Sécurité intrusive: Blackbox

Il y a un débat qui revient de temps à autre dans les conversations que j’ai avec d’autres professionnels en sécurité… L’utilité des tests blackbox.

À une certaine époque, où les organisations avaient peu de maitrise de la sécurité de leur infrastructure, ce type de test permettait de faire découvrir aux organisations à quel point il pouvait être facile de retracer de l’information et l’utiliser pour attaquer l’organisation. Maintenant que les organisations ont acquis une certaine maturité quant à leur sécurité, un test d’intrusion blackbox est un moyen de leur dire ce qu’ils savent déjà… Essentiellement de vérifier si l’obscurité des systèmes est suffisante pour les protéger. Ce n’est pas Kerckhoffs qui disait: « Il faut qu’il n’exige pas le secret, et qu’il puisse sans inconvénient tomber entre les mains de l’ennemi ».

Je crois qu’il est plus payant pour tous que le volet blackbox soit remplacé par une “revue d’architecture”, qui essentiellement revient à regarder comment les systèmes sont agencés et y déceler des faiblesses qui pourraient permettre d’exposer les systèmes à des problèmes de sécurité. En une heure, il est possible de déceler plus de problèmes qu’en deux jours de “discoveries” fait en blackbox. Tout le monde en sort gagnant, puisque le praticien peut produire un rapport juteux et que le client a plus d’information à sa disposition pour améliorer sa posture de sécurité.

Rien étant absolu, il y a beaucoup de gens et d’organisations qui ont encore besoin de se faire sensibiliser et l’approche blackbox a des vertus de sensibilisation qui sont indéniable. Il suffit de prendre l’exemple de ces grandes organisations, qui dans l’esprit de plusieurs étaient correctement sensibilisées à l’importance de la protection de leur infrastructure et qui ont connu des avaries important en 2011.