Contrôle 18 — Tests de pénétration
Tester régulièrement les défenses de sécurité par des exercices offensifs contrôlés : tests de pénétration, exercices Red Team et évaluation de la maturité de détection et réponse.
Pourquoi ce contrôle est critique ?
Les tests de pénétration valident l'efficacité réelle de vos contrôles de sécurité. Ils identifient les chemins d'attaque que les scanners automatiques manquent et permettent d'améliorer les contrôles en continu. Ce contrôle est principalement IG2 et IG3 — il requiert soit une équipe interne de sécurité offensive, soit un prestataire spécialisé.
Procédures & outils recommandés
Pour les PME IG1, commencer par une auto-évaluation avec des outils gratuits (Nessus Essentials, OpenVAS). Pour IG2, mandater un test de pénétration externe annuel d'un prestataire accrédité. Les exercices Red Team complets (IG3) simulent des attaquants sophistiqués sur plusieurs semaines.
- Pentest-Tools.com (freemium) — outils pen test en ligne
- Metasploit Community (gratuit) — framework d'exploitation
- Kali Linux (gratuit) — distribution pen test
- OWASP WebGoat (gratuit) — apprentissage sécurité applicative
- HackTheBox / TryHackMe — formation offensive pour équipes sécurité
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 18.1 | Établir et tenir à jour un plan de test de pénétration couvrant la portée, la fréquence et les méthodologies. | IG2 | N/A |
| 18.2 | Effectuer des tests de pénétration externes sur les systèmes exposés au moins annuellement. | IG2 | Réseau |
| 18.3 | Remédier aux vulnérabilités identifiées lors des tests de pénétration selon leur criticité. | IG3 | N/A |
| 18.4 | Valider les contrôles de sécurité via des exercices Red Team simulant des attaquants sophistiqués. | IG3 | N/A |
| 18.5 | Utiliser les résultats des tests pour améliorer le programme de sécurité et les contrôles existants. | IG3 | N/A |
| 18.6 | Tester la capacité de détection et de réponse (Purple Team — Red + Blue team combinés). | IG3 | N/A |
| 18.7 | Réaliser des simulations d'attaques de la chaîne d'approvisionnement (supply chain). | IG3 | N/A |
Application pour les PME québécoises
Pour une PME IG1, les tests de pénétration complets ne sont pas prioritaires — commencer par appliquer les contrôles C1 à C17. Une fois IG1 en place, un test externe annuel (1 500 à 5 000 $) valide l'efficacité de votre programme. Faire appel à un prestataire certifié OSCP ou CEH.
Quiz de validation — 5 questions
1. Pour quelle taille d'organisation les tests de pénétration complets sont-ils prioritaires ?
2. Quelle certification valide l'expertise en tests de pénétration ?
3. Qu'est-ce qu'un exercice 'Purple Team' ?
4. Combien de Safeguards IG2 contient le Contrôle 18 ?
5. Quel outil open source de référence est utilisé pour les tests de pénétration ?
Voir aussi