(+237) 693 337 018 - 677 036 830 - 661 080 102

Test d'intrusion (whitebox, greybox, etc..)

Image Test d'intrusion (whitebox, greybox, etc..)

Le test d’intrusion est une partie de l’audit de sécurité et consiste à se mettre dans la peau d’un attaquant souhaitant s’introduire dans le système d’information pour y effectuer des méfaits (espionnage, sabotage, etc.). Comme son nom l’indique, le test d’intrusion, ou test de pénétration (pentest) vise à s’introduire sur le réseau ou dans une partie spécifique du réseau. L’objectif du pentester est alors multiple et peu varier selon les contextes :

  • Lister un ensemble d’informations, trouvées d’une manière ou d’une autre, et qui peuvent être sensibles ou critiques
  • Dresser une liste des vulnérabilités ou faiblesses du système de sécurité pouvant être exploitées
  • Démontrer qu’un attaquant potentiel est en capacité de trouver des vulnérabilités et de les exploiter pour s’introduire dans le système d’information. Au delà des vulnérabilités sans relations entre elles, une réelle démarche vise à relever la présence d’un plan d’action amenant de la position d’un attaquant externe à la prise de contrôle du SI ou la possibilité d’y effectuer des actions (espionnage, sabotage, etc.)
  • Tester l’efficacité des systèmes de détection d’intrusion et la réactivité de l’équipe de sécurité, et parfois des utilisateurs (social engineering)
  • Effectuer un reporting et une présentation finale de son avancement et de ses découvertes au client
  • Donner des pistes et conseiller sur les méthodes de résolution et de correction des vulnérabilités découvertes.

Le test d’intrusion porte principalement, mais pas uniquement, sur la partie technique de la sécurité du système d’information (au sens large, comprendre technologique, physique et humain) et moins sur le côté organisationnel / fonctionnel.

Mener une simulation d'attaque pirate pour identifier ses faiblesses

La phase de test d'intrusion permet d'aller au-delà de l'audit de vulnérabilité qui par nature est passif en recensant les vulnérabilités: l'objectif du test d'intrusion est de s'introduire dans votre système d'information, et de fait, tester vos systèmes de sécurité en place. Cette phase permet de reproduire un comportement similaire à celui d'un 'hacker', un pirate informatique s'introduisant dans votre infrastructure et tentant de pénétrer dans les différents éléments de votre système d'information. Les recommandations de nos consultants permettent de mettre en place les contre-mesures nécessaires. Nos rapports tant techniques que managériaux vous aident à comprendre votre exposition aux risques et menaces latentes, et à y remédier selon les priorités constatées.

Le test d'intrusion, la validation ultime de votre sécurité

Le test d'intrusion est l'ultime action permettant de valider le bon fonctionnement de tous vos systèmes de sécurité au sein de votre infrastructure. Le test d'intrusion, menée ou non de concerts avec vos équipes sécurité, permet de simuler une attaque réelle d'un pirate et vise à :

  • analyser l'ensemble des composants techniques faillibles, et les modes opératoires utilisés par un pirate pour s'immiscer dans un système d'information. Cela permet de valider le bon fonctionnement d'outils (firewall, IDS, IPS, etc.) et différents systèmes ainsi que des paramétrages en place.
  • analyser le facteur humain c'est à dire la réponse sur intrusion des équipes en place. d'une part de valider le mode de réponse mis en place au sein des différentes équipes de sécurité, de production et systèmes (réponse sur alerte, sur incident).

Test d'intrusion, l'exploitation des failles de sécurité

Le test d'intrusion va détecter des failles latentes mais surtout de déterminer leur exploitation possible afin de pénétrer par rebond dans différents composants d'un système d'information, à l'instar d'une attaque pirate qui tenterait de voler des informations, détruire des données, compromettre des systèmes en place, etc.

Le test d'intrusion se décline en plusieurs approches complémentaires, selon le contexte et les besoins:

  • test d'intrusion en boîte noire (blackbox pentest): aucune connaissance préalable de l'environnement avant l'attaque effective. Le test d'intrusion est mené an aveugle, et reste véritablement représentatif de tout le processus utilisé par une véritable attaque sur un système d'informatique.
  • test d'intrusion en boîte blanche (whitebox pentest): le test est dirigé sur une cible donnée, ou sur un ensemble de cibles. Par exemple, un test d'intrusion sur un annuaire d'entreprise, ou sur une application de coeur de métier à partir d'un simple compte utilisateur, avec la recherche systématique de l'élévation de privilèges.

Quel que soit le mode sélectionné, avec connaissance préalable ou non de l'environnement, le test d'intrusion permet de déterminer quels sont les maillons faibles dans le SI, de toute nature. Les résultats du test permettent à postériori d'appliquer les mesures correctives nécessaires afin d'améliorer la sécurité de votre système d'information.

Nous avons développé notre propre méthodologie nommée Sécurité Offensive®, qui résulte de la prise en compte des best practices, de l'intégration de l'état de l'art en matière de pénétration de système ainsi que de notre retour sur expérience au fil des nombreux tests d'intrusion effectués au sein d'infrastructures variées au fil des ans.

Régularité des tests d'intrusion

Il est conseillé d'effectuer des tests d'intrusion de manière régulière, les intervalles étant liés à l'envergure de votre système d'information et à la sensibilité des informations stockées dans votre système d'information, ainsi qu'aux impératifs et obligations règlementaires pouvant être liées à votre cœur de métier (ex: banque, finance, etc.).

Il est par ailleurs requis de faire systématiquement un test d'intrusion lors de tout changement majeur sur un système sensible lié à l'activité de l'entreprise, ainsi que pour toute intégration de nouveaux composants afin de vérifier que le comportement est conforme à celui attendu, et ne développe pas un effet de bord générant des vulnérabilités ou de points de faiblesses pouvant porter préjudice à l'ensemble du système d'information.