Quantcast
photo 1510915228340 29c85a43dcfe

GUARDEA est la 1ère Communauté d’experts de confiance de la Cyber Sécurité adaptée aux besoins des entreprises CAC40 / ETI / PME, des Collectivités et Institutions publiques. Nous sommes spécialisés dans le pilotage des projets de sécurité numériques et vous accompagnons dans la gestion de vos risques numériques. Nos bureaux sont situés à Marseille et à Paris depuis 2002.


Le test d’intrusion informatique est une composante essentielle dans la protection du système d’information. Il consiste à simuler une attaque pour vérifier la sécurité de tout support : poste de travail, site web, application mobile, objet connecté, serveur, réseau informatique, etc.

Cette technique infaillible et double permet d’identifier les vulnérabilités mais aussi d’en mesurer l’impact en les exploitant. Cependant, il est important de connaître les différentes méthodologies de tests d’intrusion et de les distinguer des autres solutions telles que les scans de vulnérabilités.

Pourquoi réaliser un test d’intrusion ?

  • Avant tout pour identifier et mesurer les risques. En simulant une attaque, le test d’intrusion va identifier les risques d’intrusion potentiels, dont les causes peuvent être : une mauvaise configuration du système d’information, un défaut de programmation, etc.
  • Pour valider la conformité à une norme ou un référentiel
  • Pour fournir des indications sur les mesures correctives à mettre en œuvre pour parer les failles de sécurité qui ont abouti à une intrusion pendant le test
  • Pour valider la sécurité d’un système avant mise en production



Test d’intrusion vs test de vulnérabilités vs audit de sécurité

Les tests d’intrusions n’ont pas les mêmes objectifs que les tests de vulnérabilités :

Un test de vulnérabilités a pour objectif d’identifier des vulnérabilités, tandis qu’un test d’intrusions en plus d’identifier les vulnérabilités, va aussi les exploiter pour en dégager les risques. Il existe aussi les scans de vulnérabilités qui consistent à utiliser un outil automatisé pour analyser une ou plusieurs cibles, dans un réseau interne ou sur Internet.

Le test d’intrusion est une partie de l’audit de sécurité. En effet, ce dernier est plus large et s’effectue en plusieurs phases. Un audit de sécurité est réalisé pour vérifier la conformité à un référentiel de sécurité. Le test d’intrusion évalue la sécurité par rapport aux pratiques de piratage à un instant T. Le test d’intrusion est une des solutions réalisées lors d’un audit.


Comment réaliser un test d’intrusion ?

  • Définir correctement le périmètre d’intervention


Comme énoncé précédemment, le champ d’intervention du test d’intrusion est large mais il est important de bien le définir : adresses IP, postes de travail, URLs des applications. Plus le périmètre d’intervention est bien défini plus les tests sont efficaces et pertinents.

Pour choisir son périmètre, il faut se poser plusieurs types de questions pour mieux cibler les tests : qu’est-ce que je dois protéger ? Quels aspects de la sécurité sont les plus importants à mes yeux ? Dois je protéger la confidentialité des données clients ? La disponibilité de mes services ? L’intégrité des données qui transitent par mes serveurs ?

Le budget est aussi un aspect à prendre en compte dans l’élaboration d’un périmètre d’intervention.

  • Choisir le mode de pentest : « White box » « black box »


Il existe plusieurs méthodologies de pénétration : en mode « black box », l’expert en cybersécuirté ne possède aucune information ou peu d’informations sur la cible. La méthode black box permet d’identifier les menaces provenant de l’extérieur. Le pentester, sans avoir aucune information, doit chercher depuis l’extérieur comment s’introduire dans le système tel un hacker.

En mode « White Box », le pentester travaille en collaboration avec l’équipe technique du système d’information intervenant sur la cible à tester. Le pentester à l’inverse du mode black box va identifier des failles de sécurité de façon plus large et en provenance de son SI en interne comme par exemple les collaborateurs.

Il existe aussi le mode « grey box » qui consiste à associer les deux modes précédemment cités et qui permet d’établir un scénario d’attaque plus poussé. Par exemple, on définit au préalable que le testeur est un ancien collaborateur mais dont le compte est toujours valide.

Les champs d’attaques sont nombreux et peuvent s’étaler dans le temps, les pirates de plus en plus prudents organisent minutieusement leur attaque tout en dissimulant leur présence. L’audit Red Team est le plus connu pour réaliser ce type d’attaque.

Le choix des prestataires ?

Le choix des prestataires est primordial selon la cible à tester. Chez GUARDEA, on se base sur l’expérience et les méthodologies utilisées mais aussi sur l’expérience du pentester.

L’expérience de l’équipe en charge du test d’intrusion va se traduire par ses références antérieures et par la pertinence de ses réalisations. Tel un pirate, le pentester ne se pose aucune limite et doit évoluer et maitriser les méthodologies les plus poussées et les plus actuelles comme le TOP10 de l’OWASP. Penser comme un pirate demande de l’expérience dans les méthodologies mais aussi et surtout de l’ingéniosité.

De plus, il est également recommandé que l’équipe en charge du test ne soit pas intervenue en amont dans la sécurisation des infrastructures ciblées, afin d’assurer une neutralité complète des tests.

fringilla lectus leo. libero ut libero. neque. dictum quis