisés manquent de contexte pour comprendre l’environnement et les configurations des systèmes qu’ils testent. Sans ce contexte, ils peuvent signaler à tort des configurations bénignes. 

5. Suppositions erronées : Les outils peuvent faire des suppositions concernant l’environnement ou la manière dont certains services sont configurés. Si ces suppositions sont erronées, cela peut donner lieu à des faux positifs. Si l’équipe informatique donne aux outils de test des informations erronées ou incomplètes, cela peut également se traduire en des faux positifs.  

Risques spécifiques liés aux faux positifs au niveau des applications web 

Les faux positifs générés par les pentests réalisés sur les applications web peuvent être particulièrement problématiques étant donné la nature complexe et dynamique des applications web. 

1. Contenus dynamiques : Les applications web génèrent souvent des contenus dynamiques qui peuvent changer en fonction des entrées des utilisateurs ou d’autres facteurs. Les outils de test peuvent interpréter à tort ces contenus dynamiques comme constituant un problème de sécurité et générer des faux positifs. 

2. Gestion de sessions : Les applications web reposent largement sur les techniques de gestion de sessions comme les cookies et les jetons. Les outils de test peuvent signaler des pratiques légitimes de gestion de sessions comme étant des vulnérabilités potentielles s’ils ne comprennent pas bien les mécanismes de gestion de session d’une application. 

3. Validation de données : Les applications web sont généralement dotées de règles complexes pour régir la validation de données. Les outils de test peuvent considérer à tort que des données valides sont malveillantes ou suspectes, en particulier si les règles de validation ne sont pas bien documentées ou comprises par l’outil.  

4. Cadres et répertoires personnalisés : De nombreuses applications web utilisent des cadres ou des répertoires personnalisés. Les outils de test qui ne connaissent pas ces éléments personnalisés peuvent générer des faux positifs en ayant une interprétation erronée de leur comportement. 

5. Rate limiting et limitation de bande passante : Les applications web ont souvent des dispositifs de limitation des requêtes et de bande passante destinés à prévenir les abus. Les outils de test peuvent déclencher ces mécanismes, donnant lieu à des faux positifs si l’outil interprète le rate limiting comme un problème de sécurité. 

6. Captchas et mécanismes anti-bot : Les applications web utilisent souvent des captchas et d’autres mécanismes anti-bot pour se prémunir contre les attaques automatisées. Les outils de test peuvent déclencher ces mécanismes, donnant lieu à des faux positifs si l’outil interprète le mécanisme anti-bot comme un problème de sécurité. 

7. Content Security Policies (CSP) : Les applications web utilisent souvent des Content Security Policies pour optimiser la sécurité. Les outils de test peuvent interpréter à tort ces réglages CSP comme étant restrictifs ou problématiques et générer des faux positifs. 

8. Intégration de services tiers : Les applications web intègrent souvent des services de tiers. Les outils de test peuvent ne pas comprendre parfaitement ces intégrations et signaler des interactions légitimes comme des vulnérabilités potentielles. 

9. Fausses alertes heuristiques : Dans le contexte des pentests au sein d’applications web, les analyses heuristiques peuvent être particulièrement propices aux faux positifs. Par exemple, un outil peut considérer un script bénin comme une potentielle attaque XSS (Cross-Site Scripting) s’il ne comprend pas parfaitement le contexte dans lequel le script est utilisé. 

10. Configuration et personnalisation : Les applications web sont souvent extrêmement configurables et personnalisables. Les outils de test qui ne tiennent pas compte de ces éléments personnalisés peuvent générer des faux positifs en interprétant par erreur les configurations légitimes comme des problèmes de sécurité. 

