Le blog Exodata

Pentest : définition et méthodologie

Rédigé par Stéphane Jaillet | Jun 7, 2024 8:47:00 AM

Temps de lecture estimé : 18 minutes

Le Pentest ou test de pénétration est un service de sécurité utilisé pour détecter les vulnérabilités des systèmes d'information. Mais concrètement, qu’est-ce qu’un test de pénétration ? Pourquoi en avez-vous besoin ? Voici ce que vous devez savoir.

01. Qu’est-ce qu’un pentest ?
02. Pourquoi effectuer des tests de pénétration et à quelle fréquence ?
03. Méthodes de test de pénétration
04. Qui effectue les tests d’intrusion ?

 

01. Qu’est-ce qu’un pentest ?

Un test de pénétration est une simulation de cyber attaques contre votre système informatique pour vérifier s’il y a des vulnérabilités exploitables.

Un test d’intrusion peut impliquer la tentative de violation de systèmes d’application, tels que les interfaces de protocole d’application (API) ou les serveurs frontaux/arrière-guichet, pour découvrir des vulnérabilités. Ces failles peuvent être des entrées non assainies susceptibles d’être attaquées par injection de code.

Les informations fournies par le test d'intrusion peuvent être utilisées pour affiner vos politiques de sécurité WAF et corriger les vulnérabilités détectées et exploitables par les pirates.

Bien que les tests de pénétrations simulent des méthodes que les pirates utiliseraient pour attaquer un système d’information, la différence réside dans le fait que les pentests sont effectués avec une intention bienveillante. C’est la raison pour laquelle ceux qui conduisent ces tests doivent obtenir l’autorisation de la direction de l’entreprise avant leur mise en exécution. Si les tests d’intrusion ne sont pas correctement planifiés et qu’il manque des composants, il pourrait en résulter une perturbation de la continuité des activités et des opérations quotidiennes de votre entreprise.

 

02. Pourquoi effectuer des tests de pénétration et à quelle fréquence ?

Les organisations devraient effectuer des pentests régulièrement — idéalement, une fois par an — pour assurer une sécurité du réseau et une gestion informatique plus cohérentes. En plus des analyses et des évaluations prescrites par la réglementation, des tests d’intrusion peuvent également être effectués chaque fois qu’une organisation souhaite :

  • Ajouter une nouvelle infrastructure de réseau ou de nouvelles applications.
  • Apporter des mises à niveau ou des modifications importantes à ses applications ou à son système d’information.
  • Établir de nouveaux bureaux.
  • Appliquer des correctifs de sécurité.
  • Modifier les politiques relatives aux utilisateurs finaux.

Toutefois, comme ces tests d’intrusion ne sont pas uniformes, le moment où une entreprise doit procéder à un test de pénétration dépend également de plusieurs autres facteurs :

  • La taille de l’entreprise : les entreprises plus présentes sur Internet ont plus de vecteurs d’attaque et sont donc des cibles plus attrayantes pour les pirates.
  • Le coût des tests : les tests de pénétration peuvent être coûteux, de sorte qu’une entreprise disposant d’un budget plus modeste pourrait ne pas être en mesure de les réaliser chaque année. Une entreprise disposant d’un budget plus modeste ne pourra peut-être effectuer un test de pénétration qu’une fois tous les deux ans, tandis qu’une entreprise disposant d’un budget plus important pourra le faire une fois par an.
  • La réglementation et la conformité : les organisations de certains secteurs sont tenues par la loi d’effectuer certaines tâches de sécurité, y compris le test d’intrusion du SI.
  • Le système de stockages de données : une entreprise dont l’infrastructure est dans le Cloud pourrait ne pas être autorisée à tester l’infrastructure du fournisseur de services dans le Cloud. Cependant, le fournisseur peut effectuer lui-même des tests de pénétration.

Les efforts de test d’intrusion doivent être adaptés à l’organisation individuelle ainsi qu’au secteur dans lequel elle opère et doivent inclure des tâches de suivi et d’évaluation afin que les vulnérabilités découvertes dans le dernier test de pénétration soient notées dans les prochains tests.

 

03. Méthodes de test de pénétration

Les tests d’intrusion externes

Un test d’intrusion externe cible les actifs visibles sur internet d’une entreprise. Ce sont par exemple les attaques en passant par l’application web elle-même, le site web de l’entreprise et les serveurs de courrier électronique et de noms de domaine (DNS). L’objectif ce test est d’essayer d’obtenir l’accès au SI et d’en extraire des données précieuses.

