Picus Security : Les tests d'intrusion automatisés ne remplacent pas le BAS

La société de cybersécurité Picus Security a publié une analyse affirmant que les tests d'intrusion automatisés ne peuvent pas remplacer la simulation d'attaques et de brèches (Breach and Attack Simulation, BAS). L'entreprise soutient que les tests d'intrusion automatisés se concentrent sur la validation des chemins d'attaque, tandis que le BAS vérifie si les défenses existantes bloquent ou alertent efficacement sur les menaces.

Picus Security note que les fournisseurs d'outils de tests d'intrusion automatisés les commercialisent comme remplaçant le BAS, soulignant leur capacité à chaîner de manière autonome les vulnérabilités et à cartographier les chemins d'attaque. Cependant, l'entreprise soutient que cela néglige des différences fondamentales, car les tests d'intrusion automatisés prouvent le chemin de l'attaquant mais manquent de visibilité sur l'efficacité de la défense.

Les plateformes de simulation d'attaques et de brèches (BAS) émulent continuellement des techniques d'adversaires réelles, testant si les pare-feux, les systèmes EDR, les règles SIEM et d'autres outils de sécurité les bloquent ou les détectent. De manière cruciale, chaque simulation s'exécute indépendamment, garantissant que les échecs restent identifiables sans interférence des tentatives précédentes.

Selon les données de Picus Security, seulement 14 % de l'activité hostile enregistrée génère une alerte, et seulement 3 % des tentatives d'exfiltration réussissent. Sans BAS, ces échecs restent cachés. Même les solutions de tests d'intrusion pilotées par l'IA ne comblent pas cette lacune, car elles n'ajoutent pas de visibilité sur le fonctionnement des contrôles de défense.

L'entreprise recommande l'utilisation des deux approches : les tests d'intrusion automatisés pour la profondeur offensive et le BAS pour la largeur défensive. Leur intégration via une couche d'intelligence permet une gestion complète de la sécurité.