Les entreprises mènent des tests d’intrusion pour trois raisons principales.

Les tests d’intrusion sont plus complets que les simples évaluations des vulnérabilités. Les tests d’intrusion et les évaluations des vulnérabilités aident les équipes de sécurité à identifier les faiblesses des applications, des appareils et des réseaux. Cependant, ces méthodes servent des objectifs légèrement différents, de sorte que de nombreuses organisations utilisent les deux au lieu de s’appuyer sur l’une ou l’autre.

Les évaluations des vulnérabilités sont généralement des analyses automatisées récurrentes qui recherchent les vulnérabilités connues d’un système et les signalent pour examen. Les équipes de sécurité utilisent les évaluations des vulnérabilités pour vérifier rapidement la présence de failles parmi les plus courantes.

Les tests d’intrusion vont plus loin. Lorsque les testeurs d’intrusion découvrent des vulnérabilités, ils les exploitent dans le cadre d’attaques simulées qui imitent les comportements de hackers malveillants. L’équipe de sécurité dispose ainsi d’une compréhension approfondie de la façon dont les pirates informatiques peuvent exploiter les vulnérabilités dans le but d’accéder à des données sensibles ou de perturber les opérations. Au lieu d’essayer de deviner ce que les pirates informatiques sont susceptibles de faire, l’équipe de sécurité peut utiliser ces connaissances pour concevoir des contrôles de sécurité du réseau et les appliquer contre les cybermenaces réelles.

Comme les testeurs d’intrusion utilisent à la fois des processus automatisés et manuels, ils découvrent des vulnérabilités connues et inconnues. Les faiblesses détectées étant activement exploitées, le risque de détection erronée (un « faux positif ») est moins important (si les testeurs peuvent exploiter une faille, les cybercriminels peuvent faire de même). Et comme les services de tests d’intrusion sont fournis par des experts en sécurité externes, qui abordent les systèmes du point de vue d’un pirate informatique, les tests d’intrusion permettent souvent de découvrir des failles que les équipes de sécurité internes sont susceptibles d’avoir manquées.

Les experts en cybersécurité recommandent les tests d’intrusion. De nombreux experts en cybersécurité et de nombreuses autorités recommandent les tests d’intrusion comme mesure de sécurité proactive. Par exemple, en 2021, le gouvernement fédéral des États-Unis (lien externe à ibm.com) a exhorté les entreprises à utiliser des tests d’intrusion pour se défendre contre la recrudescence des attaques par ransomware.

Les tests d’intrusion contribuent à la conformité réglementaire. Les réglementations sur la sécurité des données telles que la Health Insurance Portability and Accountability Act (loi HIPAA) et le Règlement général sur la protection des données (RGPD) imposent certains contrôles de sécurité. En permettant d’établir que les contrôles fonctionnent comme prévu, les tests d’intrusion peuvent aider les entreprises à prouver leur conformité à ces réglementations.

D’autres réglementations exigent explicitement des tests d’intrusion. La norme PCI-DSS (Payment Card Industry Data Security Standard), qui s’applique aux organisations qui traitent des transactions par carte de crédit, rend obligatoires des « tests d’intrusion externes et internes » réguliers (lien externe à ibm.com).

Les tests d’intrusion peuvent également contribuer à la conformité aux normes volontaires de sécurité des informations, comme la norme ISO/IEC 27001 (lien externe à ibm.com).