Faire passer un audit de sécurité aux applications web ? Voici notre checklist à suivre pour un pen test réussi.

Un test d’intrusion est un assaut sanctionné contre les actifs et les données électroniques de votre organisation. Si l’attaque est repoussée, vous gagnez. Si l’attaque réussit à percer vos défenses, vous êtes techniquement gagnant, car vous avez à présent la possibilité de corriger ces vulnérabilités avant qu’un véritable attaquant ne tente sa chance. Étant donné la complexité des entreprises modernes, un test d’intrusion est capable d’évaluer un large éventail d’actifs, de réseaux, de systèmes et d’applications sur site, mobiles et dans le cloud. Nous nous concentrerons ici sur la préparation à la réalisation de pen tests pour les applications web de votre organisation.

La préparation est une étape vitale car les failles de sécurité peuvent se produire presque n’importe où dans le système d’une application web. DevOps publiant cinq, dix, vingt voire plus nouvelles versions de code chaque jour, les risques d’erreurs sont nombreux. On observe généralement deux types d’erreurs. Les failles techniques qui peuvent permettre une variété d’attaques telles que l’injection SQL et le cross-site scripting (XSS). Les failles dans la logique d’entreprise qui peuvent permettre des attaques telles que la saisie d’une quantité négative dans un panier d’achat en ligne. Les risques les plus courants en matière de sécurité des applications web sont décrits dans le Top 10 de l’OWASP..

La phase de préparation doit permettre d’identifier tous les éléments devant être pen testés et de déterminer qui est responsable de la création, de la maintenance, de l’exploitation et de la sécurité de chaque élément. Cet article partage des idées pour aider les responsables de la sécurité à préparer leur organisation à un pen test afin d’évaluer la sécurité des applications web et guider les équipes de remédiation vers des actions correctives immédiates.

Notre checklist pour un test d’intrusion réussi

Une approche stratégique de la préparation aux tests d’intrusion consiste à utiliser une checklist des thèmes fondamentaux que vous pouvez adapter aux exigences spécifiques de votre organisation. Les thèmes devraient permettre aux équipes d’avoir une vue d’ensemble de la surface d’attaque, ce qui accélérera la compréhension des résultats du test d’intrusion et la mise en œuvre d’actions correctives. Voici les quatre thèmes qui encadrent la préparation d’un pen test.

1. Spécifier les applications web

Pour comprendre la surface d’attaque des applications web de votre organisation, commencez par répertorier toutes les applications web qui sont connectées à Internet. Chacune d’entre elles offre aux attaquants un point de départ potentiel pour pirater votre environnement. Supposons que des attaquants recherchent toutes ces applications et les soumettent à des tests de vulnérabilité. Parmi les informations utiles, nous avons :

  • La description de l’application web
  • Si elle s’intègre logiquement dans une solution ou un système
  • Qui écrit et maintient le code
  • L’endroit où l’application web est hébergée et les contrôles d’accès associés
  • Les interfaces admin
  • Les types et sources de données sensibles
  • Où les données sensibles sont-elles-traitées, transmises et/ou stockées
  • Les fonctionnalité sensibles pouvant avoir un impact sur les tests

2. Clarifier les préoccupations principales

Si toutes les applications web sont des cibles d’attaques potentielles, certaines sont plus vitales que d’autres en termes d’impact commercial et opérationnel. Pour déterminer à quel endroit les équipes devraient logiquement se préoccuper le plus de la sécurité des applications web, voici quelques points à prendre en compte :

  • Créer un système de classement pour déterminer la priorité de l’application web (élevée, moyenne ou faible par exemple)
  • Identifier une ou plusieurs parties spécifiques d’applications web hautement prioritaires susceptibles de présenter des vulnérabilités.
  • Confirmer que les données sensibles utilisées dans l’environnement DevOps de pré-production sont bien protégées par des contrôles de sécurité adéquats
  • Établir une corrélation entre les points problématiques potentiels et les risques de sécurité des applications web les plus répandus, comme ceux listés par le OWASP Top 10. Des erreurs de codage par exemple peuvent déclencher une injection SQL ou une attaque par cross-site scripting, mais n’ont rien à voir avec des erreurs de configuration de la sécurité liées à l’hébergement et à l’accès à l’application web de production
  • Estimer l’exposition commerciale et opérationnelle si ces risques étaient exploités par un pirate informatique

