Objectifs

• Automatiser l’exécution de tests d’intrusion pour identifier les failles exploitables dans les applications déployées.

• Intégrer ces tests dans des pipelines CI/CD pour garantir que seules des versions sûres du code et des images soient déployées.

• Utiliser des outils tels qu’OWASP ZAP, Nikto et Burp Suite, et savoir choisir l’outil adapté selon le contexte.

• Analyser et interpréter les rapports générés par ces outils afin de prioriser les correctifs.

• Mettre en place des mécanismes de gating dans le pipeline pour bloquer le déploiement en cas de vulnérabilités critiques.

Table des Matières

1. Introduction et Contexte

2. Concepts et Avantages des Tests d’Intrusion Automatisés (Pentesting)

3. Présentation des Outils
    3.1. OWASP ZAP
    3.2. Nikto
    3.3. Burp Suite

4. Intégration dans un Pipeline CI/CD
    4.1. Automatisation avec OWASP ZAP via zap-cli
    4.2. Exemple d’intégration Nikto dans un pipeline
    4.3. Utilisation de Burp Suite pour des tests manuels complémentaires

5. Exemples de Configuration
    5.1. Extrait de Jenkinsfile intégrant OWASP ZAP
    5.2. Exemple YAML pour GitLab CI intégrant Nikto

6. Analyse des Rapports de Tests d’Intrusion
    6.1. Interprétation des résultats et critères de gating
    6.2. Processus de correction et retours d’expérience

7. Études de Cas Professionnels

8. Exercices Pratiques et Corrigés Détaillés
    8.1. Exercice : Automatiser un scan DAST avec OWASP ZAP
    8.2. Exercice : Intégrer Nikto dans un pipeline CI
    8.3. Exercice : Analyser un rapport de Burp Suite et proposer des mesures correctives

9. Quiz de Révision

10. Conclusion et Prévisualisation de la Leçon 17

1. Introduction et Contexte

Les tests d’intrusion automatisés (automated penetration testing) jouent un rôle essentiel dans une stratégie DevSecOps. Ils permettent d’identifier en temps réel des vulnérabilités exploitables en conditions d’exécution. Dans ce chapitre, nous étudierons comment utiliser des outils de tests d’intrusion pour analyser la sécurité des applications déployées, et comment intégrer ces scans dans un pipeline CI/CD pour une vérification continue.

2. Concepts et Avantages

• Tests d’Intrusion Automatisés (Pentest Automation) : Ils simulent des attaques sur l’application pour détecter des failles qui ne seraient pas identifiées par une analyse statique.

• Avantages :

  • Détection proactive des failles exploitées en conditions réelles.

  • Réduction du temps entre le déploiement et la détection de vulnérabilités.

  • Possibilité de bloquer automatiquement le déploiement en cas de détection d’un risque critique.

3. Présentation des Outils

3.1. OWASP ZAP

• Fonctionnalités : Scans automatisés, proxy d’interception, fonctionnalités de fuzzing.

• Utilisation : Peut être utilisé via son interface graphique ou via zap-cli pour l’automatisation.

3.2. Nikto

• Fonctionnalités : Analyse des configurations erronées et des scripts vulnérables sur des serveurs web.

• Utilisation : Simple et rapide pour détecter des failles connues sur un serveur web.

3.3. Burp Suite

• Fonctionnalités : Outil complet pour des tests d’intrusion manuels et semi-automatisés, comprenant un scanner, une interface de proxy et des outils d’analyse.

• Cas d’usage : Pratique pour des audits approfondis et une validation manuelle lorsque nécessaire.

4. Intégration dans un Pipeline CI/CD

4.1. Automatisation avec OWASP ZAP

• zap-cli permet d’intégrer des scans automatisés dans un pipeline.

• Exemple d’une commande :

  bash

  Copier

  zap-cli quick-scan --self-contained http://staging.myapp.com


• En cas d’échec (code différent de 0), le pipeline se bloque.

4.2. Exemple d’Intégration de Nikto

• Un job CI peut exécuter Nikto pour scanner une URL et bloquer le déploiement si des failles critiques sont trouvées.

• Exemple de commande dans un script CI :

  bash

  Copier

  nikto -h http://staging.myapp.com || exit 1


4.3. Utilisation de Burp Suite pour des Tests Complémentaires

• Utilisé souvent en complément pour des tests manuels ou pour analyser des parties spécifiques après un scan automatisé.

