Démocratisé auprès des PME.
Les entreprises sont de plus en plus conscientes des enjeux concernant la cybersécurité, c’est en partie grâce à cela qu’une majorité d’entre elles souhaite faire évaluer le niveau de sécurité de leur(s) système(s). Pour répondre à leurs attentes, le test d’intrusion se positionne dans le top des bonnes pratiques en matière d’action préventive. La plupart de nos clients faisant appel à nous, souhaitent recourir à ce genre de pratique afin de répondre :
- A la demande d’un grand compte.
- Aux bonnes pratiques en matière de sécurité.
- Aux exigences de conformité d’une certification (ex: ISO 27001).
- Au RGPD afin de vérifier qu’aucune fuite de données ne soit possible.
Qu’est ce qu’un test d’intrusion ?
Un test d’intrusion consiste à évaluer l’hygiène de sécurité d’un système informatique en effectuant des “attaques” qui permettront d’identifier les faiblesses du système audité. De plus, il permet également de proposer des pistes de corrections à mettre en oeuvre afin de combler les vulnérabilités trouvées.
Celui-ci peut être effectué de différentes manières :
- Test en boite noire.
- Test en boite grise.
- Test en boite blanche.
Plus la “boite” s’assombrit et moins l’auditeur qui jouera le rôle de l’attaquant bénéficiera d’information sur la cible à tester. Par exemple, dans le cas d’un test d’intrusion d’une application web possèdant une page d’authentification :
- Avec un test en boite blanche, l’auditeur aura accès au code source de l’application web voire l’identifiant et mot de passe d’un compte administrateur.
- Avec un test en boite noire, l’auditeur n’aura aucune information et devra trouver un moyen de contourner les protections pour accéder à l’espace sécurisé de l’application web.
Une fois le système audité, l’auditeur rédigera un rapport qui fera office de livrable où seront mentionnés : les vulnérabilités décelées, leur niveau de criticité et leur(s) correctif(s) associé(s), etc.
Différences avec un test de vulnérabilté.
Le test d’intrusion se veut différent d’un test de vulnérabilité car il permet une analyse plus détaillée de la cible auditée. Ceci est du principalement au fait que le test de vulnérabilité repose uniquement sur l’utilisation d’outils automatiques qui scannent la cible de manière générique, sans tâche approfondie. À l’inverse, le test d’intrusion allie des phases manuelles et automatiques ce qui permet une détection de vulnérabilités plus importante. En effet, tel est le cas des failles logiques où un simple scanner serait dans l’incapacité de les détecter.
Méthodologie
Un test d’intrusion repose principalement sur 4 grandes phases :
Reconnaissance
La phase de reconnaissance est l’étape initiale de tout test d’intrusion, elle va permettre de récolter passivement et activement des informations concernant la cible auditée, comme par exemple :
- Adresses IP
- Noms de domaine et sous domaines
- Technologies utilisées et leurs versions
La nature de ces informations varie en fonction du système audité.
Ces informations seront d’une aide précieuse car elles serviront à l’auditeur pour les prochaines étapes.
Mapping
La phase Mapping permet de cartographier l’ensemble des informations récoltées afin de procéder à leur analyse. Cette étape apporte de la clarté et de l’organisation au projet.
Analyse et Exploitation
Cette étape consiste à détecter et exploiter des vulnérabilités manuellement où à l’aide d’outil(s) automatisé(s). C’est au moment de l’exploitation de la faille que sa criticité sera définie. Plus l’impact d’une vulnérabilité est importante, plus sa criticité sera jugée comme critique
Reporting
La phase de reporting est une étape importante du test d’intrusion, elle constitue l’étape où le pentester rédigera un rapport qu’il restituera par la suite au client. Ce document inclura bien évidemment les vulnérabilités découvertes, leur niveau de criticité et leur(s) correctif(s) associé(s). D’autres points seront également présents comme une synthèse technique résumant les vulnérabilités décelées et une synthèse non technique où sera indiqué le niveau global de sécurité du système audité. Ce dernier point est en général à destination du personnel faisant partie du service de direction de l’entreprise qui n’a pas les compétences techniques requises pour appréhender le rapport en entier.