article
done_all
workspace_premium
science
Actualité
Projet
Retour d'expérience
Parole d'expert
timer
16
minutes de lecture
SAnté
Retail & luxe
Énergie & environnement
Banque & assurance
Comité éditorial
-
5/7/24
Dans un contexte de numérisation croissante et de recours massif à des services à distance depuis le début de la crise sanitaire, le nombre de cyberattaques a été multiplié par 4 en 2020 d’après l’Autorité Nationale de la Sécurité des Systèmes d’Information (ANSSI). En moyenne, les failles de sécurité coûtent plus de 3,8 millions d’euros chaque année aux entreprises françaises.
La tendance actuelle est donc au renforcement des exigences de sécurité.
Pour bien protéger ses infrastructures, il est important de rester aux aguets de toutes les nouvelles tendances. Mais, même lorsque l’on suit toutes les bonnes pratiques et recommandations, il y a toujours de la place pour de l’amélioration. Le meilleur moyen de parer aux nouvelles méthodes de piratage et d’intrusion pratiquées par les hackers est de s’en prémunir en réalisant des tests s’apparentant le plus possible à ce qui se produit dans la réalité. Pour cela, réaliser des audits de sécurité est devenu essentiel pour toutes les entreprises, petites comme grandes. Plus personne n’est épargné !
Il existe plusieurs types d’audits de sécurité, dont principalement : les audits organisationnels, les audits techniques et les tests d’intrusion.
Nous allons aujourd’hui nous focaliser sur les tests d’intrusion en définissant en quoi cela consiste, pourquoi et comment les réaliser ainsi que la méthodologie à suivre et les avantages d’une telle démarche.
Communément appelé « pentest » (de l’anglais « Penetration Testing »), le test d’intrusion est un audit de cybersécurité dont l’objectif est de mettre à l’épreuve une application ou un système d’information face à des attaques réalistes.
Cette méthode est utilisée en sécurité informatique pour identifier les vulnérabilités d'un système d'information. Le test d'intrusion consiste à se mettre dans la peau d'un pirate (hacker) malveillant et d'essayer de pénétrer une cible donnée qui sera, dans ce cas, le client.
La cible peut être de différent type : une IP, une application, un serveur web ou encore un réseau complet.
Un test d’intrusion peut inclure des tests en boite noire, en boite grise ou en boite blanche. Les tests en boite noire ciblent la surface d’attaque accessible à n’importe quel attaquant externe, tandis que des tests en boite grise vont concerner des éléments disponibles uniquement à des clients, des partenaires ou des salariés d’une entreprise. L’audit en boite blanche quant à lui permet d’analyser le niveau de sécurité en disposant des mêmes accès qu’un administrateur du système (serveur, application…).
Grâce à ces tests en découle un rapport indiquant les vulnérabilités identifiées et classifiées par niveau de criticité ainsi qu’un plan d’actions à suivre pour remédier techniquement aux vulnérabilités soulevées.
Un test d’intrusion est une démarche bien spécifique, qui apporte des éléments différents par rapport à un scanner de vulnérabilité ou à un audit de sécurité :
Un scanner de vulnérabilité analyse un réseau ou un système à la recherche de faiblesses et de vulnérabilités de sécurité qui pourraient être exploitées par une personne malveillante. En utilisant l’automatisation, le scanner recherche principalement les vulnérabilités logicielles, les défauts dans le code source et les mauvaises configurations des applications web.
Par rapport au test d’intrusion, cela ne couvre donc qu’une partie infime des vulnérabilités possibles, et la démarche d’automatisation limite également les possibilités de découvrir des failles insoupçonnées.
Quant à l’audit de sécurité, il permet d’évaluer la sécurité d’un système ou d’une application par rapport à un référentiel (politique de l’entreprise, textes de loi, normes, références et bonnes pratiques en cours). Un test d’intrusion quant à lui évalue la sécurité non pas par rapport à des normes, mais par rapport aux pratiques réelles de piratage à un instant T.
Le test d’intrusion est donc une démarche de cybersécurité différente et complémentaire des autres démarches.
La plupart des entreprises attendent de soupçonner une cyberattaque ou un piratage pour mener un test d’intrusion. Nous vous conseillons fortement d’être proactif en effectuant un test d’intrusion afin d’être informé à l’avance des menaces qui pourraient peser sur votre organisation.
Après avoir réalisé le premier test, souvent se pose la question de la fréquence. Celle-ci est à adapter selon l’entreprise, la criticité de ses données, les enjeux réglementaires ou encore selon la fréquence des évolutions techniques et fonctionnelles réalisées.
Dans certains cas, le choix sera d’un pentest par mois, dans d’autres cas ce sera un pentest par an.
Une entreprise hébergeant des données de santé sera plus souvent soumise à la réalisation d’un test d’intrusion plutôt qu’un éditeur de logiciel par exemple.
Le PTES est un ensemble générique de bonnes pratiques qui établissent les principes fondamentaux pour la bonne réalisation d’un test d’intrusion. Le mot "générique" est important ici car le PTES peut aussi bien être appliqué lors d’un pentest d’une application mobile que lors d’un test d’intrusion dans les locaux d’une entreprise.
Le PTES décompose chaque pentest en 7 grandes étapes :
Cette phase regroupe l’ensemble des échanges, les accords contractuels et financiers, l’établissement des canaux de communication sécurisés ainsi que la préparation du pentest.
