Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cercle de la sécurité : Test d’intrusion, vecteur d’amélioration du niveau de sécurité

avril 2009 par Marc Jacob

Lors du dernier dîner-débat du Cercle de la Sécurité, un RSSI et un ingénieur sécurité applicative, d’une multinationale spécialisée dans les services au grand public, ont fait la démonstration de l’utilité d’avoir en interne une équipe dédiée aux tests d’intrusion. Selon eux, faire du test d’intrusion en interne et en externe auprès des fournisseurs permet d’améliorer le niveau de sécurité des applications délivré mais aussi de sensibiliser les développeurs aux problématiques de sécurité.

Il est indéniable que les tests d’intrusion sont indispensables au renforcement du niveau de sécurité. Le plus souvent ces tests sont effectués par des consultants extérieurs. Cette procédure permet aux entreprises d’obtenir un point de vue extérieur de leur niveau de sécurité en évitant ainsi d’être à la fois juge et parti. Toutefois, cette multinationale a choisi de constituer une équipe de tests d’intrusion en interne avec trois ingénieurs issus de son service interne de développement. Cette décision a été prise par la direction générale qui avait été sensibilisée aux problèmes de sécurité en particulier aux problèmes de défaçage des sites, de vol de données confidentielles des clients… et donc d’image du groupe.

Leur mission est de faire des tests d’intrusion d’applicatifs développés en interne avant leur mise en production. Ils doivent aussi faire des tests d’intrusion auprès des sous-traitants. Bien entendu, pour ces derniers et afin de respecter la Loi Godfrain, une autorisation écrite est demandée aux fournisseurs. Selon ce RSSI, si les entreprises maîtrisent bien la sécurité de leurs infrastructures, il n’en est pas de même aux niveaux applicatifs.

Concernant les tests, ils respectent la procédure préconisée par l’OWASP :

- Prise d’informations
- Analyse de l’application Web avec le navigateur
- Test de robustesse dans un temps donnée. Ces tests sont faits sur une durée de 5 à 6 jours pour vérifier que la sécurité de l’application est suffisante.

En cas de problème de sécurité, l’application n’est pas mise en production. Cette équipe peut, sur demande des services de développement, intervenir en soutien pour les aider à résoudre les problèmes de sécurité trouvés.

Du côté des sous-traitants, si certains sont intéressés par cette approche, car, selon nos deux intervenants, ils y voient la possibilité de bénéficier gratuitement d’un test d’intrusion. D’autres refusent cette approche. Dans quelques cas, où les enjeux sont stratégiques, le groupe cesse de travailler avec ces sous-traitants.

Selon nos deux intervenants, le message a été parfois difficile à faire passer tant en interne qu’en externe. En effet, « subir un test d’intrusion c’est un peu être jugé sur la qualité de son travail. » Cependant, les tests, faits en interne, sont moins traumatisants psychologiquement que s’ils étaient réalisés par des équipes externes. Toutefois, il leur a fallu environ 6 années pour arriver à un résultat probant au moins en ce qui concerne l’acceptation par les services de développement interne des impératifs de sécurité. En effet, ils constatent une élévation du niveau de sécurité des collaborateurs et une sensibilisation plus forte à la sécurité. Cette équipe traite actuellement 150 projets par an qui se répartissent en test d’intrusion, accompagnement de projets, formations aux nouvelles problématiques de sécurité, en particulier en allant à la Black Hat, au SSTIC… Au niveau économique, l’opération sensible rentable au vue du nombre de tests effectués par an.

On peut se demander toutefois, si cette stratégie laisse suffisamment place au recul nécessaire pour évaluer au mieux les risques sur les SI…




Voir les articles précédents

    

Voir les articles suivants