3. La question de la conformité

La conformité aux réglementations gouvernementales et commerciales et aux cadres de sécurité associés est un facteur important de la sécurisation des applications web. La non-conformité peut entraîner des amendes et des pénalités importantes. Les conséquences des failles et des incidents de sécurité peuvent inclure des coûts supplémentaires tels que des poursuites judiciaires, une perte de confiance, une baisse de la valeur de l’entreprise et la perte de clients. Avec la mondialisation des activités commerciales, une entité de l’UE peut être soumise à des réglementations des États-Unis, voire celles d’un État comme New York ou la Californie, et vice versa. La préparation du test d’intrusion de votre organisation doit préciser les cadres de conformité qui peuvent régir vos applications web, tels que :

  • Organisation internationale de normalisation (ISO)
  • Institut national des normes et de la technologie des États-Unis (NIST)
  • Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
  • Service Organization Control Type 2 (SOC2)
  • ÉTATS-UNIS . Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA)
  • CREST

4. Planifier la réaction

Un test d’intrusion n’est pas le genre de rapport qu’on lit, qu’on stocke et que l’on oublie. L’objectif principal d’un rapport de pen test est de montrer quelles applications web sont faibles et comment les corriger. Il indique qu’une action est requise immédiatement, afin d’éviter que des vulnérabilités urgentes ne causent trop de dommages à une application web hautement prioritaire ou n’exposent des données sensibles. Vos équipes doivent être prêtes à passer à l’action. La préparation comprend certains aspects du thème 1 et concerne principalement les applications web hautement prioritaires :

  • Identifier le propriétaire de chaque application web
  • Identifier qui est responsable des aspects opérationnels de chaque application web, y compris le déploiement, le contrôle d’accès et la gestion des données
  • Identifier le responsable de la conformité pour chaque application web
  • S’assurer que tous les propriétaires et les équipes de remédiation sont au courant du test d’intrusion et sont prêts à réagir lorsque les résultats seront disponibles
  • Assurez-vous que les équipes de remédiation sont prêtes à réagir si de nouveaux tests montrent que les problèmes n’ont pas été résolus.

Le pen testing d’applications web dans des environnements agiles

Nous avons constaté que bien souvent, DevOps publiait chaque jour  de nombreuses itérations de code. Alors que vous vous préparez à auditer la sécurité des applications web, privilégiez une approche moderne des tests d’intrusion, conçue pour les opérations agiles. Outpost24 a créé son pen testing as a service (PTaaS) pour faire de l’audit des applications Web un processus continu natif cloud pour le flux de développement d’applications modernes.

La différence la plus significative avec les tests d’intrusion traditionnels est que le « résultat » n’est pas un rapport d’audit ponctuel. Le processus PTaaS se déroule selon une séquence continue d’événements d’audit. Cela signifie que les vulnérabilités sont signalées dès qu’elles apparaissent dans le nouveau code de production. Les membres de l’équipe DevOps peuvent directement discuter avec l’équipe PTaaS d’Outpost24 pour obtenir des clarifications, et les actions de remédiation peuvent ainsi être validées immédiatement.

Cette approche moderne présente de nombreux avantages :

Rapidité de mise en œuvre – La mise en place d’un PTaaS ne devrait pas nécessiter des mois ou des semaines. Vous devriez prévoir de lancer les tests dans les jours qui suivent.

Collaboration – Vos organisations DevOps et SecOps devraient être en mesure de communiquer avec l’équipe de pen testers par le biais du portail PTaaS pour obtenir des informations sur les résultats. La collaboration doit être facile et fluide, pas difficile !

Validation des résultats – La valeur pérenne du PTaaS réside dans le fait d’obtenir une validation continue des mesures correctives après avoir mis en œuvre les recommandations du rapport. Le PTaaS doit permettre un nombre illimité de demandes de vérification, car votre code ne cessera jamais de changer.

Des rapports adaptés à vos besoins – L’obtention de rapports PTaaS ne devrait pas être synonyme de drame et d’attente de découvrir un jour les résultats – ce qui arrive fréquemment avec les pen tests traditionnels. Le PTaaS doit vous fournir des rapports lorsque vous en avez besoin.

Un meilleur retour sur investissement – Grâce aux avantages du recours à une approche cloud pour les tests d’intrusion, l’automatisation PTaaS devrait offrir un meilleur retour sur investissement que les pen tests traditionnels.

Découvrez comment un test d’intrusion peut aider votre organisation

Maintenant que vous disposez du cadre de préparation aux tests d’intrusion, nous vous invitons à découvrir comment fonctionne un test d’intrusion en action. Cliquez ici pour planifier une démo ou prenez rendez-vous pour  obtenir les réponses à vos questions. Les cyber-attaquants sont toujours à la recherche d’un moyen de pénétrer votre organisation ; grâce aux pen tests d’Outpost24, votre organisation peut garantir la sécurité solide et la conformité de ses applications web.