5. Exemples de Configuration

5.1. Extrait de Jenkinsfile Intégré avec OWASP ZAP

5.2. Extrait YAML pour GitLab CI avec Nikto

6. Analyse des Rapports et Prise de Décision

• Lecture des Rapports : Comprendre le format (JSON, HTML) et extraire les vulnérabilités critiques.

• Critères de Gating : Définir un seuil de vulnérabilités critiques pour bloquer le déploiement.

• Prise de Décision : Mettre en place des actions correctives (mise à jour de dépendances, modification de configurations).

7. Études de Cas Professionnels

Exemple 1 : Intégration d’OWASP ZAP dans une Pipeline CI/CD pour une Application Fintech

• Contexte : Une application bancaire utilise OWASP ZAP pour scanner un environnement de staging.

• Résultat : Réduction de 70 % des vulnérabilités en production grâce à des alertes en temps réel et des blocages automatiques.

Exemple 2 : Utilisation de Nikto pour Scanner un Serveur Web dans un E-commerce

• Contexte : Un site e-commerce intègre Nikto dans son pipeline pour vérifier la configuration des serveurs web.

• Impact : Détection rapide des failles de configuration et intervention immédiate pour renforcer la sécurité.

8. Exercices Pratiques et Corrigés Détaillés

Exercice 1 : Automatiser un Scan avec OWASP ZAP

Consigne :

• Installer zap-cli et lancer un scan sur une URL de staging.

• Vérifier que le pipeline se bloque en cas de détection de vulnérabilités critiques.

Corrigé :

Explication : Le script lance le scan et, si zap-cli retourne une erreur (vulnérabilités critiques), le pipeline s’arrête.

Exercice 2 : Intégrer Nikto dans un Job de Pipeline CI/CD

Consigne :

• Modifier un fichier .gitlab-ci.yml pour ajouter une étape avec Nikto.

Corrigé :

Explication : Le job exécute Nikto et, en cas d’erreur, le pipeline s’arrête (exit 1).

Exercice 3 : Analyser un Rapport de Burp Suite

Consigne :

• Fournir un exemple de rapport de Burp Suite (extrait simplifié) et identifier deux vulnérabilités critiques.

• Proposer une mesure corrective pour chacune.

Corrigé Exemple :

• Rapport Extrait :

  • Vulnérabilité 1 : Injection SQL détectée sur le paramètre id d’un endpoint.
    Correctif : Utiliser des requêtes paramétrées pour valider les inputs.

  • Vulnérabilité 2 : XSS détecté sur le champ username.
    Correctif : Filtrer et encoder les entrées utilisateur pour éviter l’injection de scripts.

9. Quiz de Révision

1. Quelles sont les principales fonctions d’un outil DAST comme OWASP ZAP ?
   A) Analyser le code source sans l’exécuter
   B) Simuler des attaques sur l’application en cours d’exécution
   C) Générer des images Docker

2. Quel est l’objectif d’un gating dans un pipeline CI/CD lors d’un scan d’intrusion ?
   A) Continuer le déploiement sans vérification
   B) Bloquer le déploiement en cas de vulnérabilités critiques
   C) Envoyer un e-mail de notification uniquement

3. Que fait la commande nikto -h <url> ?
   A) Compile l’application
   B) Scanne un serveur web pour des vulnérabilités connues
   C) Déploie l’application

4. Expliquez brièvement pourquoi l’intégration des tests d’intrusion automatisés est cruciale dans DevSecOps.

5. Quel outil permet d’exécuter des scans automatisés en utilisant des scripts via CLI dans un pipeline ?
   (Réponse ouverte)

10. Conclusion et Prévisualisation de la Leçon 17

Conclusion de la Leçon 16 :
Vous avez appris comment intégrer et automatiser des tests d’intrusion dans vos pipelines CI/CD grâce à des outils tels qu’OWASP ZAP, Nikto et Burp Suite. Ces techniques permettent de détecter et corriger rapidement les vulnérabilités en conditions réelles, renforçant ainsi la posture de sécurité de vos déploiements.

Prévisualisation de la Leçon 17 :
Dans la Leçon 17 (environ 50 pages), nous aborderons la Conformité, Gouvernance et Audits dans une Pipeline DevSecOps. Vous découvrirez comment mettre en place des politiques de sécurité, réaliser des audits continus, et assurer la conformité aux normes et régulations (RGPD, PCI-DSS, etc.) au sein de vos processus CI/CD.