Dans de trop nombreux cas, des organisations ayant subi des cyberattaques malveillantes auraient pu les éviter si les mécanismes de protection des données avaient été meilleurs. Fuite d’informations, accès non autorisé, perte de données personnelles, vol de données d’identité… Il est possible de réduire, voire d’effacer, ces incidents de sécurité SI et ces risques d’attaques en menant des actions proactives de détection des failles de sécurité. Les pentests font partie des meilleures méthodes pour trouver ces vulnérabilités et apporter des solutions de sécurité avant que des cybercriminels ne profitent de cette faiblesse.
Découvrez ce qu’est un pentest, la différence avec un audit de sécurité et une Red Team, les méthodologies utilisées et les phases principales d’un test d’intrusion informatique réussi.
« Pentest » est le diminutif anglais de penetration testing qui signifie « test d’intrusion » ou « test de pénétration ». Il s’agit d’un moyen de tester sous contrainte la sécurité de votre infrastructure informatique (réseaux, systèmes, applications Web, appareils mobiles et tout ce qui se connecte sur Internet). L’idée est de simuler un logiciel malveillant ou des attaques potentielles de hackers sur vos systèmes pour découvrir les failles potentielles de sécurité. Différentes techniques d’intrusion sont utilisées par les fournisseurs de services gérés pour évaluer la sécurité du réseau interne de manière contrôlée.
Ainsi, les systèmes d’exploitation, les services, les applications de même que le comportement de l’utilisateur final sont évalués. Cette évaluation permet de valider les mécanismes de défense existants ainsi que l’efficacité de la politique de sécurité informatique de l’utilisateur final.
Les pentesters sont donc les testeurs d’intrusion, parfois aussi nommés hackers éthiques.
La mise en place de pentests réguliers a pour première et principale raison de garantir la sécurité numérique des utilisateurs et des clients en :
Une autre raison est que les tests d’intrusion (ou tests de pénétration) aident les entreprises à rester à jour dans leurs équipements, réseaux et logiciels. Ceci est d’autant plus vrai en cas d’accroissement d’appareils connectés à vos réseaux informatiques (IoT, l’Internet des objets connectés).
Dans le même esprit, les pentests présentent l’avantage d’aider les entreprises à respecter les exigences réglementaires (notamment le RGPD) et ainsi éviter des amendes. C’est donc aussi un outil permettant de préserver l’image et la réputation des entreprises.
Pour essayer de faire court et simple : lors d’un pentest, le testeur d’intrusion se met dans la peau d’un pirate informatique mettant à l’épreuve l’infrastructure, tandis que lors d’un audit de sécurité informatique l’expert en sécurité réalise une étude approfondie du système d’information. Cette étude est basée sur les échanges avec le DSI et ses équipes de sécurité et l’analyse de la documentation technique.
Cependant, n’allez pas croire que l’un peut remplacer l’autre. En réalité, ce sont deux méthodes différentes d’évaluation des failles critiques. Par ailleurs, les audits de sécurité incluent bien souvent une série de tests d’intrusion afin de déceler les failles et les éprouver. C’est certainement l’un des meilleurs combos permettant de dénicher les points vulnérables, de les exploiter jusqu’au bout comme un vrai hacker et de proposer des solutions pour renforcer la sécurité des infrastructures critiques.
Découvrez les clés pour réussir son audit de sécurité informatique.
Dans l’absolu, un pentest ratisse large pour détecter absolument tous les points vulnérables d’un système d’information. Le Red Teaming, quant à lui, est axé sur des objectifs cibles. Pour se donner une image, on pourrait comparer les pentesters à des membres d’un escadron en débarquement pour envahir un espace et la Red Team (équipe rouge) à une équipe d’unité spéciale en infiltration pour une offensive très stratégique. Bien sûr, ce ne sont que des images, car les testeurs d’intrusion sont également très discrets.
Dans les faits, une équipe rouge teste avant tout la façon dont l’équipe de sécurité d’une organisation réagit face à différentes menaces cybernétiques. Notez qu’un test de sécurité d’envergure par Red Teaming nécessite de plus grandes ressources, notamment humaines, que les tests d’intrusion.
La méthode équipe rouge implique généralement des attaques sophistiquées d’ingénierie sociale (social engineering), le plantage des appareils, le clonage des cartes d’accès et bien d’autres afin de contourner les mesures de sécurité.
Généralement, les experts en cybersécurité divisent les pentests en trois catégories :
Ce sont en fait trois scénarios distincts correspondants à différents types d’attaques externes ou de menaces de cybersécurité.
Aussi appelé attaque par force brute, ce type de simulations place le hacker éthique en position de faiblesse : il ne connaît rien sur l’infrastructure informatique de l’entreprise cible. Dans ce scénario, le pirate lance une attaque globale pour tenter d’identifier les failles et d’exploiter des faiblesses. C’est ce qui peut s’apparenter le plus à la réalité du terrain, mais c’est aussi le plus long.
L’utilisation de l’ingénierie sociale s’impose alors pour tenter de récupérer des données permettant de faciliter les intrusions (mots de passe, authentification, compte-utilisateur). L’expert en sécurité IT doit cependant réaliser un test tout en respectant une certaine éthique et la loi.
