“Un boxeur tire le plus grand avantage de son partenaire d’entraînement …”
– Epictetus, 50–135 après JC
Haut les mains. Menton caché. Genoux pliés. La cloche sonne et les deux boxeurs se rencontrent au centre et au cercle. Red lance trois coups, feint un quatrième et – Bang – atterrit une main droite sur Blue en bas du centre.
Ce n’était pas le premier jour de Blue et malgré sa solide défense devant le miroir, il ressent la pression. Mais quelque chose a changé dans le ring; La variété de coups de poing, les feintes, l’intensité – cela n’a rien à voir avec les simulations de son entraîneur. Ma défense est-elle suffisamment forte pour résister à cela? Il se demande, Ai-je même une défense?
Son entraîneur le rassure “Si ce n’était pas pour toute votre pratique, vous n’auriez pas défendu ces premiers coups. Vous avez une défense – maintenant vous devez le calibrer. Et cela se produit dans le ring.”
La cybersécurité n’est pas différente. Vous pouvez avoir vos mains en place – le déploiement de la bonne architecture, des politiques et des mesures de sécurité – mais le plus petit écart de votre défense pourrait permettre à un attaquant de décrocher un coup de poing à élimination directe. La seule façon de tester votre préparation est sous pression, se disputant le ring.
La différence entre la pratique et le vrai combat
En boxe, les partenaires de combat sont abondants. Chaque jour, les combattants entrent sur le ring pour perfectionner leurs compétences contre de vrais adversaires. Mais en cybersécurité, les partenaires de combat sont plus rares. L’équivalent est les tests de pénétration, mais un Pentest ne se produit dans une organisation typique qu’une fois par an, peut-être deux fois, au mieux chaque trimestre. Il nécessite une préparation approfondie, contracter une agence spécialisée coûteuse et boucler l’environnement à tester. En conséquence, les équipes de sécurité passent souvent des mois sans faire face à une véritable activité contradictoire. Ils sont conformes, leurs mains sont en place et leurs mentons sont cachés. Mais seraient-ils résilients sous attaque?
Les conséquences des tests peu fréquents
1. Drift: la lente érosion de la défense
Lorsqu’un boxeur passe des mois sans se tenant, leur intuition terne. Il est victime du concept connu sous le nom de “pouces” où il a le bon mouvement défensif, mais il lui manque des pouces, se faisant prendre par des tirs qu’il sait défendre. En cybersécurité, cela s’apparente à dérive de configuration: Changements incrémentiels dans l’environnement, qu’il s’agisse de nouveaux utilisateurs, des actifs obsolètes, des ports n’a plus fréquenté ou une perte progressive d’étalonnage défensif. Au fil du temps, les lacunes émergent, non pas parce que les défenses ont disparu, mais parce qu’elles sont tombées en alignement.
2. ETPACES DÉTÉCÉRÉES: Les limites de l’ombre
Un boxeur et leur entraîneur ne peuvent aller si loin que l’entraînement. Le shadowboxing et les exercices aident, mais l’entraîneur n’appellera pas les erreurs discrètes, qui pourraient laisser le boxeur vulnérable. Ils ne peuvent pas non plus reproduire l’imprévisibilité d’un véritable adversaire. Il y a tout simplement trop de choses qui peuvent mal tourner. La seule façon pour un entraîneur d’évaluer l’état de son boxeur est de voir comment il est touché et de diagnostiquer pourquoi.
De même, en cybersécurité, la surface d’attaque est vaste et en constante évolution. Aucune évaluation de la pentistie ne peut anticiper tous les vecteurs d’attaque possibles et détecter chaque vulnérabilité. La seule façon de découvrir des lacunes est de tester à plusieurs reprises contre les scénarios d’attaque réels.
3. Portée des tests limités: le danger de tests partiels
Un entraîneur doit voir son combattant testé contre une variété d’adversaires. Il peut être bien contre un adversaire qui lance principalement des tirs à la tête, mais qu’en est-il des punchateurs ou des contre-coups? Il peut s’agir de domaines d’amélioration. Si une équipe de sécurité ne teste que sur un type particulier de menace et n’élargit pas sa portée à d’autres exploits, qu’il s’agisse de mots de passe ou de erreurs de configuration, ils risquent de se laisser exposés à tous les points d’accès faibles qu’un attaquant trouve. Par exemple, une application Web peut être sécurisée, mais qu’en est-il d’un diplôme divulgué ou d’une intégration API douteuse?
https://www.youtube.com/watch?v=t3ndksdbjo0
Le contexte compte quand il s’agit de hiérarchiser les correctifs
Toutes les vulnérabilité ne sont pas un coup de poing à élimination directe. Tout comme le style unique d’un boxeur peut compenser les défauts techniques, la compensation des contrôles en cybersécurité peut atténuer les risques. Prenez Muhammad Ali, selon les normes des manuels, sa défense était défectueuse, mais son athlétisme et son adaptabilité le rendaient intouchable. De même, la basse main avant de Floyd Mayweather peut sembler une faiblesse, mais son rouleau d’épaule l’a transformé en une force défensive.
En cybersécurité, les scanners de vulnérabilité mettent souvent en évidence des dizaines – sinon des centaines – de problèmes. Mais tous ne sont pas critiques. Tous les environnements informatiques sont différents et un CVE de haute sévérité peut être neutralisé par un contrôle de rémunération, tel que la segmentation du réseau ou des politiques d’accès strictes. Le contexte est essentiel car il fournit la compréhension nécessaire de ce qui nécessite une attention immédiate par rapport à ce qui ne le fait pas.
Le coût élevé des tests peu fréquents
La valeur des tests contre un réel adversaire n’est pas nouveau. Les boxeurs se sont stimulés pour se préparer aux combats. Les équipes de cybersécurité effectuent des tests de pénétration pour durcir leurs défenses. Mais que se passe-t-il si les boxeurs devaient payer des dizaines de milliers de dollars chaque fois qu’ils se sont affrontés? Leur apprentissage ne se produirait que sur le ring – pendant le combat – et le coût de l’échec serait dévastateur.
C’est la réalité pour de nombreuses organisations. Les tests de pénétration traditionnels sont chers, prenant du temps et souvent limités. En conséquence, de nombreuses équipes ne testent qu’une ou deux fois par an, laissant leurs défenses sans contrôle pendant des mois. Lorsqu’une attaque se produit, les lacunes sont exposées – et le coût est élevé.
Tests continus et proactifs
Pour vraiment durcir leurs défenses, les organisations doivent aller au-delà des tests annuels peu fréquents. Au lieu de cela, ils ont besoin tests continue et automatisé Cela émule les attaques réelles. Ces outils imitent l’activité contradictoire, découvrent les lacunes et fournissant des informations exploitables sur les endroits pour resserrer les contrôles de sécurité, comment recalibrer les défenses et fournir des correctifs précis pour l’assainissement. Faire tout cela avec une fréquence régulière et sans le coût élevé des tests traditionnels.
En combinant la validation automatisée de la sécurité avec l’expertise humaine, les organisations peuvent maintenir une forte posture défensive et s’adapter à l’évolution des menaces.
En savoir plus sur la pentiste automatisée en visitant Pentera.
Note: Cet article est rédigé de manière experte et apportée par William Schaffer, représentant principal du développement des ventes chez Pentera.

