Les entreprises sont très exposées via les outils numériques. Pour exister, il faut être vu et les sites web ainsi que les nombreux réseaux sociaux existent pour cela. Cependant ce n’est pas sans impliquer de risques, puisqu’une entreprise très visible attire forcément l’attention de personnes malveillantes. En plus d’une visibilité accrue, les points d’accès aux données de l’entreprise se multiplient avec le développement du télétravail et l’utilisation des objets connectés. Il est donc primordial de s’assurer que les pratiques de sécurité informatique mises en place sont efficaces. Rien de tel qu’un test d’intrusion réseau externe pour identifier les failles potentielles et assurer la sécurisation du système et des données de l’entreprise.
Découvrez, en complément, les différents types de Pentest.
Qu’est-ce qu’un test d’intrusion Réseau Externe ?
Pour réaliser un test d’intrusion externe, l’auditeur va se situer à l’extérieur du système d’information de l’entreprise. Avec des attaques informatiques ciblées sur les différents services accessibles depuis Internet, il va tenter de contourner la sécurité afin de pénétrer le réseau de l’entreprise. Les services concernés peuvent aussi bien être hébergés en interne que chez un fournisseur cloud privé.
Le pentester est donc dans la position « classique » du pirate qui tente de pénétrer un système qui lui est interdit afin d’en prendre le contrôle, de causer des dommages afin de pénaliser l’activité de l’entreprise ou bien de voler des données confidentielles. Naturellement, si les méthodes et les outils employés sont les mêmes que ceux des hackers, l’auditeur ne causera aucun dommage et effacera toutes ses traces à l’issue du test.
Objectif d’un pentest externe
L’objectif d’un test d’intrusion externe est de vérifier la sécurité et de tester la vulnérabilité de l’ensemble des éléments de l’entreprise accessibles depuis Internet.
A partir du moment où une application, un site web, un serveur, un point d’accès… est exposé sur Internet, il est susceptible de subir une attaque informatique. En fonction d’un périmètre défini à l’avance, le pentester va soumettre les objectifs préalablement identifiés à une ou plusieurs cyberattaques. Les cibles les plus courantes sont bien entendu :
- les sites web,
- les serveurs de messagerie,
- les espaces de stockage dans le cloud
- ou encore les comptes sur les réseaux sociaux.
Avec un important développement du télétravail ces dernières années, les points d’accès au système d’information de l’entreprise se multiplient. Les salariés se connectent depuis leur domicile ou depuis un espace de coworking à un VPN (réseau privé virtuel) fourni par leur employeur. Ils peuvent ainsi travailler de n’importe où comme s’ils étaient présents dans l’entreprise. Les accès aux VPN vont être testés, même s’ils sont souvent sécurisés. Mais le sont-ils suffisamment ? Et surtout, est-ce le seul point vulnérable ? Beaucoup de ces télétravailleurs se connectent depuis leur domicile. Si les points d’accès aux VPN sont généralement surveillés par l’équipe de sécurité, qu’en est-il du réseau domestique du salarié ? Souvent connecté en Wifi, ce réseau est potentiellement « visible » de l’extérieur de l’habitation.
S’il n’est pas suffisamment sécurisé, un hacker bien renseigné pourra s’y connecter et de là, potentiellement trouver des informations qui lui permettront d’accéder au réseau informatique de l’entreprise.
Déroulement d’un test d’intrusion Réseau Externe ?
Avant même de commencer le pentest, il va falloir en définir le périmètre et ses conditions d’exécution. Le périmètre peut être très large et inclure un maximum de choses ou au contraire se concentrer sur un élément en particulier, comme un site web par exemple. Ensuite, il faut déterminer si le test d’intrusion aura plutôt lieu en black box (les équipes de l’entreprise ignorent l’existence du test et devront détecter une menace réelle et réagir en conséquence) ou en grey box (l’auditeur collaborera partiellement avec l’équipe sécurité).
En fonction du type de test d’intrusion externe et de son périmètre, il pourra se dérouler sur plusieurs semaines et même sur plusieurs mois. Les auditeurs vont conduire méthodiquement des attaques informatiques sur chacune des cibles afin de déterminer leurs vulnérabilités et tenter d’accéder plus loin dans le système. Les ports ouverts qui ne devraient pas l’être vont être utilisés et les versions des logiciels présents exploitées pour tester les failles de sécurité connues.
Quelle suite pour le test d’intrusion externe ?
A l’issue du test, un rapport complet est constitué. Toutes les failles de sécurité identifiées, les techniques, outils et matériels employés vont être décrits précisément.
Des préconisations précises seront jointes afin de proposer une ou plusieurs solutions pour chaque vulnérabilité identifiée. Une étude des risques accompagnera ces préconisations afin de prioriser les travaux à effectuer en fonction du rapport bénéfice/risque estimé.
C’est à l’entreprise ensuite de décider quels travaux devront être effectués et pour quels bénéfices attendus. Les budgets étant rarement illimités, les travaux les moins coûteux et apportant une plus-value importante en termes de sécurité informatique seront certainement à réaliser en premier. Il est également possible de décider que certaines informations ne sont pas vitales et peuvent être perdues ou restaurées facilement.
L’infrastructure informatique d’une entreprise n’étant pas figée, il peut être intéressant de réaliser un pentest externe de façon assez régulière de façon à vérifier l’efficacité des systèmes de sécurité d’une part et d’autre part que de nouvelles vulnérabilités n’ont pas été introduites.
Vous pourriez également être intéressé par les articles suivants :
Le Pentest web, qu’est-ce que c’est ?
Les organisations ou entreprises, face aux cyberattaques, ont mis en place de nombreuses politiques de sécurité web pour se protéger contre les attaques de pirates.
Pentest d’ingénierie sociale
On dit souvent en parlant de la sécurité que la principale faiblesse vient de l’être humain. Cela est vrai également lorsqu’il s’agit de sécurité informatique.
Pentest Internet des objets – Test d’intrusion IoT
Les entreprises sont conscientes de l’importance de la sécurité de leur système d’information et investissent pour l’améliorer, notamment à l’aide de différents types de tests
Test d’intrusion applicatif
Les applications informatiques sont nombreuses au sein d’une entreprise. Qu’elles soient externes, comme des sites web accessibles au public ou des applications mobiles, ou internes,
Test d’intrusion environnement Cloud
Amazon Web Service (AWS), Microsoft Azure et Google Cloud sont sans doute les plus connus. Les offres d’hébergement cloud sont désormais suffisamment matures pour que
Test d’intrusion Réseau Interne
Lorsque l’on pense « sécurité informatique » et cyberattaque, on a souvent l’image du pirate qui opère depuis un lieu tenu secret. Mais le risque
Test d’intrusion Réseau Sans Fil – Wifi
Si beaucoup d’immeubles sont câblés et disposent d’un réseau filaire efficace, les points d’accès Wifi se multiplient malgré tout en entreprise. Pratique, facile à installer