Rechercher
Fermer ce champ de recherche.
Sécurité du Systeme d'Information

Effectuer un Pentest ou Test d’Intrusion pour améliorer la sécurité informatique

Toutes les organisations, quelle que soit leur taille, sont vulnérables aux Cybers Attaques. Pourtant, peu d’entre elles effectuent régulièrement des tests d’intrusion dits « Pentest » afin d’évaluer leur niveau d’exposition.

Nos experts en sécurité vous accompagnent dans cette démarche pour vous permettre d’identifier les principales menaces et de renforcer la sécurité de votre Système d’Information.

NOTRE EXPERTISE

  • Des consultants spécialisés et passionnés par la sécurité
  • Une veille continue des dernières vulnérabilités pour alimenter notre base de connaissance
  • Une méthodologie élaborée par GPLExpert basée sur les respects des standards actuels

VOS BÉNÉFICES

  • Une équipe dédiée sur l’ensemble de l’audit
  • Un accompagnement adapté au contexte de votre structure
  • Un rapport complet avec des préconisations techniques et organisationnelles
Sommaire

Qu'est-ce qu'un pentest ou test d'intrusion ?

Pentest Test Intrusions Systeme Information

Le pentest est un test d’intrusion informatique qui consiste pour l’auditeur à tester la sécurité du SI afin de déterminer s’il est vulnérable à une attaque.

Contrairement à une attaque malveillante, il s’agit plutôt d’une attaque « éthique ». L’objectif n’est pas de causer des dommages à l’entreprise ou de lui voler des données confidentielles, mais d’identifier les failles de sécurité informatique et proposer un plan d’actions cohérents pour les corriger.

L’objectif : Éviter ainsi qu’un hacker beaucoup moins éthique ne puisse s’introduire à son tour dans le système informatique.

Un point sur la sécurité informatique en 2020

Le nombre de cyberattaques n’a cessé d’augmenter ces dernières années. Plus de 60% des entreprises dans le monde auraient été victimes d’une ou plusieurs cyberattaques en 2018 (et plus de 80% des entreprises françaises d’après Cisco). Il est plus que probable que leur nombre continue d’augmenter avec la démocratisation des objets connectés. Chaque cyber incident a un coût pour l’entreprise, pouvant aller de quelques centaines de milliers à plusieurs millions d’euros, en fonction de la taille de l’entreprise et de l’importance des dommages causés. Chaque minute compte, et lorsqu’une entreprise ne peut plus travailler correctement, elle perd de l’argent. La cybersécurité doit donc être au cœur de la stratégie de l’entreprise. Les équipes internes, les services informatiques, sont rarement suffisamment formés et à la pointe en termes de sécurité informatique. Faire appel à des experts extérieurs est sans doute la meilleure solution pour tester la sécurité d’un système informatique. Ils disposent des connaissances, de l’expérience et des meilleurs outils de pentest.

Depuis l’entrée en vigueur le 28 mai 2018 du Règlement Général sur la Protection des Données, ou RGPD, les obligations légales des entreprises en matière de sécurité informatique et de protection des données personnelles ont été renforcées. Si une entreprise fait l’objet d’une cyberattaque, elle a le devoir de déclarer toute fuite ou perte de données personnelles. Ces données peuvent concerner aussi bien les salariés, les clients que les fournisseurs et les partenaires. Longtemps ces attaques ont été passées sous silence, désormais elles doivent être déclarées. Il est donc primordial pour toute entreprise de s’assurer de la sécurité du SI. Les conséquences de la compromission des données stockées peuvent être dévastatrices en termes de crédibilité et d’image de l’entreprise et entraîner ainsi d’importantes pertes financières.

La sécurité informatique doit être pensée globalement dans l’entreprise. Elle ne concerne pas uniquement le réseau et les serveurs. Il faut également prendre en compte les accès physiques à l’entreprise. Portes sécurisées, badgeuses… et habitudes des salariés. Les pirates informatiques améliorent sans cesse leurs techniques, peaufinent leurs outils. Le pentest est sans doute le meilleur outil pour identifier les failles, anticiper les attaques potentielles et optimiser la sécurité du SI.

Quels sont les objectifs des tests d'intrusion ?

L’objectif principal d’un test d’intrusion est d’identifier les failles de sécurité du SI et de prendre les mesures nécessaires afin de réduire les risques. L’estimation des risques est propre à chaque entreprise et à chaque SI.

