La Sécurité n'attend jamais...

Gagner ou perdre...

Dark Box

C$4000

Élément fournis à l'auditeur: Emplacement de la cible à auditer.
Exhaustivité: Superficielle .
Tests d’intrusion en boite noire
Ce type de test simule une attaque de la part d’un attaquant sans accès au système à auditer. Par exemple, dans un audit en boite noire sur une application web, aucun compte ne sera fourni à l’auditeur.
C’est généralement le type de test d’intrusion le moins cher, car il ne nécessite pas de grande préparation et dure moins longtemps. Un test d’intrusion en boite noire est particulièrement utile pour estimer rapidement et à peu de frais les défenses périmétriques d’un système.
En revanche, si l’auditeur ne trouve pas de moyen de contourner l’authentification, vous ne bénéficierez pas de l’audit des fonctionnalités authentifiées ou internes de votre système. Ce type d’audit montre donc rapidement ses limites.
Durée: Quelques jours.

Grey Box

C$6000

Éléments fournis à l'auditeur
-Emplacement de la cible à auditer.
-Comptes
-Documentation
Exhaustivité: Complet
Tests d’intrusion en boite grise
Dans un test d’intrusion en boite grise, des accès au système sont fournis à l’auditeur. Ainsi, l’auditeur pourra, en plus des tests réalisés sans authentification, vérifier les fonctionnalités à la disposition de chaque utilisateur, ainsi que le cloisonnement entre les profils.
Cela vous permet notamment de vous assurer qu’un utilisateur n’a pas accès aux données d’un autre utilisateur, mais aussi qu’il n’est pas possible pour un utilisateur d’élever ses privilèges pour devenir administrateur par exemple.
C’est le type d’audit le plus répandu et qui offre un bon rapport entre l’exhaustivité des tests et le prix.
Durée: Quelques semaines.

White Box

C$8000

Éléments fournis à l'auditeur
- Emplacement de la cible à auditer.
- Comptes.
- Documentation.
- Code source.
- Infrastructure.
Exhaustivité: Exhaustif
Tests d’intrusion en boite blanche
Les tests d’intrusion en boite blanche sont les plus exhaustifs, car ils donnent tous les accès à l’auditeur : serveurs, code, etc.
Un test d’intrusion en boite blanche permet ainsi d’obtenir un avis complet sur votre système en mettant à l’épreuve l’entièreté de ses composantes. Cela peut aller jusqu’à une relecture complète du code de votre application (« revue de code » ou « audit de code »).
Le prix varie alors grandement en fonction de la taille du système, mais un audit en boite blanche coûtera systématiquement plus cher qu’un audit en boite noire ou grise.
Durée: Environ un mois.

Red Team

C$12000

Élément fournis à l'auditeur: Cible à atteindre.
Tests d’intrusion en Red Team
Un test d’intrusion en Red Team est une approche qui simule une attaque organisée et bien planifiée, comme si elle était menée par un groupe de hackers professionnels ou par une organisation hostile.
Le test en Red Team est réalisé par une équipe de hacker éthique qui joue le rôle de « red team », c’est-à-dire de l’adversaire. Ils utilisent des techniques avancées et des outils professionnels pour tenter de s’introduire dans les systèmes de l’organisation et atteindre leurs objectifs, qui peuvent être définis en amont du test (par exemple, accéder à des informations sensibles ou démontrer la possibilité de prendre le contrôle de certains équipements).
Le test en Red Team est généralement plus complexe et plus coûteux qu’un test d’intrusion classique, mais il permet de couvrir un plus large éventail de scénarios d’attaque et de tester la capacité de l’entreprise à réagir face à des menaces avancées. S’il est moins exhaustif qu’un test focalisé sur un système précis, il est généralement utilisé pour : Tester la robustesse d’une organisation face à une menace réaliste.
Obtenir un premier avis sur la robustesse d’une organisation face à un attaquant externe. Tester les capacités de détection et de défense de l’organisation (on parle alors de la « Tech Team »). Aller plus loin dans la démarche de sécurisation d’une entreprise qui aurait un niveau déjà avancé, et qui chercherait à se prémunir contre des menaces avancées qui impliquent l'intervention humaine aux fins d'intrusions sur les infrastructures.
Durée: Quelque mois

