Vers l’automatisation des tests d’intrusions ?

Les pentests, ou plutôt plus connus sous le nom français « tests d’intrusions », sont-ils amenés à disparaitre dans le futur ? Seront-ils remplacés par des logiciels automatisés capables de simuler des attaques informatiques ?

Une automatisation déjà présente et qui continue à prendre de l’ampleur

Aujourd’hui, les pentesters ont des tâches qui sont automatisées comme les scanners de vulnérabilités avec Nessus, les scans de ports avec Nmap… Cette automatisation reste limitée et demande toujours l’expertise du pentester pour l’exécution des tâches de bout en bout, mais cela restera-t-il ainsi ?

De nouvelles technologiques arrivent de plus en plus sur le marché et cela nous laisse penser que l’automatisation va prendre de l’ampleur dans les prochaines années.

Parfois partiellement automatisées, parfois pas du tout, mais dans quelques années, plusieurs tâches quotidiennes des Pentesters pourront se voir être complètement automatisées comme l’énumération, l’exploitation, la post-exploitation ou encore la rédaction des livrables.

La diversification des compétences sera la clé pour les pentesters

Chaque jour, nous voyons de nouvelles technologies émerger avec les blockchains, le web 3.0, les voitures autonomes, les objets connectés ou encore les intelligences artificielles…

Toutes ces nouvelles technologies auront besoin, à un moment ou à un autre, de test d’intrusion, afin d’assurer qu’elles disposent d’un bon niveau de protection. C’est pour cela que les pentesters devront diversifier leur éventail de compétences, pour être en capacité d’auditer le monde de demain.

Les « Breach and Attack » simulation : une fausse bonne idée ?

Les « Breach and Attack simulation » (BAS), sont des solutions qui ont la capacité de simuler des attaques informatiques en conditions réelles, en reprenant exactement les méthodes utilisées par les pirates.

Ces nouvelles technologies, selon le Gartner, ont leur place dans son graphique « hype cycle », puisqu’elles sont aujourd’hui le type de produit le plus attendu sur le marché. Ce sont, évidemment, des produits intéressants, notamment pour les centres de sécurité.

Cela permettra la réalisation de tests en continu dans les systèmes d’information contrairement à un Pentester, qui lui ne peut en réaliser en continu. Une attaque pourra être simulée en un clic, alors que le Pentester devra planifier la simulation ce qui peut prendre beaucoup plus de temps.

Cependant, l’utilisation des BAS comporte des faiblesses qui font qu’ils ne pourront remplacer un Pentester :

• Les problèmes de confidentialité : Ces technologies demandent d’installer un « agent » logiciel, comme pour la solution Cymulate ou bien acquérir un boitier physique comme pour Blacknoise. Si une entreprise ne souhaite installer quoi que ce soit sur son système d’information pour la réalisation d’un test d’intrusion, pour des raisons de confidentialité, comme pour les banques, alors le Pentester sera indispensable.
• Le coût : Une licence BAS est beaucoup trop onéreuse, notamment pour les entreprises de taille moyenne.
• Les scanners intelligents ne couvrent pas toutes les attaques, ni toutes les topologies ou applications customisées. Si une vulnérabilité venait à être découverte aujourd’hui, il faudrait un certain temps pour que les éditeurs des BAS l’intègrent à leur solution.
• La présence d’un expert restera primordiale pour quantifier les risques et proposer un plan de remédiations, en fonction de différents critères propres à l’entreprise.

La plus-value technique des Pentesters, face à l’arrivée des scanners intelligents, se fera sur leur expertise dans des domaines de pointe qui ne sont pas encore ou difficilement automatisable. De plus, nous recensons encore beaucoup d’organisations dites « critiques » qui souhaite la présence d’un Pentester, car ils refusent le test automatisé pour des raisons de risque ou de confidentialité des données.

Les Pentesters s’allieront avec l’automatisation pour fournir une expertise plus complète et adaptée

D’ici cinq à dix ans, l’univers du Pentest évoluera vers plus d’automatisation et la démocratisation des tests d’intrusion.

Avec l’arrivée des nouvelles techniques de « Breach and Attack Simulation », les Pentesters devront apprendre à travailler en « collaboration » avec elles. Bien que leur valeur ajoutée ne sera plus sur la partie technique d’une attaque, vu que cela deviendra de plus en plus compliqué avec les programmes intelligents, mais elle sera sur la partie décisionnelle.

Même si l’ensemble de la partie technique d’un Pentest peut être automatisée, notamment la recherche de vulnérabilités dans un périmètre et la suggestion automatique des remédiations, la présence d’un Pentester sera indispensable pour analyser, évaluer et hiérarchiser les vulnérabilités trouvées.