Les raisons de mener ce type de test sont nombreuses, tels que la sensibilisation des équipes ou le renouvellement d’une certification par exemple, pour en savoir plus, consultez notre document : Pourquoi faire un pentest ?

Les objectifs peuvent varier selon la période ainsi que la fréquence de réalisation des tests d’intrusion.

Les tests d’intrusion vont permettre d’identifier les risques susceptibles de nuire à l’activité de l’entreprise (ex. serveur sensible au Ddos, absence de politique de mot de passe…). Une cyberattaque peut paralyser tout ou partie du système informatique et empêcher l’entreprise de fonctionner convenablement.

Une fois l’ensemble des risques identifiés et priorisés, un plan d’action sera défini. Les actions à mettre en place peuvent concerner aussi bien les aspects techniques du système d’information que les aspects organisationnels et humains de l’entreprise.

Qui peut réaliser ce type de test d'intrusion ?

Réaliser des tests d’intrusion demande des connaissances et des compétences techniques particulières. L’auditeur doit également posséder un sens de l’éthique professionnelle puisqu’il va être amené à identifier des failles de sécurité informatique pouvant mettre à mal l’entreprise si elles venaient à être connues et exploitées.

Ses compétences et son expérience vont au-delà de l’informatique. Il ne doit pas seulement connaître les tactiques offensives et les techniques défensives des pirates, il doit avoir une réelle expérience de production et d’exploitation systèmes, réseaux et applicatifs.

Les types de test d’intrusion

Afin de tester l’ensemble du périmètre du SI, de nombreux types de tests d’intrusion sont réalisés. Ils couvrent entre autre, les réseaux internes et externes, les réseaux sans fil (wifi), les sites web ainsi que l’ingénierie sociale.

Méthodologie de mise en œuvre d'un pentest

La mise en œuvre de tests d’intrusion ne s’improvise pas et demande beaucoup de rigueur. Elle se décomposer en plusieurs phases distinctes.

La reconnaissance (ou la "recherche passive")

Le pentester commence par recueillir un maximum d’informations sur l’entreprise ciblée. Toutes les informations obtenues sont publiques. Elles proviennent des sites et articles concernant l’entreprise référencés dans les différents moteurs de recherche (dans plusieurs pays et dans plusieurs langues) ou encore des publications présentes sur les réseaux sociaux. Ces données peuvent provenir d’internautes mais également de l’entreprise elle-même. Il existe plusieurs outils permettant au pentester de rechercher et d’agréger de façon plus ou moins automatique toutes ces données. Il ne lui reste alors qu’à les exploiter.

L'inventaire - Tests d'exposition (ou la "recherche active")

Durant cette phase, le pentester va réaliser un inventaire le plus complet possible de toutes les ressources de l’entreprise, et de son système d’information pour être plus précis. Il s’agit d’identifier les services ouverts sur un serveur, les technologies employées et parfois même leurs versions ou les points d’accès extérieurs au réseau interne de l’entreprise (pour permettre par exemple l’accès au réseau pour les salariés en télétravail).

A l’aide de ces résultats, il sera en mesure de chercher d’éventuels points faibles sur les installations critiques de l’entreprise.

L'identification des vulnérabilités

À partir de l’ensemble des informations collectées, le scan de vulnérabilités permet au pentester, d’identifier d’éventuelles failles.

Les dix risques de sécurité principaux référencés par l’OWASP (Open Web Application Security Project) sont bien entendu systématiquement testés, mais un pentester expérimenté ne s’arrêtera pas à cette liste et recherchera d’autres failles.

L'exploitation des vulnérabilités

Une fois les vulnérabilités identifiées, le pentester effectuera des tests d’intrusion. L’objectif à ce stade est de s’introduire dans le système. Pour cela, il est possible de s’appuyer sur des bases de connaissances référençant les principaux problèmes de sécurité informatique et la façon de s’en servir.

Naturellement, chaque cas étant spécifique. L’expérience du pentester lui permettra d’adapter la façon d’exploiter une faille spécifiquement à l’infrastructure de l’entreprise ciblée. S’il y parvient, il disposera alors d’une porte d’accès au système d’information de l’entreprise.

L'élévation des privilèges du pentester

L’objectif principal d’un pentester est de remonter à la surface du système informatique pour obtenir des droits d’administration (ou élévation des privilèges) afin de pouvoir accéder au plus grand nombre d’informations et de réaliser des actions nécessitantes des droits particuliers.