Les autres types de tests d’intrusion… Il n’existe pas de liste exhaustive, et chez Elios nous privilégions pour vos tests d’intrusion une approche sur mesure où vos besoins priment sur les intitulés. Ainsi, d’autres tests sont envisageables. Comme par exemple : Des tests d’intrusion physique où la sécurité de vos locaux est également auditée (contrôle d’accès, vidéosurveillance, etc.) Des tests d’intrusion sociaux à travers des campagnes de fraude simulées, de phishing, d’ingénierie sociale… Les facteurs qui influencent le coût d’un test d’intrusion! Au-delà du type de test d’intrusion, d’autres facteurs sont à prendre en compte pour estimer le coût de votre audit. Le nombre et la complexité des systèmes à auditer. Le nombre et la complexité des systèmes à auditer sont le facteur de coût principal pour un test d’intrusion. Au plus les systèmes sont simples et le périmètre précis, au moins votre test d’intrusion sera coûteux. Il est par exemple tout à fait possible d’envisager un test d’intrusion en boite noire sur un blog Wordpress pour 3000$, car le périmètre est précis et relativement peu complexe. N’hésitez pas à exclure certains systèmes moins sensibles de votre audit si vous souhaitez en baisser le coût. Le niveau d’expertise du prestataire. L’expertise en cybersécurité est très recherchée sur le marché de l’emploi, et cela peut se ressentir sur la facture ! Des cabinets conseil expérimentés comme Elios vous proposent des audits réalisés par des hackers éthiques professionnels et aguerris au jute coût. Des offres à bas coûts existent, mais on constate généralement des écueils. Vos systèmes sont précieux, un auditeur peu expérimenté pourrait endommager vos systèmes irrémédiablement pendant ses tests. Des auditeurs peu expérimentés peuvent plus facilement passer à côté de certaines vulnérabilités critiques. Malgré les tests d’intrusion, vos systèmes pourraient alors rester vulnérables. Des cabinets peuvent vous vendre des scans de vulnérabilité automatisés maquillés en tests d’intrusion. Vous ne bénéficiez alors d’aucune expertise de la part d’un vrai hacker, tout est automatique et ne leur prend que quelques minutes (pourtant facturées plusieurs journées). Un audit à bas coût peut être réalisé depuis des pays où les préoccupations sociales ne sont pas les mêmes. La qualité de la restitution Les compétences techniques ne sont pas suffisantes. Les auditeurs d'Elios savent restituer les résultats des tests de manière intelligible pour la direction comme pour les techniciens. Cela passe par un rapport d’audit complet et comprenant notamment : Une synthèse managériale d’une page pour tout comprendre en quelques minutes. Une courte analyse pour comprendre quels sont les risques pour votre organisation par rapport aux vulnérabilités découvertes. Un schéma présentant les vulnérabilités découvertes et les enchainements nécessaires pour parvenir aux risques identifiés. Le détail des vulnérabilités découvertes et les recommandations associées pour permettre à vos équipes de les corriger rapidement.
Des détails...

En résumé

Le coût d’un test d’intrusion peut varier de 4000$ jusqu’à plusieurs dizaines de milliers de dollars. Il dépend principalement :

Du type de test d’intrusion (en boite blanche, grise, noire ou en red team)

Du nombre de systèmes à tester

De la complexité des systèmes à tester

Du niveau d’expertise du prestataire

De la qualité de la restitution

Il existe bien entendu d’autres facteurs pouvant influencer le prix d’un test d’intrusion : urgence à réaliser les tests, technologies utilisées, récurrence des tests, accompagnement pour la remédiation, demande de certifications spéciales, déplacements…Il est à noter que d’autres approches comme le Bug Bounty peuvent répondre aux mêmes problématiques que les tests d’intrusion avec un modèle financier entièrement différent.