Le test d'intrusion "taille unique" est-il encore adapté aux exigence des entreprises ?

John Verry, un consultant américain spécialiste des tests d'intrusion, observe que ses clients se partagent désormais en deux catégories principales : ceux qui se moquent de la finalité du test car ils n'attendent qu'un document à présenter à leur auditeur, et ceux qui souhaitent avoir l'assurance qu'un attaquant compétent ne pourra pénétrer leur SI en un temps donné.

Et le consultant de constater que les offres actuelles font bien souvent la part belle aux demandes de la seconde catégorie - les plus rares - mais sont sur-dimensionnées face à la première, pourtant plus commune. Il regrette ainsi en définitive l'absence de "package" de pentests prêts-à-consommer.

Il y a pourtant eu des tentatives dans le domaine. Juste après la mode des scanners de vulnérabilités à tout va (souvenez-vous, lorsque au début des années 2000 tout le monde jurait avoir développé un moteur révolutionnaire tout en maquillant des rapports de Nessus à tour de bras), quelques visionnaires ont tentés d'offrir un niveau d'expertise intermédiaire en packageant une analyse automatisée avec une relecture sommaire du rapport par un consultant sécurité.

Le temps du consultant était alors certes limité mais cette expertise humaine permettait de tirer l'essentiel du rapport pour un coût maîtrisé. HSC, notamment, a encore au catalogue une offre de ce type (TSAR, pour "Tests de vulnérabilités Semi-Automatiques Récurrents"). Par ailleurs de nombreux consultants indépendants proposent aujourd'hui eux aussi "une passe rapide", comme ils appellent ça (à l'aide d'outils libres tels Nessus, nmap, etc...), tandis que quelques entreprises à notre connaissance se font ponctuellement aider dans la relecture de leur rapports de scans automatiques. Mais cela reste dans le premier cas de l'artisanat, et dans le second du cas par cas.

Alors où sont les tests d'intrusion réellement packagés, dans le sens industriel du terme ? On aurait pu croire que la poussée réglementaire mènerait au développement de telles offres, mais à notre connaissance il n'en n'est rien : il semble plutôt que ce marché ait été accaparé par des offres de conformité entièrement automatisées, sans aucune intervention humaine afin d'en limiter le coût. Et cela peut se comprendre : la conformité est une obligation dont l'entreprise ne voit pas toujours l'intérêt, et si elle peut y répondre à moindre coût, pourquoi dépenser plus ?

De fait, entre d'un côté une approche "case à cocher" héritée de la culture anglo-saxonne des règlements (PCI-DSS vient à l'esprit) qui se satisfait très bien d'un test automatisé, et l'empressement de fabricants qui proposent des "configurations PCI" toutes faites pour certaines gammes de produits, il ne reste peut-être plus guère de place pour une approche artisanale du test d'intrusion. Et il est de toute façon bien plus rentable pour un consultant dans ce domaine de devenir QSA que de proposer du pentest à visée réglementaire !

Ce constat semble devoir reléguer le véritable test d'intrusion à la prestation de haut niveau, capable de s'assurer qu'un attaquant ayant le même niveau de compétence que le consultant (voire de toute une équipe) ne parviendra pas à pénétrer le SI en un temps similaire.

Mais John Verry, lui, semble pourtant croire qu'il existe un marché pour des tests d'intrusion à visée réglementaire rapides. Qu'en pensez-vous ?

Et, surtout, quid des véritables tests d'intrusion industrialisés ? Si l'intérêt d'un accompagnement ponctuel, forcément artisanal, est évident, il est plus difficile d'imaginer un marché global pour une telle offre. Pour les nombreuses entreprises que nous avons interrogé à ce sujet, les scanners automatisés modernes, leurs rapports et leurs bases de connaissance enrichies semblent suffire pour corriger les vulnérabilités les plus critiques. Un nouvel exemple de victoire de la loi du "cheap but good enough"(*) ?

(* pas cher mais suffisant, opposé à une solution de meilleure qualité mais plus exigeante et plus chère)