Niveaux des tests d'intrusion
De quel niveau de test avez-vous besoin ?
Le tableau ci-dessous compare les différents niveaux de tests disponibles pour évaluer et exploiter les vulnérabilités potentielles de vos réseaux et systèmes. Toutes les combinaisons des tests ci-dessous sont disponibles, en fonction des besoins du client. La portée de chaque test est établie et convenue sur la base d'une consultation détaillée avec nos clients.
Dans la plupart des cas, l’équipe IT Governance de test d'intrusion approuvée par CREST-approved recommande un test d'intrusion de niveau 1 permettant d'identifier les vulnérabilités exploitables avant qu’elles ne puissent être découvertes par une cyberattaque aveugle.
Vous souhaitez en savoir plus sur nos solutions de niveau 1 ou nos packages de tests d'intrusion de niveau 2 ? Contactez l'un de nos experts en tests d'intrusion.
Discuter avec un expert
Niveaux de tests d'intrusion
Chez IT Governance, nous proposons deux niveaux de test d'intrusion pour répondre à votre budget et à vos exigences techniques :
Test d'intrusion de niveau 1
Pour la majorité des organisations, un test d'intrusion de niveau 1 sera approprié afin d'atténuer les menaces d'attaquants qui recherchent des cibles faciles en exploitant des vulnérabilités connues.
Ce test implique des évaluations manuelles avec des analyses automatisées pour évaluer l'étendue réelle des vulnérabilités affectant vos applications, systèmes ou réseaux. En combinant un test de niveau 1 avec une analyse régulière des vulnérabilités, vous pouvez donner la priorité à la résolution des problèmes identifiés et établir une évaluation complète de vos risques liés aux menaces externes.
Un test d'intrusion de niveau 1 nécessite une portée minimale et peut être effectué rapidement et de manière rentable, offrant ainsi un bon aperçu de votre posture de sécurité s'il est effectué à intervalles réguliers.
Test d'intrusion de niveau 2
Un test d'intrusion de niveau 2 est approprié pour les organisations pouvant être spécifiquement ciblées par des attaquants, peut-être en raison des informations qu'elles détiennent ou de la nature de leurs activités.
Ce niveau de test implique un processus minutieux d'identification des failles de sécurité et des vulnérabilités de votre matériel (y compris des imprimantes, des télécopieurs et des stations de travail) et des logiciels, systèmes ou applications web, puis d'exploitation de ces vulnérabilités.
L'ampleur d'un test d'intrusion de niveau 2 signifie qu'il nécessite beaucoup de temps et qu'elle est généralement recommandée aux clients nécessitant une simulation de cyberattaque complexe. Simulation d'attaque.
Tableau comparatif des tests d'intrusion de niveau 1 et 2
Type
|
Niveau 1
|
Niveau 2
|
Objectif
|
Déterminer les vulnérabilités potentielles dans les systèmes cibles
|
Déterminer si votre entreprise est vulnérable à un pirate informatique et si vous pouvez détecter une attaque.
|
Résultats
|
Identification et analyse des vulnérabilités de vos réseaux, systèmes, sites web, applications web ou réseaux sans fil.
|
Les tests consistent à examiner les vulnérabilités et à tenter d'accéder aux ressources critiques.
|
Audience cible
|
Les entreprises souhaitant aller au-delà des analyses de vulnérabilité « légères » ou évaluer leurs données de référence en matière de cybersécurité.
|
Les entreprises ayant un programme de sécurité mature et souhaitant un test complet de leur réseau.
|
Niveau de compétence requis
|
Haut
|
Avancé
|
Imite une véritable attaque ?
|
Non
|
Oui
|
Objectif
|
Décidé au départ
|
Décidé au départ
|
Forfait à prix fixe ?
|
Oui
|
Non
|
Appel d'orientation avec un consultant
|
Disponible
|
Oui
|
Méthodologie de test
|
Aligné sur l'OWASP
|
Aligné sur l'OWASP
|
Analyse de vulnérabilité
|
Oui
|
Oui
|
Peut être réalisé sur site ?
|
Oui
|
Oui
|
Peut être réalisé à distance ?
|
Oui
|
Oui
|
Identification de faux positifs
|
Oui
|
Oui
|
Exploitation des vulnérabilité
|
Non
|
Oui
|
Rapport détaillé
|
Oui
|
Oui
|
Classement manuel du risque et de l'impact
|
Oui
|
Oui
|
Déterminer vos exigences de test
Vous devez tenir compte des éléments suivants avant de vous lancer dans un projet de test d'intrusion ou d'évaluation de la vulnérabilité :
-
Évaluer les éléments principaux pour les tests d'intrusion
Déterminez vos objectifs en fonction d'une évaluation de critères pertinents, tels que l'impact d'incidents graves, l'augmentation des niveaux de menace ou les modifications importantes apportées aux processus métier ou informatiques.
Si votre objectif est de devenir conforme à la norme PCI ou de protéger d’autres données spécifiques, vous devez déterminer la portée de cet environnement de données et vous assurer qu’il est segmenté. Si, en revanche, vous réagissez à une violation d'une autre organisation ou d'une organisation similaire, essayez de comprendre quelle forme l'attaque a pris et la motivation sous-jacente.
En comprenant les motivations et les techniques des attaquants, vous pouvez vous concentrer sur la construction de défenses efficaces .
-
Identifier les environnements cibles
Votre programme de tests d'intrusion doit identifier les environnements cibles à tester.
Demandez-vous quels sont vos atouts les plus précieux. Il peut s’agir de votre propriété intellectuelle, d’importantes applications professionnelles, d’une infrastructure informatique clé, de données confidentielles ou tout simplement de votre réputation.
Comprendre ce que vous devez protéger - sa valeur pour vous, sa valeur pour un attaquant et l'impact d'une perte en termes de dommages opérationnels, financiers et d'atteinte à la réputation - vous aidera à déterminer le niveau de dépense de protection nécessaire.
-
Priorisez vos efforts
Vous êtes maintenant prêt à créer un programme de tests d'intrusion qui priorisera la protection de vos ressources les plus précieuses contre vos plus grandes menaces. En combinant des analyses fréquentes de vulnérabilité de niveau faible, des tests d'intrusion de niveau 1 réguliers de votre parc et des tests de niveau 2 de vos systèmes et actifs critiques, vous pouvez maximiser la valeur des tests de la manière la plus efficace.
Discuter avec un expert
Pour plus d'informations et de conseils sur les tests d'intrusion ou les forfaits proposés par IT Governance, contactez nos experts qui pourront discuter plus en détail des besoins de votre entreprise.