Zoom sur le Pentest : un test d’intrusion ? Mais pour quoi faire ?

0

Aussi appelé « test d’intrusion », le pentest est considéré comme un outil de référence dans le cadre d’un audit pour évaluer la sécurité de son réseau.

S’il existe une grande variété de mesures afin de protéger vos équipements, le pentest peut être considéré comme un maillon central de la chaine de votre sécurité informatique. Accompagnant les premiers maillons à mettre en place, comme la mise en pratique de bonnes pratiques en sécurité informatiques, ou l’installation de logiciels pare-feu classiques, antivirus ou même des solutions implémentées d’IA, le pentest vient les compléter, une fois la stratégie de défense mise en place.

Mais alors, qu’est-ce qui fait sa différence et son efficacité ? Comment se déploie un pentest, quelles en sont les méthodes et les étapes ?

  • Première étape : bien distinguer le test d’intrusion des autres solutions qui vous seront proposées : 

Pour bien appréhender ce qu’est un pentest, et à quoi il sert au juste, il faut tout d’abord bien distinguer les termes desquels il faut le différencier.

Par exemple, les tests d’intrusion et audits de sécurité, ce sont deux notions qui peuvent au premier abord paraître similaires mais dont les cadres respectifs ne correspondent pas forcément.

En effet, un audit de sécurité est bien plus large qu’un test d’intrusion : lors d’un audit de sécurité, l’ensemble de la sécurité organisationnelle est passée au crible et des audits de configurations, de code, et une analyse de risques sont alors effectuées.

L’audit de sécurité s’effectue en plusieurs phases, dont le test d’intrusion fait partie.  La différence avec un simple audit de sécurité réside aussi dans la motivation pour la personne qui audite à aller jusqu’à exploiter les failles, montrant ainsi les vulnérabilités du système en temps réel, pour permettre de situer le degré du risque lui étant associé.

En résumé, si l’audit de sécurité automatisé permet de maintenir un niveau de sécurité dans le temps, il est néanmoins nécessaire de régulièrement faire appel à l’humain pour tester les systèmes : c’est alors que le pentest entre en jeu.

Qu’est-ce que le pentest ? Quelles en sont ses étapes ?

Un pentest est une attaque planifiée, une intrusion volontaire d’un réseau de toute taille ou d’un simple équipement dans le but de révéler les vulnérabilités et les failles de l’objet testé.

Celui-ci vise à évaluer et qualifier le niveau de résistance d’un système d’information à des attaques menées depuis l’extérieur de celui-ci, et à apporter un ensemble de recommandations et solutions visant à augmenter le niveau de sécurité de l’infrastructure testée. Pour ce faire, les experts en sécurité, autrement appelés ethical hackers, tentent notamment d’accéder à des données supposées sensibles ou confidentielles.

Aujourd’hui, peu d’organisations et entreprises auditent de manière régulière l’ensemble de leur système d’information et, même si elles s’équipent parfois de solutions de sécurité automatisées, elles ne connaissent donc pas le niveau réel de sécurité de leurs infrastructures. C’est là la grande erreur pour leur sécurité informatique. C’est alors que le pentest – ou test d’intrusion – entre en jeu pour ce faire, et pour donner un vrai panorama des menaces auxquelles l’entreprise pourrait être confrontée en situation réelle.

Ce test d’intrusion permettra de restituer une description précise des vulnérabilités, accompagnée des recommandations de sécurité à mettre en place. Comme nous l’avons vu, ce qui fait réellement la différence et la valeur d’un pentest est l’expertise des experts en sécurité qui vont le mener, ajoutant une vraie valeur ajoutée à un logiciel automatisé, aussi efficace qu’il soit.

Pour présenter de manière la plus précise possible le déroulement d’un pentest, nous partirons de l’exemple d’un test d’intrusion effectué par ITrust. Tout d’abord, il est à préciser que le test d’intrusion externe se déroule en phases successives optimisées, grâce au savoir-faire et l’expérience des consultants d’ITrust (là encore, apparait la valeur ajoutée dont nous vous parlions précédemment). Ces phases sont les suivantes :

  • Découverte et identification de la topologie réseau de l’interconnexion Internet : Scans d’adresses IP et de ports applicatifs, détermination de l’architecture,
  • Recherche et acquisition d’informations et de vulnérabilités : Identifications des versions des systèmes d’exploitation et des applications, identification des failles connues, recherche de failles inconnues, développement de scénarios d’exploitation des failles trouvées,
  • Exploitation des vulnérabilités et tentative d’intrusion : Déroulement des scénarios d’exploitation, rebond vers d’autres systèmes à partir des informations et privilèges obtenus (par exemple un accès à un compte Administrateur),
  • Analyse des conséquences de l’exploitation des failles trouvées, exploitables ou pas,
  • Proposition de contre-mesures à mettre en place, estimation de la durée et des coûts.

L’analyse peut se réaliser selon trois cas, qui peuvent varier selon les attentes de l’entreprise :

  • Premier cas, le testeur se met dans la peau d’un attaquant potentiel, et ne possède aucune information ou peu d’informations sur la cible : nous appelons cet exemple « Pentest en mode Black Box ». En effet, lorsqu’un asseyant débute son attaque, il ne dispose pas de la cartographie complète du SI, de la liste des serveurs, de leurs IP, etc. Le cas Black Box vise donc à trouver et à démontrer la présence d’un plan d’action exploitable par une personne totalement externe à l’entreprise, permettant de prendre le contrôle du système d’information ou de mettre la main sur certaines informations. Le pentester, sans avoir aucune information, doit chercher depuis l’extérieur comment s’introduire dans le système ciblé, comme un vrai pirate l’aurait fait.
  • Second cas, le testeur possède l’intégralité des informations dont il a besoin. C’est ici un « pentest en mode White Box »: ici, le pentester travail en proche collaboration avec l’équipe technique du système d’information ciblé. Le but est alors d’obtenir un maximum d’informations sur le système d’information et d’accompagner l’entreprise dans la détection de vulnérabilités. Un des avantages du mode White Box est que l’on peut alors détecter des failles de sécurité de façon plus large et que le mode Black Box n’aurait pas permis de déceler, par exemple si le pentester n’avait pas atteint un certain stade de l’intrusion.
  • Enfin, il existe un dérivé des modes Black Box / White Box, appelé Grey Box.Dans ce cas de figure, le pentester débute son test d’intrusion avec un nombre limité d’informations, en étant par exemple dans la peau d’un utilisateur du SI.

Il est à noter qu’ITrust mobilise sur les opérations d’audit de sécurité des auditeurs expérimentés qui ont, par ailleurs, mené des projets d’études, de mise en œuvre et de passage en exploitation d’infrastructures techniques. Ces consultants sont des ingénieurs d’abord formés aux domaines techniques des infrastructures, qui ont une capacité à formuler en temps réel un diagnostic de faille technique, et à proposer immédiatement des recommandations d’architecture et des propositions de solutions techniques de résolution/contournement.

Enfin, une fois un pentest effectué, n’hésitez pas à demander une attestation prouvant que vous avez réalisé un test d’intrusion, qui vous apportera une crédibilité supplémentaire concernant votre sécurité informatique.

Vous avez donc ici toutes les cartes en main pour appréhender de la meilleure des façons un test d’intrusion dans votre entreprise. Efficace et éclairante, cette démarche, accompagnée de bons usages en sécurité informatique – et bien sûr de bonnes solutions – pourra vous aider à améliorer la protection de vos réseaux, équipements mais aussi de vos potentiels clients.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply