Par Gyorgy Joseph – TheExpert Cybersécurité et Pentesteur chez Squad
Méthode incontournable de l'audit de sécurité, le Pentest (ou test d'intrusion) est réalisé par les entreprises afin d'analyser les systèmes pour en connaître les vulnérabilités, en évaluer les risques et proposer des correctifs. Tour d'horizon du pentest et de sa méthodologie.
Définition
Le Pentest (ou test d'intrusion) est une méthode qui consiste à analyser une cible en se mettant dans la peau d'un attaquant (hacker malveillant ou pirate). Cette cible peut être variée, voire multiple :
- IP,
- application,
- serveur web,
- réseau complet.
Pourquoi faire des test d’intrusion ?
Les objectifs sont clairs :
- Identifier les vulnérabilités de son SI ou de son application,
- Evaluer le degré de risque de chaque faille identifiée,
- Proposer des correctifs de manière priorisée.
Grâce au test d'intrusion, il est possible de qualifier : la sévérité de la vulnérabilité, la complexité de la correction et l'ordre de priorité qu’il faut donner aux corrections.
Le but n'est pas malveillant, mais il est de s'assurer que ces vulnérabilités sont bien réelles et corrigées.
Les catégories de Pentest
On peut diviser les tests d'intrusion en trois catégories principales :
White Box
Les tests boîte blanche débutent avec toutes les informations à disposition de la SI. Ensuite, commence la recherche des vulnérabilités, à l'aide de différents tests techniques, comme la recherche des ports ouverts, la version des applications, etc.
Grey Box
Lors de la réalisation de tests boîte grise, l'auditeur dispose de quelques informations concernant le système audité. En général, on lui fournit un compte utilisateur.
Ceci lui permet de se placer dans la peau d'un « utilisateur normal ».
Black Box
Un test boîte noire signifie que la personne effectuant le test se situe dans des conditions réelles d'une intrusion : le test est effectué de l'extérieur, et l'auditeur dispose d'un minimum d'informations sur le système d'information.
Ce genre de tests débute donc par l'identification de la cible :
- Collecte d'informations publiques : pages web, informations sur les employés, entreprise ayant un lien de confiance avec la cible.
- Identification des points de présence sur internet.
- Écoute du réseau.
Quand faire un test d’intrusion ?
Afin de sécuriser l’infrastructure ou l’application, les tests d’intrusion peuvent être faits à différents moments :
- lors de la conception du projet, afin d’anticiper les éventuelles attaques,
- pendant la phase d’utilisation, à intervalle régulier,
- suite à une cyberattaque pour ne pas que ça se reproduise.
Quel est le but d’un pentesteur ?
L’objectif du pentester est alors multiple, peut varier selon les contextes :
- Lister un ensemble d’informations, trouvées d’une manière ou d’une autre, et qui peuvent être sensibles ou critiques
- Dresser une liste des vulnérabilités ou faiblesses du système de sécurité pouvant être exploitées
- Démontrer qu’un attaquant potentiel est en capacité de trouver des vulnérabilités et de les exploiter pour s’introduire dans le système d’information. Au-delà des vulnérabilités sans relations entre elles, une réelle démarche vise à relever la présence d’un plan d’action amenant de la position d’un attaquant externe à la prise de contrôle du SI ou la possibilité d’y effectuer des actions (espionnage, sabotage, etc.)
- Tester l’efficacité des systèmes de détection d’intrusion et la réactivité de l’équipe de sécurité, et parfois des utilisateurs (social engineering)
- Effectuer un reporting et une présentation finale de son avancement et de ses découvertes au client
- Donner des pistes et conseiller sur les méthodes de résolution et de correction des vulnérabilités découvertes.
De l'audit de sécurité SI au Pentest
Un audit de sécurité est plus large qu’un test d’intrusion. Llors d’un audit de sécurité, la sécurité organisationnelle dans son ensemble est contrôlée, le PRA/PCA, DLP (Data Loss Prévention), la conformité par rapport aux exigences d’une norme (exemple : PCI DSS) ou un référentiel, et également procéder à un audit des configurations, audit de code, et enfin effectuer une analyse des risques (EBIOS, MEHARI, MARION).
L’audit de sécurité s’effectue en plusieurs phases, dont le test d’intrusion ou Pentest.
L’audit de sécurité permet d’évaluer la sécurité d’un système ou d’une application par rapport à un référentiel, constitué généralement par la politique de sécurité informatique de l’entreprise, des textes de loi, des normes, références ou bonnes pratiques en cours.
Le test d’intrusion évalue la sécurité non pas par rapport à des normes, mais par rapport aux pratiques réelles de piratage à un instant T.