L’objectif est d’établir un cadre légal, technique et organisationnel, validé par le client et le prestataire et ainsi garantir une réalisation à hauteur des attentes des deux parties.
C’est une phase très importante pour chaque pentest car elle permet d’identifier les cibles potentielles, d’amasser des informations utiles lors des étapes postérieures et d’identifier dès le départ de possibles pistes d’attaque via des méthodes telles que l’énumération réseau, l’identification du système d’exploitation, les requêtes Whois, les requêtes SNMP, le scan de ports, etc.). Les informations obtenues sur la cible procurent ainsi de précieuses indications sur les processus de sécurité mis en place.
L’objectif de cette phase est d’identifier les principales cibles au sein d’une entreprise (aussi bien en termes d’actifs qu’en termes de processus) et les sources de menaces les plus probables (leur origine et leur capacités techniques).
Après avoir identifié le type d’attaque le plus efficace à mener contre la cible, il faut maintenant savoir comment y accéder. Au cours de cette étape, les informations collectées lors des phases précédentes sont mises en relation pour déterminer si l’attaque choisie est réalisable. Les informations recueillies grâce à des scans de ports, des scans de vulnérabilités, ou celles issues de la collecte de renseignements sont notamment prises en considération.
La variété de scénarios d’exploitations est très large. Elle dépend du type de pentest et des cibles et peut aller des attaques sur les acteurs humains (phishing, usurpation d’identité) jusqu’à la recherche de failles « 0 day » si toutes les autres méthodes ont échoué en passant par de la rétro-ingénierie, la manipulation de requêtes, la mise en place de scénarios “Man in the Middle” ou le fuzzing (injections de données erronées). Le tout en essayant d’éviter les moyens de protection et de détection en place si les conditions du pentest l’exigent.
Le pentesteur doit toujours vérifier que les techniques d’exploitations utilisées correspondent au périmètre et aux conditions d’engagement convenues avec le client.
La phase postérieure à l’exploitation est une phase critique dans un test d’intrusion. Elle commence après l’intrusion dans le système attaqué et consiste à déterminer sur celui-ci les informations qui ont le plus de valeur. Il s’agit de montrer l’impact financier que pourrait avoir une fuite ou une perte de ces informations sur l’entreprise.
La phase d’élaboration du rapport est sans nul doute la phase la plus importante d’un test d’intrusion, car l’intérêt de sa réalisation doit s’y trouver justifié. Le rapport établit ce qui a été réalisé lors du test d’intrusion ainsi que la manière utilisée. Il doit surtout mettre en lumière quelles sont les faiblesses à corriger et comment le système cible peut être protégé contre de telles attaques.
Indispensable pour tester le niveau de résistance de vos systèmes informatiques en cas d’attaque menée depuis internet. Simule une attaque située à l’extérieur de votre périmètre de sécurité.
Test d’intrusion au sein de votre propre réseau. Simule une attaque provenant d’un employé ou partenaire d’affaires mal intentionné.
Répondez aux menaces et assurez la protection de vos données emmagasinées dans des serveurs grâce à la gestion et l’identification de vos vulnérabilités par un expert à l’externe.
Identification des failles de vos services cloud (Amazon WS, Microsoft Azure, Google Cloud, SalesForce.com, etc.). Simulation de cyberattaque provenant d’un réseau interne ou externe.
Les tests effectués sur des objets connectés permettent de rechercher des vulnérabilités sur l’ensemble des couches de l’écosystème IoT : hardware, firmware, protocoles de communication, serveurs, applications web et applications mobiles.
De nombreux utilisateurs dépendent chaque jour d’applications web comprenant des données sensibles. Des failles de sécurité imprévues peuvent être détectées, pour ça, il suffit d’effectuer des tests d’intrusion SaaS.
En effectuant un test d’intrusion, le niveau de sécurité des réseaux informatiques de votre entreprise est testé, les failles des systèmes qui pourraient être exploités pour voler vos données sont identifiés et l’analyse de la confidentialité et protection de vos données est effectuée.
À la fin du test, un rapport vous est remis détaillant les tests effectués, le niveau de criticité et des recommandations concrètes vous permettant d’améliorer le niveau de sécurité.
L’étape suivante est donc la prise en compte de ces recommandations pour corriger à minima les vulnérabilités les plus critiques. Certains correctifs peuvent également être intégrés dans les projets d’évolutions fonctionnelles et techniques ou implémentés sur d’autres systèmes présentant des similitudes avec la cible des tests.
Un test d’intrusion permet aussi de faire évoluer certaines pratiques, de mettre en place de nouveaux processus permettant de renforcer la sécurité, et d’améliorer le niveau de vigilance de l’entreprise face aux risques.
Parfois, selon les résultats des tests, il est nécessaire de conduire des analyses complémentaires comme des tests d’intrusions plus approfondis ou un audit en boite blanche.
Pour conclure, le pentest est une méthode d’évaluation de la sécurité informatique d’une entreprise qui peut aider une société à améliorer sa protection numérique. Cependant, pour être efficace le pentest doit être préparé, suivi et établi avec une fréquence régulière pour se prémunir des attaques.
Le choix d’un prestataire capable de vous accompagner, dès les premiers échanges et jusqu’à la remise des rapports joue donc un rôle très important.
Infogene est une ESN experte des data critiques et sensibles, nos experts en sécurité informatique vous accompagnent de A à Z sur toute la durée de votre pentest et ce jusqu’à la mise en place des recommandations d’amélioration détaillées dans le rapport final.