Temps de lecture estimé : 18 minutes
Le Pentest ou test de pénétration est un service de sécurité utilisé pour détecter les vulnérabilités des systèmes d'information. Mais concrètement, qu’est-ce qu’un test de pénétration ? Pourquoi en avez-vous besoin ? Voici ce que vous devez savoir.
01. Qu’est-ce qu’un pentest ?
02. Pourquoi effectuer des tests de pénétration et à quelle fréquence ?
03. Méthodes de test de pénétration
04. Qui effectue les tests d’intrusion ?
Un test de pénétration est une simulation de cyber attaques contre votre système informatique pour vérifier s’il y a des vulnérabilités exploitables.
Un test d’intrusion peut impliquer la tentative de violation de systèmes d’application, tels que les interfaces de protocole d’application (API) ou les serveurs frontaux/arrière-guichet, pour découvrir des vulnérabilités. Ces failles peuvent être des entrées non assainies susceptibles d’être attaquées par injection de code.
Les informations fournies par le test d'intrusion peuvent être utilisées pour affiner vos politiques de sécurité WAF et corriger les vulnérabilités détectées et exploitables par les pirates.
Bien que les tests de pénétrations simulent des méthodes que les pirates utiliseraient pour attaquer un système d’information, la différence réside dans le fait que les pentests sont effectués avec une intention bienveillante. C’est la raison pour laquelle ceux qui conduisent ces tests doivent obtenir l’autorisation de la direction de l’entreprise avant leur mise en exécution. Si les tests d’intrusion ne sont pas correctement planifiés et qu’il manque des composants, il pourrait en résulter une perturbation de la continuité des activités et des opérations quotidiennes de votre entreprise.
Les organisations devraient effectuer des pentests régulièrement — idéalement, une fois par an — pour assurer une sécurité du réseau et une gestion informatique plus cohérentes. En plus des analyses et des évaluations prescrites par la réglementation, des tests d’intrusion peuvent également être effectués chaque fois qu’une organisation souhaite :
Toutefois, comme ces tests d’intrusion ne sont pas uniformes, le moment où une entreprise doit procéder à un test de pénétration dépend également de plusieurs autres facteurs :
Les efforts de test d’intrusion doivent être adaptés à l’organisation individuelle ainsi qu’au secteur dans lequel elle opère et doivent inclure des tâches de suivi et d’évaluation afin que les vulnérabilités découvertes dans le dernier test de pénétration soient notées dans les prochains tests.
Un test d’intrusion externe cible les actifs visibles sur internet d’une entreprise. Ce sont par exemple les attaques en passant par l’application web elle-même, le site web de l’entreprise et les serveurs de courrier électronique et de noms de domaine (DNS). L’objectif ce test est d’essayer d’obtenir l’accès au SI et d’en extraire des données précieuses.
Les tests d’intrusion internes simulent une attaque interne derrière le pare-feu par un utilisateur autorisé ayant des privilèges d’accès standard. Ce type de test est utile pour estimer l’ampleur des dommages qu’un employé mécontent ou un pirate ayant des accès volés pourrait causer.
Dans un blind test, on simule les actions et les procédures d’un véritable agresseur en limitant fortement les informations données à la personne ou à l’équipe qui effectue le test au préalable. En général, les pentesteurs ne peuvent recevoir que le nom de l’entreprise. Comme ce type de test peut nécessiter un temps de reconnaissance considérable, il peut être coûteux.
Les doubles blind tests permettent d’aller plus loin. Dans ce type de test au stylo, seules une ou deux personnes au sein de l’organisation peuvent être au courant qu’un test est effectué. Ces tests peuvent être utiles pour vérifier la surveillance de la cyber-sécurité et l’identification des incidents d’une organisation ainsi que ses procédures de réponse.
Dans cette simulation, le pentesteur et le personnel de sécurité travaillent ensemble. Il s’agit d’un exercice de formation précieux qui permet à une équipe de cyber-sécurité d’obtenir un retour d’information en temps réel.
Ce test est essentiellement le même que le blind test, mais le pentesteur ne reçoit aucune information avant que le test ait lieu. Les pentesteurs doivent plutôt trouver leur propre chemin dans le système.
Les consultants sécurité vont agir comme un agresseur interne ou externe possédant un accès légitime (compte utilisateur) sur les applications ou les systèmes. Des comptes de tests sont fournis par le client au démarrage de la mission, ceci afin d’auditer les fonctionnalités accessibles uniquement aux utilisateurs authentifiés. Par exemple, pour s'assurer de l'étanchéité (cloisonnement) entre deux comptes utilisateur.
Ce procédé fournit aux pentesteurs des informations sur le réseau cible avant qu’ils ne commencent leur travail. Ces informations peuvent comprendre des détails tels que les adresses IP, les schémas de l’infrastructure du réseau et les protocoles utilisés, ainsi que le code source.
L’utilisation de différentes stratégies de test d’intrusion permet aux équipes de test de se concentrer sur les systèmes souhaités et de mieux comprendre les types d’attaques les plus dangereuses. Cela vous permettra de tirer parti des résultats d'un pentest.
Il est préférable de faire effectuer un test d'intrusion par une personne qui possède peu (ou pas) de connaissances préalables sur votre système d’information et sa sécurité. Parce que cette personne peut être en mesure d’exposer les erreurs commises par les développeurs qui ont construit le système. C’est pourquoi on fait généralement appel à des prestataires extérieurs. Ces contractants sont souvent appelés des « hackers éthiques », car ils sont engagés pour pirater un système avec une autorisation et dans le but d’augmenter la sécurité.
De nombreux hackers éthiques sont des développeurs expérimentés, titulaires de diplômes de haut niveau et d’une certification pour les tests d’intrusion. Cependant, certains des meilleurs pirates éthiques sont autodidactes. En fait, certains sont des pirates reconvertis qui utilisent maintenant leur expertise pour aider à réparer les failles de sécurité plutôt que de les exploiter. Le meilleur candidat pour effectuer un test d’intrusion peut varier considérablement selon l’entreprise cible et le type de test qu’elle souhaite lancer.
Si vous souhaitez en savoir plus, Exodata, compte plusieurs hackers éthiques spécialisés dans la réalisation de tests d'intrusion entre autres.
En fin de compte, le test d’intrusion vaut bien l’investissement pour toute PME qui veut avoir la tranquillité d’esprit en ce qui concerne la sécurité de leur système d’information. Les tests de pénétration peuvent être comparés aux produits qui sont testés avant d’être mis sur le marché. En exemple, les constructeurs automobiles testent une voiture avant de la mettre sur le marché pour s’assurer qu’elle est sécurisante. Pour cela, la voiture est soumise à des simulations d’accident.
Les tests d’intrusion sont comme les tests de sécurité des constructeurs automobiles. Si vous ne testez votre environnement réseau et votre infrastructure par des contrôles de sécurité avant son utilisation et pendant son utilisation de manière périodique, il est impossible de garantir la sécurité en cas d’exploitation par des pirates informatiques. C’est pourquoi les tests de pénétration sont utiles pour les organisations de toutes tailles.