Comment réaliser un test d'intrusion pour son entreprise ?
Article écrit par
Laurent Fontaine
Temps de lecture estimé : 6 minutes
Le développement des technologies informatiques a entraîné de nouvelles opportunités, mais aussi des problèmes sous-jacents comme l'exploitation de failles de sécurité à des fins malsaines. De ce fait, la cybersécurité constitue une préoccupation majeure des entreprises.
Pour faire face à ces cyberattaques, la prévention est essentielle pour préserver l'entreprise de conséquences irréversibles. Si vous rencontrez régulièrement des problèmes de cybersécurité, voici comment réaliser un test d'intrusion pour vous prémunir de l'intrusion informatique ou de l'intrusion physique dans votre réseau.
01. Définir l'approche idéale pour réaliser les tests
02. Quelles sont les étapes d'un test d'intrusion ?
03. Cybersécurité et audits de sécurité : quels acteurs faire intervenir ?
04. Comment se passe un test d'intrusion ?
01. Définir l'approche idéale pour réaliser les tests
Les audits de sécurité comprennent plusieurs phases de vérification du système architectural de l'entreprise. En règle générale, la reconnaissance et le ciblage du type de vulnérabilité s'imposent avant d'agir.
Trois types de pentest sont réalisables et sont variables en fonction des informations auxquelles les analystes réseaux ont accès. En fonction des objectifs que vous visez, il convient de choisir entre une vérification de la
- Boîte noire
- Boîte grise
- Boîte blanche.
Pentest de la Boîte noire
Les audits de sécurité qui portent sur la Boîte noire sont des études réalisées lorsqu'il existe peu d'informations sur l'attaque à laquelle vous faites face. Techniquement, la Boîte noire fait référence à 2 types de contrôle. Prioritairement, il faut effectuer des contrôles sur le système dans son intégralité. Si l'équipe chargée du test relève certaines irrégularités, il peut être ensuite intéressant de se focaliser sur la cible qui présente des failles de sécurité.
Les tests d'intrusion de la Boîte noire sont les premières tentatives à réaliser en cas d'insuffisance d'informations. Le nom de l'entreprise et une simple adresse IP ou une adresse URL sont suffisants pour réaliser un fast checking. Il importe de garder à l'esprit que dans une telle perspective, le champ d'attaque est très large. En conséquence, il faut effectuer une reconnaissance de chaque élément ciblé. L'idée est de parcourir tous les éléments d'analyse afin de mieux restreindre le champ de vérification.
À l'issue de la phase de reconnaissance, il devient possible d'avoir des informations plus précises sur les types de cyberattaques possibles. Le test d'intrusion est surtout intéressant, car il offre une multiplicité de choix de cibles et permet de se rapprocher réellement d'un cas réel d'attaque malveillante. Au-delà, le pentest peut apporter un regard neuf et une analyse inédite sur des éléments qui auraient pu être sous-estimés par les équipes de développement.
Pentest de la boîte blanche
Pour réaliser un test d'intrusion, il est aussi important de ne pas naviguer à vue. Obtenir un minimum d'informations sur l'infrastructure de l'entreprise peut aussi aider à neutraliser les éventuelles cyberattaques. C'est le but des tests d'intrusion de la boîte blanche. L'intrusion informatique réelle peut intervenir lorsque les assaillants obtiennent des informations sensibles sur la configuration de votre système. De ce fait, à cette étape de l'audit d'intrusion, il est important de faire communiquer aux experts les informations techniques qu'ils sollicitent afin d'aller plus loin dans les vérifications.
En outre, communiquez les documents qui explicitent l'architecture et la configuration de l'entreprise. Notez aussi les identifiants et les accès des administrateurs aux serveurs de la société ainsi que tout ce qui permet d'obtenir le code source des serveurs et des applications. Il convient de remarquer que le test de la boîte blanche n'est pas spécifiquement un test d'intrusion, mais se rapproche plus d'une analyse de sécurité pour repérer des vulnérabilités non décelées par un test d'intrusion.
Pentest de la boîte grise
Dans la démarche pour conduire les tests d'intrusion, il faut aussi envisager des possibilités de piratage internes. En effet, un test d'intrusion système peut aussi être réalisé en ayant certaines informations plus restreintes sur la cible. Le test d'intrusion de la Boîte grise démarre en ayant une certaine compréhension du fonctionnement du système. Techniquement, le périmètre de vérification est restreint et permet de se concentrer sur des volets précis comme les choix qui ont plus de risques, les éléments sensibles, les options accessibles en interne, etc. En outre, ce type d'audit de vérification sert à simuler des cyberattaques orchestrées depuis des postes d'accès clients, des partenaires, des visiteurs ou même en piratant les accès des employés de la société.
02. Quelles sont les étapes d'un test d'intrusion ?
Un audit d'intrusion obéit théoriquement à une méthodologie stricte, mais variable en fonction des situations. Pour intervenir, quatre phases sont indiquées :
- Reconnaissance;
- Mapping;
- Discovery;
- Exploitation.
La phase de reconnaissance consiste à se mettre dans la peau d'un éventuel attaquant afin de sniffer tout type d'informations open sources comme les adresses IP, les noms de domaines et sous-domaines, les types et versions de technologies utilisées, les informations techniques partagées sur des réseaux sociaux ou encore des fuites de données.
Lors de la phase de mapping, il est nécessaire pour les équipes chargées du test, d'identifier les fonctionnalités de la cible et de se focaliser sur les failles critiques. La troisième phase est l'étape d'attaque. À ce niveau, on peut recourir à des outils automatisés couplés avec des techniques manuelles. La phase finale qui est l'exploitation revient à utiliser les failles découvertes comme un rebond pour découvrir d'autres insuffisances dans le système. À ce niveau, l'exploitation permet d'évaluer l'impact réel des failles et le niveau de criticité qui peut leur être attribué.
03. Cybersécurité et audits de sécurité : quels acteurs faire intervenir ?
Les tests d'intrusion dans un système informatique doivent être conduits avec beaucoup de professionnalisme. Dans l'idéal, il est nécessaire de faire appel à des acteurs externes en l'occurrence des pentesters.
04. Comment se passe un test d'intrusion ?
Un test d'intrusion doit prendre en compte tous les cas de figure d'une attaque réelle informatique. Globalement, au cours des phases de reconnaissance, de mapping, du Discovery ou de l'exploitation, toutes les plateformes sont minutieusement contrôlées. Qu'il s'agisse des plateformes web, des applications mobiles, des objets connectés ou de l'infrastructure et des réseaux, l'audit des vulnérabilités doit être complet.
Par ailleurs, il faut aussi tenir compte du facteur humain qui constitue le véritable maillon faible du système informatique. C'est pour cette raison que le test d'intrusion doit aussi comporter un volet de sensibilisation sur les bonnes pratiques afin de prévenir l'intrusion physique dans le réseau.
Apprenez-en davantage, en consultant dès maintenant notre page dédiée sur l'évaluation de risques informatique.
Articles à la une
Ces articles pourraient vous intéresser
13/05/2024
Test d'intrusion : Sécurisez votre système informatique
Découvrir
01/10/2020
Le SOC (Security Operation Center) qu'est-ce que c'est ?
Découvrir