« Un bon pentester doit savoir vulgariser »
Guillaume Lopes, Senior Penetration Tester et CTO chez Randorisec.
Le cabinet de conseil français Wavestone a présenté, en avril 2023, son baromètre annuel sur la maturité cyber en France. Il en ressortait que le niveau de maturité des grandes organisations était encore faible ( 49 %), mais en amélioration de trois points par rapport à l’année précédente. Comment tirer ces statistiques vers le haut ? De l’avis de Guillaume Lopes, Senior Penetration Tester et CTO chez Randorisec, le pentest, bien qu’il ne soit pas exhaustif, est une bonne entrée en matière pour élever son niveau de cybersécurité.
L’INFOCR : Quelles sont les qualités qu’un pentester doit réunir pour répondre aux attentes d’un client ?
Le client attend du pentester qu’il soit démonstratif, car l’objectif est de savoir comment un acteur malveillant pourrait l’attaquer, que ce soit sur une application web, un réseau interne ou Wifi. Une des qualités principales d’un pentester est sa capacité à démontrer concrètement comment un attaquant est en mesure d’exploiter une vulnérabilité, comment il est en mesure d’accéder à des données sensibles et de rebondir sur d’autres actifs du système d’information. C’est beaucoup plus probant pour le client, d’autant plus pour ceux qui manquent de maturité cyber. Pour toutes ces raisons, le pentest est une bonne entrée en matière pour un client qui souhaite élever rapidement son niveau de cybersécurité.
Néanmoins, cette méthode n’est pas exhaustive. Il faut bien faire le distinguo entre le test d’intrusion et l’audit de sécurité, car la démarche est complètement différente. Le pentest constitue une image à un instant donné des vulnérabilités présentes sur une application ou un système d’information. Or, le SI est un écosystème vivant qui évolue très vite. C’est pourquoi, il faudra approfondir avec un audit complémentaire. Cependant, nous encouragerons toujours un client n’ayant jamais réalisé d’audit de sécurité à débuter par un pentest en raison de son aspect démonstratif. Il est vrai que souvent la liste des actions correctrices d’un audit de sécurité peut être déroutante pour un client.
Les entreprises ont- elles conscience de l’importance du pentest et de l’audit pour se prémunir face au risque cyber ?
Aujourd’hui, les grandes entreprises ont pleinement pris conscience du risque cyber. La sécurité fait partie intégrante des projets qui sont déployés en interne et la réalisation d’un audit de sécurité ou d’un pentest fait partie de la roadmap du projet. En 2008, lorsque j’ai démarré ma carrière de pentester, il y avait encore un important travail d’évangélisation à réaliser afin d’expliquer la différence entre un pentest et un audit notamment. Quinze ans plus tard, nous entrons directement dans le vif du sujet, à savoir quelle brique de l’infrastructure le client souhaite tester, quelles sont ses principales craintes par rapport à chaque brique — une perte de données ou une indisponibilité de l’infrastructure ? Souhaite- t- il réaliser une revue de configuration des serveurs ou de l’architecture ?
Cette maturité s’observe- t- elle aussi du côté des PME ?
Les PME maîtrisent moins le sujet, mais elles progressent. Selon moi, le Règlement Général sur la Protection des Données ( RGPD) a permis de sensibiliser les PME à la cybersécurité, au moins sur la partie des données à caractère personnel. Le fait que la CNIL puisse infliger des sanctions financières en cas de manquement force les entreprises de manière générale à prendre en compte cette problématique. Auparavant, lorsqu’un pentester démontrait une vulnérabilité permettant de compromettre des données à caractère personnel, la réaction des clients était souvent de dire : « oui c’est gênant, mais finalement, ce n’est pas si grave. » Depuis l’entrée en vigueur du RGPD ( mai 2018) et les sanctions financières prévues en cas de manquement, plus personne n’adopte cette position.
Donc globalement, lorsque je parle d’injection SQL ou de Cross- Site Scripting, beaucoup de clients connaissent ou ont déjà entendu parler de ces vulnérabilités. Les intervenants que nous rencontrons sont plus sensibilisés à la cybersécurité. Il est important, quand vient le moment de décrypter l’attaque devant le client, de ne pas le noyer de détails techniques, pour ne pas le perdre ou l’induire en erreur sur la manière de corriger. Un bon pentester doit savoir vulgariser.