Tout savoir sur les pentests

Un test d'intrusion (également connu sous l'anglicisme pentest) est un audit visant à évaluer le niveau de cybersécurité du périmètre audité. Lorsqu'ils réalisent une telle prestation, les auditeurs adoptent le point de vue de l'attaquant et réalisent des attaques informatiques réelles et maitrisées afin d'évaluer la robustesse effective des systèmes ciblés.

À quoi servent les tests d'intrusion ?

Les tests d'intrusion servent à mesurer le niveau de sécurité réel d'un système face à des hackers confirmés. À la différence d'autre type d'audit plus classiques (audits de configuration, audit de code, audit d'architecture, etc.) le test d'intrusion évalue la robustesse du système audité dans son intégralité et dans son contexte.

Quelles sont les étapes d'un pentest

Préliminaire légal

Tout d'abord, une convention et une autorisation d'audit doivent être signées entre l'auditeur et le commanditaire. Si le commanditaire n'est pas lui-même l'audité, ces document devront être tri-partite.

Réalisation de l'audit

Une fois ce cadre légal en place, les auditeurs pourront lancer les premières attaques informatiques. Selon ce qui a été convenu dans la convention d'audit, ils opèreront en boite blanche, grise, ou noire :

• Boite blanche : dans ce type de mission, les auditeurs bénéficient d'un accès privilégié au système d'information. Par exemple, on peut leur fournir des accès administrateurs. Il est recommandé d'opérer de la sorte lorsque l'on veut auditer un système très complexe en profondeur tout en restant dans un temps contraint.
• Boite grise : dans ce type de mission, les auditeurs bénéficient d'un accès non-privilégié aux systèmes ciblés. Typiquement, ils disposeront d'un compte utilisateur normal, sans privilège particulier. Cette modalité d'audit est plutôt bien adaptée pour évaluer la robustesse d'un SI entier face au fameux "stagiaire malveillant" par exemple.
• Boite noire : dans ce type de mission, les auditeurs ne bénéficient d'aucun accès ni d'aucune information spécifique. Cette approche est idéale pour évaluer la robustesse d'un système exposé sur internet (comme un site web) face aux attaques incessantes qu'il subit probablement de la part des hackers du monde entier.

Utilisation des résultats

Lorsque le temps imparti est écoulé, un rapport détaillé est rédigé puis transmis au commanditaire. Ce rapport contient :

• une synthèse manageriale qui permet à toute personne sans compétences techniques avancées de comprendre les éléments clés identifiés lors de l'audit (niveau de sécurité du périmètre visé, vulnérabilités principales et les risques qui leurs sont associés, éléments fondamentaux du plan d'action recommandé).
• un volet technique qui présente le détails des failles de sécurités rencontrées ainsi que des propositions de remédiations.

Les équipes en charge de l'exploitation du système audité doivent ensuite s'approprier le plan d'action proposé dans le rapport. Une fois les actions correctives mises en places par ces équipes, il est pertinent de commander un contre-audit auprès du prestataire ayant initialement réalisé le pentest afin qu'il s'assure que les vulnérabilités identifiées dans le rapport ont bien été comprises et corrigées par l'équipe d'exploitation.

Comment trouver une entreprise de cybersécurité pour faire un pentest ?

Il peut être très difficile d'identifier un prestataire d'audit de confiance pour réaliser un test d'intrusion. En effet, le prestataire va potentiellement se retrouver en possession d'accès importants sur le système d'information audité, et il est donc primordial de s'adresser à une entreprise de confiance.

Un exercice Red Team vise à simuler un attaquant extérieur motivé, ayant un ou des objectifs précis : vol de données stratégiques, extorsion, pillage, espionnage, déni de service, atteinte à l'image de marque, etc. À la différence d'un test d'intrusion classique, généralement restreint à une application spécifique et dans un contexte précis, le périmètre d'un exercice Red Team est habituellement bien plus large.

Objectifs

1. Effectuer une reconnaissance en collectant les informations publiques à la fois sur les collaborateurs et les technologies employées
2. Identifier les services exposés les moins sécurisés, les scénarios permettant de piéger les utilisateurs, les bâtiments les plus vulnérables
3. S'introduire sur le réseau interne au travers d'attaques multiples.
4. Se déplacer silencieusement au sein du réseau, sans se faire détecter par le SOC ou une équipe dédiée (Blue Team)
5. Tester le cloisonnement et la robustesse du système d'information de l'organisation ciblée
6. Compromettre les trophées choisis par le commanditaire

Durant la durée de la mission (de quelques semaines à quelques mois selon l'organisation ciblée et les objectifs fixés) des points d'avancement réguliers sont effectués avec le commanditaire afin de rendre compte de l'avancement.