Cette phase est particulièrement délicate et nécessite des connaissances et compétences particulières. Le pentester doit en effet s’adapter en fonction de nombreux paramètres (système d’exploitation, type de serveur…)

La rédaction du rapport

A l’issue du pentest, un rapport complet sera rédigé. Ce documentera précise la méthodologie employée, les différentes failles de sécurité informatique identifiées et les actions nécessaires pour les corriger.

Ce rapport mettra en perspective les failles détectées et les risques pour l’entreprise. A partir de ces informations, un plan d’action va pouvoir être mis en place en fonction des priorités définies.

Les équipes offensives et défensives

L'équipe offensive : Red Team

De facto, le pentester est responsable de l’équipe Red team. Il s’agit du groupe qui effectue l’audit (dans la peau de l’attaquant), à la recherche des vulnérabilité pour s’introduire sur le système cible. Le test d’intrusion sera conduit comme une véritable attaque contre l’entreprise.

D’une manière générale (sauf si le client l’interdit), toutes les attaques sont autorisées : OSINT, scan, recherche de vulnérabilités techniques mais également intrusion physique, et campagne d’ingénierie sociale.

Le principal objectif : déterminer qui est susceptible d’accéder au système informatique de l’entreprise (employés, fournisseurs, livreurs, prestataires…) et identifier les mesures de protection actuellement en place.

L'équipe défensive : Blue Team

L’équipe Blue Team désigne l’équipe en charge de déployer et de maintenir en condition opérationnelle les solutions de sécurité, de prévenir, surveiller et d’analyser les attaques et de répondre aux éventuels incidents.

Cette équipe est représentée par le client. Lors d’un audit de sécurité, chaque réponse apportée à une menace sera évaluée : formation et sensibilisation du personnel, antivirus, algorithmes de chiffrement…

L'équipe de coaching : Purple Team

L’équipe Purple Team désigne le médiateur (et formateur). Son objectif consiste à aligner les objectifs Red Team et Blue Team pour améliorer la défense du SI en créant une coopération vertueuse.

La Purple Team entraine l’équipe Blue Team en réalisant des tests d’intrusion et propose des actions à mettre en œuvre pour pour l’aider à optimiser sa défense.

Mais l’équipe Purple Team permet également à l’équipe Red Team d’affiner ses méthodes d’attaques pour s’adapter de manière continue aux solutions de sécurité.

In fine, la réussite ou l’échec de l’intrusion est une victoire pour l’amélioration continue de la sécurité du SI.

Les différentes approches de pentest : Black Box, White Box, Grey Box

Si la structure d’un pentest est toujours la même, il en existe plusieurs approches. Quelle que soit la méthodologie retenue, le périmètre et les scénarii du test d’intrusion doit être décidé en amont.

Les différence entre un pentest Black Box, Grey Box et White Box

Chacune de ces 3 méthodologies présentent des caractéristiques différentes. Le choix s’effectuera selon différents critères, tel que les objectifs, les délais, la situation, …
Pour mieux comprendre les différences ou effectuer votre choix, découvrez les différences entre le Pentest Black Box, White Box et Grey Box.

Pentest avec la méthodologie Black Box

Le pentesteur débute son test d’intrusion BlackBox sans aucune information préalable à l’instar d’un pirate informatique. Les phases de reconnaissance et l’inventaire sont donc capitales afin de pallier le manque d’information.

Cette approche est la plus utilisée pour identifier les risques d’attaque externe.

Pentest avec la méthodologie Grey Box

Dans le cas d’un pentest Grey Box, seul un nombre restreint d’informations est porté à la connaissance de l’auditeur. L’avantage est de pouvoir réduire la durée des phases de reconnaissance et de cartographie pour privilégier les tests au cœur du système cible.

Cette méthode offre une grande polyvalence et permet de se mettre à la place d’un utilisateur classique.

Pentest avec la méthodologie White Box

La méthodologie White Box consiste à porter à la connaissance du pentesteur toutes les informations utiles pour réaliser les tests les plus poussés possible. Cette méthode repose sur une étroite collaboration entre les équipes chargées de la sécurité, souvent désignées par le nom de « Blue Team ». Cette méthode permet de détecter les vulnérabilités du SI de manière bien plus complète et précise.

Les facteurs de réussite du pentest

L’objectif du pentest est d‘améliorer la sécurité du système d’information de l’entreprise sur la base de tests effectués en conditions réelles, sur un périmètre plus ou moins restreint. Cet objectif ne peut être atteint que sous certaines réserves.

La première des conditions concerne la gestion du projet. En effet, la période de préparation des tests d’intrusion se révèle particulièrement propice aux échanges entre les différents intervenants.

L’audit va nécessairement mettre en évidence certaines vulnérabilités (techniques, humaines ou organisationnelles). A ce titre, le rapport ne doit pas être considéré comme un jugement sur la gestion de la sécurité, mais comme une critique constructive sur l’ensemble du SI.

Pour ce faire, l’auditeur fera preuve d’une grande capacité d’adaptation et de communication afin d’accompagner les équipes internes. Il restera bienveillant tout au long de l’expérience. Le secret de la réussite du pentest est basé sur : la communication, la collaboration et la coopération entre les différents intervenants.

Nos contrats et offre commerciales de test d'intrusion

Nos consultants réalisent des audits de sécurité, selon les méthodologies définies en amont. Il peut s’agir d’un test interne (audit de votre réseau local, sécurité physique…) ou externe dans la peau d’un pirate informatique qui chercherait à compromettre vos informations, à distance.

Nos offres répondent aux prérequis des autorités et institutions (ex. : HOPEN, SEGUR, plan France Relance…) et vous permettront de disposer à la fois d’une cartographie des vulnérabilités identifiées, d’un plan de recommandations associé et de la documentation permettant de prouver la réalisation de la prestation.

  • Nos packs « Audit Flash » permettent d’auditer 1 à 5 adresses IP publiques sur une semaine complète et de disposer d’une restitution et d’un rapport détaillé.
  • Nous proposons également des campagnes d’ingénierie sociale (phishing, faux technicien, intrusion physique, usurpation d’identité…) et des actions de sensibilisation associées.
  • Ces offres peuvent être adaptées en fonction du contexte de votre structure, de vos besoins et de votre budget.

Quelle suite donner en pentest ?

Le rapport final contiendra le périmètre, la méthodologie utilisée, les vulnérabilités identifiées ainsi que leurs impacts potentiels sur l’activité de l’entreprise si elles venaient à être exploitées par un pirate informatique.

Un plan de recommandations sera proposé pour permettre au client d’imaginer un plan d’actions nécessaire à la correction des vulnérabilités et retrouver un niveau de sécurité acceptable.

Après la mise en œuvre des mesures décidées par la Direction, il peut être intéressant de prévoir un nouveau test d’intrusion afin de juger de l’efficacité des correctifs apportés.

La connaissance des principaux risques pesant sur le SI permettra de compléter le plan de continuité et le plan de reprise d’activité de l’entreprise qui sera alors mieux préparée lorsqu’elle devra faire face à une véritable cyberattaque.

Questions / Réponses

L’audit de sécurité n’a pas pour vocation de provoquer volontairement un dysfonctionnement de l’infrastructure cible. Un audit a pour objectif de chercher des vulnérabilités et tenter de les exploiter, cependant, l’informatique n’étant pas infaillible, ce test peut conduire à un dysfonctionnement. Cette situation reste rare mais pas impossible.
Un pentest est un audit qui nécessite une demande d’autorisation préalablement signée par la Direction de l’entreprise avant d’être réalisé. Sur ce document sera stipulé :
  • Le périmètre de l’audit (les adresses IP à tester par exemple)
  • La période de l’audit
  • Les adresses IP autorisées à attaquer le système d’information
Comme précisé dans la question précédente, GPLExpert effectuera une demande d’autorisation d’audit auprès de son client. Il est de la responsabilité du client, de s’assurer que son prestataire est informé de l’audit.
L’ensemble de la documentation est transmise de manière sécurisée selon un protocole défini et validé en amont. Il est de la responsabilité du client d’enregistrer le rapport final dans un espace de stockage également sécurisé car il s’agira d’un document particulièrement sensible.
Deux choix s’offrent au client :
  • Ne pas informer ses utilisateurs : permet au client de vérifier si sa procédure de remontée des incidents est suivie par les utilisateurs du système d’information qui constateraient un dysfonctionnement des outils audités.
  • Informer ses utilisateurs : permet d’être le plus réactif possible quant au rétablissement des outils en cette période de crise sanitaire exceptionnelle.

Découvrez davantage de Questions / Réponses à propos des tests d’intrusion.