Comment réduire les faux positifs obtenus aux pentests 

Réduire les faux positifs générés par les tests d’intrusion est essentiel pour préserver l’efficacité et la rentabilité de vos mesures de sécurité. Voici quelques exemples de stratégies que vos équipes informatiques peuvent adopter pour limiter les faux positifs : 

1. Calibrer et configurer les outils : 

• Personnaliser les paramètres : Régler les paramètres des outils de test en fonction de l’environnement visé et des configurations de vos applications web. Il s’agit notamment de fixer des seuils pour déterminer ce qui sera considéré comme une vulnérabilité. 

• Exclure les configurations connues : Configurer les outils de manière à exclure les bonnes configurations et les comportements bénins propres à votre application. 

2. Opter pour des tests conscients de l’environnement : 

• Comprendre la logique des applications : Veiller à ce que les outils de test comprennent parfaitement la logique et le comportement des applications. Pour cela, on peut fournir de la documentation et du contexte détaillés à l’équipe en charge du test. 

• Analyse comportementale : Utiliser des outils capables de réaliser des analyses comportementales afin de mieux comprendre le fonctionnement normal de l’application et de le distinguer des potentielles vulnérabilités. 

3. Mises à jour et maintenance régulières : 

• Mettre à jour les signatures et les bases de données : Tenir les bases de données de vulnérabilité et les signatures de détection de vos outils de test à jour pour veiller à ce que leurs informations restent récentes et exactes. 

• Gestion des correctifs : S’assurer que ses applications web sont régulièrement corrigées et mises à jour pour réduire les risques d’obtention de faux positifs liés à des composants obsolètes. 

4. Vérification manuelle : 

• Vérifier les résultats : Vérifier manuellement les résultats des tests automatiques pour contrôler la validité des problèmes identifiés. Cela peut vous aider à filtrer les faux positifs dans le cadre de pentests. 

• Confier les tests d’intrusion à des experts humains : Solliciter des spécialistes expérimentés en tests d’intrusion capables de tester manuellement l’application et de fournir des résultats plus précis et adaptés au contexte. 

L’avantage humain de la solution PTaaS 

La solution de pentests (PTaaS) d’Outpost24 allie les avantages des tests de détection de vulnérabilités automatiques à la profondeur et la précision des tests d’intrusion manuels, conjuguant ainsi les avantages de la technologie à ceux de l’expertise humaine. Avec sa fonctionnalité de notation des risques en fonction du contexte, la solution PTaaS d’Outpost24 permet aux équipes de sécurité de prioriser les mesures de réparation en fonction des vulnérabilités qui présentent les risques les plus importants pour l’organisation. 

Sa fonction de détection automatique est rapide et efficace grâce au scanner de sécurité de l’application, qui permet à votre entreprise d’assurer un suivi en continu. Cet avantage permet de solutionner l’un des inconvénients des pentests conventionnels, qui réside dans le temps nécessaire pour leur mise en place, exposant ainsi les vulnérabilités plus longtemps, alors même qu’aujourd’hui, les acteurs menaçants peuvent exploiter les vulnérabilités plus rapidement que jamais.   

Autre avantage, peut-être plus important encore : la solution conjugue les bénéfices de l’automatisation aux connaissances, à l’expertise et à la compétence humaines. Cela réduit drastiquement le risque d’obtenir des faux positifs dans le cadre de tests d’intrusion. Nos spécialistes expérimentés pilotent le procédé pour dresser un tableau aussi précis que possible des vulnérabilités. Cela inclut les erreurs de logique opérationnelle et les portes dérobées que les scanners automatiques auraient pu manquer.  

Améliorez dès aujourd’hui vos procédés en matière de pentests 

Chaque organisation est différente, et les risques d’obtenir des faux positifs peuvent varier. En alliant l’intelligence et l’expérience humaines dans vos pentests, vous pouvez profiter au mieux des outils automatiques en exploitant leur rapidité tout en sollicitant l’intuition humaine. Cette approche équilibrée est la clé pour identifier les véritables points faibles de vos réseaux et pour bâtir vos dispositifs de défense. Contactez un expert d’Outpost24 pour comprendre comment la solution PTaaS pourrait être intégrée à votre organisation.