Pentest, Phase d’Inventaire – Test d’exposition

Pentest Inventaire Tests d'exposition

Le pentest est un outil particulièrement efficace pour tester la sécurité informatique d’une entreprise. Mais avant de réaliser un test d’intrusion, il peut être intéressant de réaliser un test d’exposition. C’est un bon moyen de procéder à l’inventaire de l’ensemble des ressources informatiques de l’entreprise qui sont accessibles publiquement. L’identification des failles de sécurité en sera ainsi facilitée.

Qu’est-ce qu’un inventaire – test d’exposition ?

Les principaux points vulnérables en termes de cybersécurité pour une entreprise sont situés au niveau des composants exposés au public, sur Internet. L’objectif d’un test d’exposition est de réaliser un inventaire de ces composants et d’en dresser une cartographie complète.

Cet audit va donc permettre d’obtenir la liste exhaustive des ressources informatiques de l’entreprise accessibles depuis l’extérieur. Certains logiciels ou sites doivent naturellement être accessibles au public, ou à un nombre d’utilisateurs restreint grâce à un système d’identification. Mais le test d’exposition va également permettre d’identifier des éléments qui ne devraient pas être accessibles sur Internet et qui le sont pourtant.

Le périmètre d’un test d’exposition n’est pas limité. L’objectif est de recueillir le plus d’informations possible. En revanche, l’inventaire obtenu pourra parfaitement servir de base pour un test d’intrusion ultérieur.

Comment se déroule un test d’exposition ?

Contrairement à un pentest qui se déroulera sur une période et dans des conditions bien définies, le test d’exposition ne nécessite que peu de préparation. L’auditeur va partir du nom de l’entreprise, déterminer les éventuelles marques et noms de domaines liés afin d’élargir ses recherches.

A partir de ces informations, des logiciels spécialisés vont parcourir Internet et collecter toutes les informations disponibles sur les différentes ressources accessibles. Il s’agit d’une technique passive, aucune tentative d’intrusion ou d’exploitation de faille de sécurité ne sera faite lors d’un test d’exposition. Les serveurs, les applications web, les objets connectés ou encore les applications mobiles seront examinés minutieusement et répertoriés dans l’inventaire.

Les différentes données publiques recueillies peuvent être des adresses IP, des noms de domaine, des informations provenant des DNS, des adresses emails, des mots de passe, des numéros de téléphone, des documents accessibles publiquement, des applications web ou encore toute trace laissée sur les réseaux sociaux.

Quels sont les livrables liés à un test d’exposition ?

Une fois l’inventaire complet grâce au test d’exposition, une analyse des données recueillies va être conduite afin de fournir un rapport.

Ce rapport va bien sûr contenir la liste exhaustive des composants exposés. Le risque en termes de sécurité informatique associé à chaque élément de la liste sera détaillé afin de disposer d’un inventaire complet.

Les conclusions sur cette recherche de vulnérabilités seront exposées et détaillées. Les éléments les plus à risques seront mis en avant. Des propositions pourront également être faites pour réduire ou corriger complètement les différentes failles de sécurité identifiées.

Que faire après l’inventaire – test d’exposition ?

A l’issue du test d’exposition, vous disposez d’une liste exhaustive des éléments du système d’information accessibles depuis Internet. Il va être possible dans un premier temps de s’assurer que seul les éléments devant réellement être exposés ainsi le restent. Tous les composants qui devraient uniquement disposer d’un accès en interne pourront être retirés ou sécurisés.

Le rapport d’inventaire peut ensuite servir à définir le périmètre d’un pentest si vous souhaitez aller plus loin dans les investigations. Pour un pentest de type white box par exemple, les auditeurs pourront s’appuyer sur les conclusions du test d’exposition réalisé préalablement pour identifier les cibles prioritaires. Les composants dont l’exposition sur Internet est justifiée seront audités de manière à s’assurer qu’ils ne comportent pas de faille de sécurité exploitable.

Vous pourriez également être intéressé par les articles suivants :