À l’inverse du scénario précédent, la technique de test d’intrusion en white box consiste en une connaissance complète de l’infrastructure. Le testeur a accès au code source et à l’architecture logicielle de l’application web, par exemple. Cela peut correspondre à des cas d’ingénierie sociale réussie ou à des fuites de données venant de l’intérieur.
L’intérêt d’un tel test est de mettre en avant et d’éprouver au maximum les failles de la sécurité informatique.
La technique de la boîte grise s’est largement imposée. Dans ce cas de figure, les testeurs utilisent à la fois des protocoles de tests manuels et automatisés. Le testeur d’intrusion a une connaissance partielle de l’infrastructure informatique interne. Il peut, par exemple, connaître le code du logiciel, mais pas les détails de l’architecture système.
Cette forme hybride permet au testeur d’utiliser des outils pour automatiser l’assaut total tout en concentrant son effort manuel sur des trous de sécurité des systèmes d’information ciblés.
La méthodologie du test d’intrusion varie peu d’un prestataire à un autre, bien qu’elle puisse contenir plus ou moins d’étapes et phases. Nous pouvons en dénombrer par exemple 7 pour vous aider à élaborer vos pentests afin d’anticiper les menaces sur la sécurité.
Durant cette phase, l’organisation testée fournit au pentester les informations générales sur les cibles concernées : topologie du réseau informatique, systèmes d’exploitation et applications utilisées, comptes utilisateurs et autres informations pertinentes.
Comme nos testeurs, vous utiliserez les informations recueillies pour collecter des détails supplémentaires auprès de sources accessibles au public. Cette étape du pentest est cruciale, car elle permet de réaliser par la suite des tests approfondis de sécurité du système d’information. Le but étant d’identifier des informations complémentaires inconnues, négligées ou non fournies dans l’étape précédente. L’objectif ici est de rassembler autant de données que possible afin que vous puissiez planifier une stratégie d’attaque efficace.
La reconnaissance peut être classée comme active ou passive selon la méthode utilisée (black box, white box ou grey box). La méthode mixte est souvent utilisée pour former une image complète des vulnérabilités identifiées de la cible.
La troisième étape consiste à détailler les informations collectées afin d’en déterminer la nature à l’aide d’outils d’analyse des risques de piratage informatique. En d’autres termes, les testeurs d’intrusion analysent les faiblesses du système informatique et du réseau, comme le décompte du nombre de ports ouverts par exemple.
L’identification des faiblesses de l’infrastructure est importante pour déterminer les failles des systèmes pouvant être découvertes par ailleurs et être la source d’attaques ciblées. Néanmoins, c’est surtout le test d’intrusion complet qui permet de déterminer le niveau auquel les pirates informatiques peuvent accéder. Détecter la menace pour la sécurité est une chose, mais intervenir humainement par le biais de testeurs en est une autre.
La phase d’évaluation de la sécurité est importante pour améliorer la cyberdéfense de l’infrastructure et prévoir le plan d’action. Lors de cette étape, le testeur utilise toutes les données recueillies et analysées ultérieurement pour identifier les vulnérabilités potentielles et déterminer leur possible exploitation par des hackers.
Les référentiels de données de gestion des vulnérabilités du gouvernement et de l’Union européenne sont mis à profit pour la lutte contre la cybercriminalité. On pense évidemment à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ou le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques externes informatiques).
Consultez comment s’informer sur l’actualité de la cybersécurité pour suivre la tendance comme nos ingénieurs.
Place à l’action ! Une fois l’interprétation des résultats d’évaluation des vulnérabilités des systèmes effectuée, nos ingénieurs testeurs d’intrusion lancent l’opération. Comme eux, vous devrez utiliser des techniques manuelles alliant intuition et expériences passées pour valider, attaquer et exploiter les vulnérabilités décelées. Lors de cette phase, vous devrez contourner les mesures de sécurité existantes du système cible : pare-feu, antivirus et systèmes de détection des attaques.
L’objectif est de démontrer que certaines données sensibles peuvent être dérobées à l’insu de la sécurisation des systèmes informatiques mise en place. Les testeurs doivent donc extraire les données confidentielles et d’autres preuves d’intrusion réussie pour les rapports.
Lorsque l’exploitation des failles est terminée, le testeur prépare un rapport documentant les résultats du test d’intrusion. Pour une bonne compréhension de la situation et du niveau de sécurité des réseaux, votre rapport doit contenir des explications précises sur les tests de pénétration effectués :
Le rapport mentionne également la portée des tests de sécurité des informations, les méthodologies employées, les résultats et, bien sûr, les recommandations d’actions correctives. Il peut être lu par le responsable sécurité informatique comme par des responsables non techniques. C’est pourquoi il est important de présenter une partie d’explication générale et une autre plus technique : rapport exécutif et rapport technique.
Le but de toute la manœuvre étant d’utiliser le rapport complet afin de mieux sécuriser les systèmes et l’infrastructure. Pour cela, il est nécessaire de :
