Les problèmes surviennent lorsque les équipes sont trop cloisonnées. Dans le passé, les organisations rencontraient des problèmes lorsque les équipes de développement remettaient un code fini présentant des problèmes de sécurité aux services informatiques pour qu’il le déploie et le gère. Elles ont réalisé qu’il était plus rapide et plus efficace de faire travailler les équipes ensemble tout au long du cycle de vie du produit dans un modèle DevOps, en identifiant les problèmes et en les résolvant au fur et à mesure, dans le cadre d’une méthode de travail agile.  

La même logique peut être appliquée aux tests d’intrusion. Les tests de sécurité des applications web ne devraient pas être un processus statique ou cloisonné – et ils doivent nécessairement être pensés très en amont. Pourtant, les méthodes traditionnelles de pentesting ne se prêtent pas parfaitement à une méthode de travail agile. Le pen testing as a service (PTaaS) permet aux entreprises de surmonter ces difficultés et de soumettre leurs applications web cruciales à des tests d’intrusion de haut niveau en continu.  

Les défis du pentesting dans les environnements agiles   

Le testing agile consiste à intégrer le test d’intrusion dans le cycle de développement, au lieu de le considérer comme une phase distincte. Cependant, les tests continus et itératifs ne sont pas compatibles avec les modèles de tests traditionnels. Vous pouvez obtenir des aperçus des problèmes et des vulnérabilités à un moment donné, mais ces résultats risquent d’être rapidement obsolètes. Il est également difficile de savoir si les problèmes ont été résolus sans procéder à une nouvelle série de tests. 

La rapidité, la flexibilité et la collaboration entre les équipes sont des principes clés du travail agile, qui peuvent être en opposition avec les tests traditionnels. Les tests de sécurité peuvent nécessiter des ressources importantes, prendre du temps et impliquer d’attendre que des personnes possédant des compétences spécifiques fournissent un retour d’information à des moments précis. Cela peut entraver les efforts visant à détecter rapidement les défauts dans le code, puis à la surveillance permanente des incidents de sécurité dans l’environnement de production ainsi qu’à leur remédiation. 

Une façon de contourner le problème des tests statiques consiste à mettre en place une analyse automatisée des vulnérabilités afin de détecter les problèmes en continu. Ces outils permettent d’économiser des efforts manuels, mais ils manquent de fait des nuances et de l’expertise nécessaires aux testeurs humains pour tout à la fois détecter de nouveaux vecteurs d’attaque et réduire le nombre de faux positifs. Le PTaaS peut vous offrir le meilleur des deux mondes – en équilibrant la vitesse de l’analyse automatisée avec l’expertise et le jugement humains lorsque cela est nécessaire. 

Quatre avantages d’un modèle PTaaS pour les équipes agiles 

Le PTaaS consiste à fournir des tests manuels à la demande et une surveillance continue du niveau de sécurité afin assurer justement la sécurité de vos applications, quelle que soit la fréquence de modification de votre code de production. Il est idéal pour les équipes agiles pour quatre raisons principales : 

1. Rapports en temps réel 

L’un des problèmes des tests traditionnels est qu’au moment où les testeurs ont été intégré dans le processus, que le travail a été effectué et  qu’un rapport a été édité, le code peut déjà être presque obsolète. Cela peut alors créer une incertitude quant aux changements de code découlant des anciennes conclusions. Comme vous pouvez le voir dans l’exemple ci-dessous, issu de SWAT, la solution PTaaS de  Outpost24, le PTaaS offre une expérience plus rapide, en détectant les vulnérabilités dans une interface mise à jour en temps réel. Les développeurs peuvent voir les vulnérabilités dès le tout premier jour et sont en mesure de hiérarchiser les problèmes, en gardant une trace des problèmes résolus et des nouveaux problèmes qui surviennent.  

2. Retour d’information rapide sur les mesures correctives

À la fin d’un cycle de tests traditionnels, les entreprises reçoivent un rapport PDF statique énumérant les vulnérabilités à corriger. Les développeurs peuvent être en mesure de résoudre ces problèmes, mais il peut s’écouler un certain temps avant que le prochain test d’intrusion ne soit effectué pour vérifier les résultats. Cela prend d’autant plus de temps qu’il faut trouver de nouveaux prestataires et les former. Même avec un prestataire existant, de nouveaux tests doivent être organisés et programmés. 

Grâce aux rapports et aux commentaires en temps réel du PTaaS, les bogues peuvent être détectés et corrigés tout au long du cycle de développement avec des retours instantanés indiquant si la correction a réussi. À l’instar des meilleures pratiques agiles, il est préférable d’identifier et de résoudre les vulnérabilités à un stade précoce du développement, avant que le code ne soit déployé.  

3. Moins de rotation des prestataires

L’un des aspects les plus chronophages des tests d’intrusion traditionnels est l’intégration des nouveaux prestataires. Certaines organisations pensent que la rotation des prestataires vaut le coût et les tracas, car les testeurs ont des spécialisations et des domaines d’expertise différents. Par conséquent, une société de test peut déceler une vulnérabilité que la précédente avait manquée. Le PTaaS peut compenser cela en proposant un plus grand nombre de testeurs, garantissant ainsi une nouvelle perspective. Il y a toujours des experts prêts à se pencher sur les problèmes en cas de besoin. 

4. Collaboration et communication

L’automatisation des processus permet de gagner du temps et de réduire les coûts, mais les tests manuels effectués par des experts humains ont une valeur inestimable lorsqu’il s’agit de réaliser des analyses créatives et approfondies. Un contexte critique est nécessaire pour évaluer avec précision les vulnérabilités potentielles de type « zero-day » et réduire le nombre de faux positifs signalés. Les clients ont tendance à attendre qu’un rapport leur soit soumis avant de poser des questions ou de faire part de leurs préoccupations concernant les découvertes par les testeurs traditionnels. 

Avec le PTaaS, les clients ont une visibilité sur l’ensemble du processus et peuvent interagir avec les résultats et l’équipe de test en temps réel. Les testeurs sont disponibles pour répondre aux questions sur les vulnérabilités éventuelles et les meilleures façons de les corriger. Cette communication ouverte permet des échanges, dans lesquels les développeurs peuvent travailler plus étroitement avec les testeurs pour résoudre les problèmes sur le champ d’une manière qui correspond à leur style de travail agile.   

Combiner PTaaS et développement agile  

SWAT, la solution PTaaS d’Outpost24, combine une analyse continue des vulnérabilités avec la profondeur et la précision du pentesting manuel. Tous les résultats sont évalués par des pairs et peuvent être consultés en temps réel sur notre portail. Les équipes agiles disposent ainsi de la flexibilité, de la rapidité et de la réactivité dont elles ont besoin pour effectuer des pentests de haut niveau, sans de longs délais pour l’intégration ou la réalisation de rapports statiques. Échangez avec l’un de nos experts en tests d’intrusion pour savoir comment SWAT pourrait s’adapter au mieux à votre organisation.