C'est une bonne question car je pense que de nombreux endroits abordent mal le test du stylo. Cela est devenu encore pire parce que le niveau exécutif de nombreuses organisations a tendance à croire que le test du stylo est une solution miracle - si vous avez un test apen et que les résultats montrent qu'il n'y a pas eu de pénétration réussie d'un système, alors votre sécurité est OK et nous pouvons tous cocher cette boîte. D'un autre côté, si le test du stylet échoue, alors l'équipe de sécurité ne fait pas son travail. Ce n'est tout simplement pas le cas.
Un test du stylet n'est qu'un outil qui peut être utilisé pour évaluer l'efficacité de vos contrôles de sécurité. Cela ne vous dit pas que tous vos systèmes sont sécurisés et le niveau de confiance que vous pouvez placer dans ce test du stylet dépend fortement à la fois des compétences du testeur du stylet et de la qualité de la spécification et de la planification du test. La pire chose que vous puissiez faire est d'appeler simplement une société de sécurité et de dire "Bonjour, je veux un test de stylet, quand pouvez-vous le faire". Avant d'engager un testeur apen, vous devez avoir une idée claire de ce que vous attendez du test du stylo, de vos priorités et des informations que vous souhaitez dans le rapport final. Vous souhaitez également contacter plus d'un fournisseur. Ce que vous recherchez est une personne capable de démontrer qu'elle possède les bonnes compétences, qui comprend vos besoins et qui est capable de vous fournir un résultat qui peut vous aider à améliorer votre posture de sécurité. Un test au stylo ne doit pas être considéré comme un «test» au sens de réussite ou d'échec. Essentiellement, vous devez avoir une compréhension claire avant le test de ce que sont les notes et à la fin du test, avoir suffisamment de détails et d'informations pour vous aider à vous concentrer sur la façon d'obtenir une meilleure note au prochain test.
L'un des aspects les plus difficiles du test du stylo est que la qualité du pentest varie beaucoup en fonction de la personne effectuant le test du stylo. J'ai changé de société de sécurité principalement parce qu'un employé de la première entreprise
a changé d'employeur et cette personne était une personne dont nous savions qu'elle pouvait faire un bon test pour l'organisation (généralement parce qu'elle était talentueuse et bonne dans son travail et parce qu'elle comprenait notre métier).
Engager un testeur de stylo est en soi un talent. Vous vous améliorerez à chaque fois que vous le ferez à condition d'aborder la tâche avec des objectifs clairs. Connaître votre position actuelle en matière de sécurité n'est qu'une partie de l'équation. Vous devez avoir une idée claire de votre état cible final. Ce que vous attendez du testicule du stylo, c'est une plus grande clarté concernant votre posture actuelle et suffisamment d'informations pour vous aider à développer des plans pour déplacer l'organisation vers l'état souhaité.
Un bon test du stylo vous fournit des détails sur ce qui a été fait, ce qui réussi et ce qui a échoué. Il ne doit pas s'agir simplement d'une liste de vulnérabilités ou de systèmes possibles qui ne sont pas au dernier niveau de correctif ou d'exemples de «mauvaises pratiques». Tout cela peut être obtenu avec de simples évaluations de vulnérabilité. Il devrait fournir des détails complets sur la façon dont l'environnement a été pénétré et des suggestions sur les contrôles qui pourraient être mis en œuvre pour prévenir ou réduire la probabilité de répétition ou l'impact de ces événements. Le rapport de test du stylet doit fournir suffisamment de détails pour que vous puissiez évaluer si un échec d'accès est dû au fait que les contrôles sont adéquats ou parce qu'il n'y avait pas suffisamment de temps alloué ou parce que la portée était trop limitée, etc. À bien des égards, ce que vous recherchez est un partenariat avec le testeur de stylet avec lequel ils travaillent pour améliorer votre sécurité.