.png)
Les tests de pénétration sont l'un des meilleurs moyens pour une entreprise de comprendre sa position en matière de risques. La gestion des vulnérabilités, l'examen de l'architecture, l'audit, l'évaluation des lacunes et bien d'autres techniques sont des éléments essentiels de la défense.
Cependant, les tests d'intrusion – au cours desquels des acteurs simulant des menaces exploitent les vulnérabilités d'un système pour apprendre à l'entreprise comment les corriger – ont toujours eu leur place en tant que jauge unique pour aider à adapter les défenses aux réalités des attaques d'aujourd'hui.
L'IA fait son entrée. Après avoir pris le monde d'assaut au cours des derniers mois, la communauté de la cybersécurité s'attend à une vaste augmentation du nombre d'attaques de l'IA. attaques alimentées par l'IA. La technologie démocratise la cybercriminalité, en mettant à la disposition de tous des tactiques, des techniques et des procédures (TTP) hautement sophistiquées avec un investissement minimal en temps ou en argent.
Pour contrer cette tempête qui s'annonce, les tests de pénétration peuvent indiquer les meilleures façons de se défendre, de remédier et de récupérer à la lumière de ces nouvelles attaques inspirées et alimentées par l'IA. Voici comment .
Pour vaincre les menaces liées à l'IA, il faut se fixer les bons objectifs
Certains chefs d'entreprise seront peut-être surpris d'apprendre que les tests de pénétration et les évaluations de vulnérabilité ne sont pas les deux faces d'une même pièce. En fait, alors que les seconds sont statiques et dépourvus de contexte, les premiers sont conçus pour découvrir les risques commerciaux fondamentaux en testant manuellement la posture défensive d'une organisation pour voler des données ou atteindre un niveau d'accès non autorisé.
Cela signifie que l'identification des vulnérabilités de surface n'est en aucun cas le but de l'enquête d'un pirate éthique. Il s'agit plutôt des conséquences commerciales qui découlent du fait de permettre à un adversaire de franchir les portes que les vulnérabilités ouvrent. Par conséquent, les pirates éthiques doivent se fixer des objectifs en ciblant ces domaines spécifiques, afin de mesurer le niveau de cyber-résilience de l'organisation et de révéler comment des poches de vulnérabilités à faible risque peuvent se combiner pour créer un scénario global à haut risque qui met leur entreprise en péril.
Partage les résultats de tes tests de pénétration avec la suite C
L'éclairage distinct et le réconfort offerts par les tests de pénétration aident également à démystifier la complexité du paysage des cybermenaces, en traduisant le cyberrisque en termes commerciaux exploitables qui résonnent mieux auprès de la suite C et du conseil d'administration. Des exemples concrets tirés de tests de pénétration récents permettent aux responsables de la cyber-résilience de formuler plus facilement les risques de manière à favoriser l'adhésion collective de la direction de l'entreprise et à s'assurer que la sécurité reste une priorité de l'organisation.
Il est important de se rappeler que, quelle que soit l'efficacité d'un programme de tests de pénétration, il existera toujours des zones grises et des jugements précaires concernant la hiérarchisation des risques. Les tests de pénétration permettent aux RSSI de prendre la décision la plus éclairée possible. Dans le cas contraire, ils tirent à l'aveuglette sur les risques réels de leur entreprise.
Réunir les équipes rouges et bleues pour obtenir les meilleurs résultats
Tout comme la cybersécurité est un sport d'équipe, les tests de pénétration le sont aussi. Les exercices de l'équipe rouge impliquent une équipe offensive “rouge”, ainsi que des chasseurs de menaces et des analystes SOC qui constituent l'équipe défensive “bleue”. Et comme nous l'avons tous appris à l'école primaire (et à l'école de cybersécurité), la fusion des deux crée la couleur violette.
Le concept d'équipe violette est souvent mal décrit. Il ne s'agit pas d'une équipe singulière d'experts offensifs et de chasseurs opérant tous ensemble à l'unisson. Dans ce contexte, il s'agit plutôt d'un verbe qui décrit la façon dont les côtés rouge et bleu peuvent collaborer pour élargir leurs connaissances, affiner leur stratégie et stimuler leur efficacité opérationnelle. Et même si c'est moins évident à la surface, le bleu peut aider le rouge tout comme le rouge aide le bleu.
Le partage collaboratif de renseignements, par exemple, permet aux pirates éthiques d'avoir une perspective plus approfondie sur la façon dont un TTP particulier a été identifié. Ainsi, l'équipe rouge peut ajuster son approche pour la prochaine tentative afin qu'elle soit plus meurtrière, ce qui rend l'équipe bleue plus forte. C'est comme si le fer aiguisait le fer – en fin de compte, tout le monde en profite.
L'une des meilleures défenses contre l'IA armée
Malgré les appels des leaders de l'industrie à ralentir le rythme de l'innovation en matière d'IA, les chefs d'entreprise auraient tort de croire qu'ils peuvent se reposer sur leurs lauriers pour le moment. Sans se soucier des régulateurs ou des parties prenantes, les acteurs de la menace innoveront en ce moment même.
Les tests de pénétration font partie intégrante de la boîte à outils de tout RSSI aujourd'hui. Parallèlement au purple teaming, à la hiérarchisation correcte des risques et à la définition efficace des objectifs, les tests d'intrusion peuvent aider les organisations à prendre de l'avance sur les acteurs malveillants en comprenant leurs propres paysages de menaces. Seul ce niveau de visibilité donnera aux entreprises la confiance nécessaire pour savoir que leurs systèmes sont sûrs à l'ère de l'IA.
Ed Skoudis est président de Institut technologique SANS et fondateur du programme de test de pénétration du SANS et de Counter Hack.
Tu pourrais aussi lire :
Comment tirer parti de l'IA pour la vérification des utilisateurs en temps réel ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S'inscrire
- Comptes multi-utilisateurs, d'entreprise et de bibliothèque disponibles sur demande