Les tests d’intrusion internes

Les tests d’intrusion internes simulent une attaque interne derrière le pare-feu par un utilisateur autorisé ayant des privilèges d’accès standard. Ce type de test est utile pour estimer l’ampleur des dommages qu’un employé mécontent ou un pirate ayant des accès volés pourrait causer.

Les blind tests

Dans un blind test, on simule les actions et les procédures d’un véritable agresseur en limitant fortement les informations données à la personne ou à l’équipe qui effectue le test au préalable. En général, les pentesteurs ne peuvent recevoir que le nom de l’entreprise. Comme ce type de test peut nécessiter un temps de reconnaissance considérable, il peut être coûteux.

Les doubles blind tests

Les doubles blind tests permettent d’aller plus loin. Dans ce type de test au stylo, seules une ou deux personnes au sein de l’organisation peuvent être au courant qu’un test est effectué. Ces tests peuvent être utiles pour vérifier la surveillance de la cyber-sécurité et l’identification des incidents d’une organisation ainsi que ses procédures de réponse.

Les tests ciblés

Dans cette simulation, le pentesteur et le personnel de sécurité travaillent ensemble. Il s’agit d’un exercice de formation précieux qui permet à une équipe de cyber-sécurité d’obtenir un retour d’information en temps réel.

Le black box test

Ce test est essentiellement le même que le blind test, mais le pentesteur ne reçoit aucune information avant que le test ait lieu. Les pentesteurs doivent plutôt trouver leur propre chemin dans le système.

Le grey box test

Les consultants sécurité vont agir comme un agresseur interne ou externe possédant un accès légitime (compte utilisateur) sur les applications ou les systèmes. Des comptes de tests sont fournis par le client au démarrage de la mission, ceci afin d’auditer les fonctionnalités accessibles uniquement aux utilisateurs authentifiés. Par exemple, pour s'assurer de l'étanchéité (cloisonnement) entre deux comptes utilisateur.

Le white box test

Ce procédé fournit aux pentesteurs des informations sur le réseau cible avant qu’ils ne commencent leur travail. Ces informations peuvent comprendre des détails tels que les adresses IP, les schémas de l’infrastructure du réseau et les protocoles utilisés, ainsi que le code source.

L’utilisation de différentes stratégies de test d’intrusion permet aux équipes de test de se concentrer sur les systèmes souhaités et de mieux comprendre les types d’attaques les plus dangereuses. Cela vous permettra de tirer parti des résultats d'un pentest.

 

04. Qui effectue les tests d’intrusion ?

Il est préférable de faire effectuer un test d'intrusion par une personne qui possède peu (ou pas) de connaissances préalables sur votre système d’information et sa sécurité. Parce que cette personne peut être en mesure d’exposer les erreurs commises par les développeurs qui ont construit le système. C’est pourquoi on fait généralement appel à des prestataires extérieurs. Ces contractants sont souvent appelés des « hackers éthiques », car ils sont engagés pour pirater un système avec une autorisation et dans le but d’augmenter la sécurité.

De nombreux hackers éthiques sont des développeurs expérimentés, titulaires de diplômes de haut niveau et d’une certification pour les tests d’intrusion. Cependant, certains des meilleurs pirates éthiques sont autodidactes. En fait, certains sont des pirates reconvertis qui utilisent maintenant leur expertise pour aider à réparer les failles de sécurité plutôt que de les exploiter. Le meilleur candidat pour effectuer un test d’intrusion peut varier considérablement selon l’entreprise cible et le type de test qu’elle souhaite lancer.

Si vous souhaitez en savoir plus, Exodata, compte plusieurs hackers éthiques spécialisés dans la réalisation de tests d'intrusion entre autres.

 

Conclusion

En fin de compte, le test d’intrusion vaut bien l’investissement pour toute PME qui veut avoir la tranquillité d’esprit en ce qui concerne la sécurité de leur système d’information. Les tests de pénétration peuvent être comparés aux produits qui sont testés avant d’être mis sur le marché. En exemple, les constructeurs automobiles testent une voiture avant de la mettre sur le marché pour s’assurer qu’elle est sécurisante. Pour cela, la voiture est soumise à des simulations d’accident.

Les tests d’intrusion sont comme les tests de sécurité des constructeurs automobiles. Si vous ne testez votre environnement réseau et votre infrastructure par des contrôles de sécurité avant son utilisation et pendant son utilisation de manière périodique, il est impossible de garantir la sécurité en cas d’exploitation par des pirates informatiques. C’est pourquoi les tests de pénétration sont utiles pour les organisations de toutes tailles.