Apprenez à différencier “évaluation des vulnérabilités” et “test de pénétration”

vulnérabilités acunetix

De nombreux professionnels de la sécurité sont familiers avec les termes «évaluation des vulnérabilités» et «test de pénétration» («pentest»). Malheureusement, dans de nombreux cas, ces deux termes sont incorrectement utilisés. Ce poste vise à clarifier les différences entre l’évaluation des vulnérabilités et les tests de pénétration, à démontrer que les deux sont des composantes intégrantes de la gestion des vulnérabilités et à déterminer quand et où l’utilisation de chacun est la plus appropriée.

Évaluation des vulnérabilités

Une évaluation des vulnérabilités est le processus de recherche et de mesure de la sévérité des vulnérabilités dans un système. Elle fournit des listes de vulnérabilités, souvent classées par ordre de  criticité pour l’entreprise.

Les évaluations de vulnérabilités impliquent l’utilisation d’outils de test automatisés tels que des scanners de sécurité Web et réseau, dont les résultats sont généralement évalués et transmis aux équipes de développement et d’exploitation. En d’autres termes, elles impliquent une évaluation approfondie afin de déceler des faiblesses et recommander des mesures correctives appropriées pour éliminer ou réduire les risques.

Test de pénétrations

En revanche, les tests de pénétration, sont généralement des exercices axés sur des objectifs. Un pentest a moins à voir avec la découverte de vulnérabilités, et est plutôt axé sur la simulation d’une attaque réelle, en testant les défenses et les chemins de mapping qu’un vrai hacker pourrait prendre pour atteindre un objectif réel. En d’autres termes, un test de pénétration consiste généralement à déterminer comment un hacker serait capable d’enfreindre les défenses.

Un test de pénétration, tout comme l’évaluation des vulnérabilités, implique généralement l’utilisation de scanners de vulnérabilité automatisés et d’autres outils manuels pour détecter les vulnérabilités dans les applications Web et l’infrastructure réseau.

Quand et quoi utiliser

Les deux s’appuyant généralement sur la plupart des mêmes outils et techniques, quelle méthodologie devriez-vous choisir dans les cas suivants, quand et pourquoi?

Comme les tests de pénétration testent les défenses de sécurité sur un chemin vers un objectif, ils sont généralement plus utiles lorsque le niveau de maturité de la sécurité est élevé, c’est-à-dire lorsque les défenses de sécurité de la cible sont considérées comme solides. Le test de pénétration est une méthode efficace pour tester les assertions concernant les défenses des systèmes en gardant à l’esprit des objectifs précis.

D’un autre côté, l’évaluation des vulnérabilités est particulièrement utile et adaptée dans les situations où il existe des problèmes de sécurité connus. Alternativement, l’évaluation des vulnérabilités est la méthodologie idéale pour les organisations qui ont une maturité de sécurité moyenne à élevée et souhaitent maintenir leur sécurité grâce à une évaluation continue de la vulnérabilité – particulièrement efficace lorsque les tests de sécurité automatisés sont mis à profit. L’évaluation de la vulnérabilité est donc une approche qui vise à fournir aux organisations une liste de vulnérabilités qui doivent être corrigées, sans évaluer les objectifs ou les scénarios d’attaque spécifiques. Cela rend l’évaluation de la vulnérabilité plus appropriée pour les situations où la largeur sur la profondeur est préférable.

Source : www.acunetix.com

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *