Pentest – Test d’intrusion RED TEAM

Devant la recrudescence des cyberattaques visant aussi bien les sociétés privées que les structures gouvernementales, il est impératif de s’assurer que son système d’information est le mieux protégé possible contre une intrusion informatique. Le pentest, ou test d’intrusion, est un outil particulièrement efficace pour détecter et corriger les failles de sécurité. Il existe plusieurs types de pentests. Nous allons détailler ici le test d’intrusion en mode Red Team.

Qu’est-ce qu’un test d’intrusion Red Team ?

L’objectif d’un test d’intrusion Red Team est de déterminer si une personne extérieure à l’entreprise peut être en mesure d’accéder au cœur d’un système d’information. La sécurité informatique sera testée et mise à l’épreuve. Les capacités de détection et de réaction des équipes seront évaluées. Le pentester tentera d’obtenir l’accès à des informations sensibles, de vérifier s’il peut mettre en péril la productivité de l’entreprise grâce à une cyberattaque ou encore s’il peut infecter le système de façon durable à l’aide d’un malware.

Le pentest Red Team va permettre de mettre en lumière la chaîne complète d’actions pouvant laisser l’opportunité à une personne extérieure de causer des dommages importants au cœur du système d’information de l’entreprise.

Pourquoi mettre en œuvre un test d’intrusion Red Team ?

Un test d’intrusion Red Team va permettre d’évaluer la sécurité informatique de l’entreprise de manière globale. Le test se fera en conditions réelles. L’offensive sera organisée exactement comme le ferait un véritable attaquant. Aucune limite n’est fixée, les équipes chargées des systèmes de sécurité de l’entreprise ne sont pas prévenues.

Tous les types d’intrusion seront testés. Les auditeurs testeront donc aussi bien les accès physiques aux locaux et aux outils numériques que les accès informatiques. Le test d’intrusion Red Team est donc particulièrement complet. Les capacités de détection des équipes internes et les systèmes de cybersécurité seront mis à rude épreuve.

Comment se déroule un test d’intrusion Red Team ?

Comme une véritable attaque informatique, le test d’intrusion Red Team peut s’étaler sur plusieurs mois et mobiliser une équipe de plusieurs auditeurs. Les équipes de cybersécurité ne savent pas quand l’attaque peut avoir lieu.

Le test d’intrusion Red Team rend les cyberattaques beaucoup plus difficiles à détecter puisqu’elles sont étalées dans le temps. Il est plus complexe de relier différents événements entre eux. Un système de détection d’intrusion pourra ne pas être en mesure d’identifier la menace. L’un des derniers exemples en date de ce type de cyberattaque est celle qui a ciblé la Maison Blanche. Elle s’est étalée sur plusieurs mois, rendant difficile sa détection et les investigations, et a abouti à la divulgation de documents sensibles.

Les principales étapes d’un pentest Red Team sont :

• Tentative(s) d’intrusion(s) dans les locaux : est-il possible d’accéder aux locaux de l’entreprise, et donc aux outils informatiques internes (ordinateurs non verrouillés, installation de périphériques malveillants…), en trompant le système de sécurité et de surveillance ou en utilisant l’accès d’un prestataire par exemple ?
• Ingénierie sociale : est-il possible d’obtenir des employés de l’entreprise ciblée des informations sensibles via les réseaux sociaux, sans qu’ils se doutent de la manœuvre naturellement ?
• Identification d’éventuelles vulnérabilités dans le réseau ou dans le système d’information de l’entreprise.
• Exploitation des failles de sécurité identifiées pour accéder au système d’information de l’entreprise.

Quels livrables sont fournis à l’issue d’un test d’intrusion Red Team ?

A l’issue du test d’intrusion, un rapport complet est fourni à l’entreprise.

Il comprend notamment les éléments suivants :

• Une synthèse générale : résumé compréhensible pour les directeurs et les responsables de l’entreprise et analyse de risque globale.
• Un plan d’actions : les actions préventives et correctives sont proposées et priorisées.
• La description détaillée des scénarios suivis : toutes les séquences d’actions sont détaillées, celles ayant réussi comme celles ayant échoué.
• La liste des vulnérabilités physiques et techniques découvertes par les auditeurs : les risques associés sont présentés ainsi que les corrections à apporter et l’effort nécessaire pour les mettre en œuvre.

A partir des livrables fournis par les auditeurs, il sera possible de mettre en œuvre un plan d’actions visant à corriger les éventuelles failles de sécurité identifiées.