Lorsque l’on pense « sécurité informatique » et cyberattaque, on a souvent l’image du pirate qui opère depuis un lieu tenu secret. Mais le risque n’est pas uniquement externe, loin de là. On peut parfois à tort se sentir en sécurité à l’intérieur de l’entreprise. De nombreuses failles de sécurité peuvent se cacher dans la gestion des utilisateurs, dans les applications utilisées, dans l’infrastructure même du réseau interne… L’ennemi se trouve alors à l’intérieur de l’entreprise. Un employé indélicat ou un prestataire extérieur peut alors exploiter ces failles et accéder à des données sensibles. Le pentest du réseau interne est l’outil idéal pour détecter ces vulnérabilités et les corriger.
De nombreux types de Pentest peuvent compléter le test d’intrusion du réseau interne.
Qu’est-ce qu’un test d’intrusion Réseau Interne ?
Contrairement aux idées reçues, 80% des intrusions et des actes de malveillance proviennent de l’intérieur de l’entreprise. L’auditeur va donc tenter de réaliser une attaque informatique de l’intérieur, dans les mêmes conditions et avec les mêmes droits que s’il était un employé de l’entreprise ou un prestataire y ayant accès.
Les failles de sécurité peuvent se trouver partout en interne. Il peut s’agir d’un droit mal positionné qui permet à un utilisateur d’avoir plus de contrôle qu’il n’en a besoin sur son poste ou d’accéder à des informations dont il ne devrait pas avoir connaissance. La vulnérabilité peut venir d’une application utilisée en interne, hébergée localement ou bien sur un cloud privé. La faille peut aussi bien être logicielle que matérielle. Des proxys ou des routeurs dont le firmware n’a pas été mis à jour peuvent par exemple comporter des brèches de sécurité.
Pourquoi réaliser un pentest interne ?
La menace d’intrusion interne étant bien réelle, il est important de réaliser ce test d’intrusion interne. Il est nécessaire de maximiser la sécurité, d’autant plus qu’une intrusion ne sera pas nécessairement le fait d’une personne malveillante. Une erreur de manipulation de la part d’un utilisateur ayant trop de droits peut également conduire à la catastrophe.
Les intrusions internes, lorsqu’elles sont volontaires, peuvent avoir plusieurs objectifs. L’espionnage industriel est naturellement un risque majeur. Si des données confidentielles étaient transmise à un concurrent ou même simplement rendues publiques, il pourrait y avoir de graves conséquences. Il peut également y avoir une volonté de malveillance de la part d’un employé, d’un prestataire ayant accès au système ou même d’un visiteur invité ponctuellement dans l’entreprise.
Comment se déroule un test d’intrusion Réseau Interne ?
Pour commencer, l’équipe d’auditeurs va définir avec l’entreprise le périmètre couvert par le pentest. L’ensemble du SI et de son infrastructure peut être pris en compte tout comme il est possible de n’en cibler qu’une partie ou même une seule application.
Le type de scénario utilisé sera ensuite décidé. En boîte noire (ou Black Box), les auditeurs vont travailler dans les conditions d’une attaque informatique réelle. C’est-à-dire qu’aucune aide ne leur sera apportée et que personne, hormis quelques décideurs, ne sera au courant qu’un pentest est en cours. Il s’agit du scénario le plus proche d’une situation réelle. En boîte grise (ou Grey Box), les auditeurs sont clairement identifiés et authentifiés sur l’application testée par exemple et vont pouvoir rechercher les failles potentiellement liées aux différents profils utilisateurs disponibles.
Quel que soit le scénario retenu, les pentesters vont ensuite tester et éprouver les systèmes de sécurité afin de tenter de les contourner et d’accéder à des droits supplémentaires pour obtenir des données confidentielles.
Que faire après le test d’intrusion interne ?
A l’issue du pentest, un rapport complet est rédigé par notre équipe d’experts en sécurité. Toutes les informations collectées, failles de sécurité, techniques employées, outils logiciels et matériels, processus… sont décrits et répertoriés. A partir de ce rapport, il sera possible de reproduire l’ensemble des opérations réalisées lors du test d’intrusion interne. Les erreurs relevées et les problèmes identifiés qui en sont à l’origine sont détaillés et expliqués afin que chaque destinataire du rapport puisse en avoir une pleine et entière compréhension.
Des préconisations précises seront également jointes afin que des correctifs efficaces puissent être mis en place. A chaque fois, une étude des risques encourus en cas d’exploitation d’une vulnérabilité et le coût de la correction à apporter (développement, modification des droits utilisateurs, mise à jour logicielle ou matérielle…) seront fournis.
La mise en place des corrections préconisées reste à la discrétion de l’entreprise qui devra alors évaluer le rapport bénéfice/risque. Des priorités pourront être accordées en fonction du coût et du bénéfice d’une correction. Les opérations les moins coûteuses mais qui apportent la plus-value la plus importante sont généralement réalisées en priorité.
Une des manière de déterminer quelles protections mettre en place en premier est de se demander que ferait l’entreprise si les données concernées venaient à être détruites ou divulguées ainsi que les impacts potentiels. On ne traitera naturellement pas de la même façon un site web public ou interne ne comportant que peu ou pas d’informations sensibles, qui peut être restauré rapidement en cas de cyberattaque et les données provenant d’une application de RH ou de CRM.
Vous pourriez également être intéressé par les articles suivants :
Le Pentest web, qu’est-ce que c’est ?
Les organisations ou entreprises, face aux cyberattaques, ont mis en place de nombreuses politiques de sécurité web pour se protéger contre les attaques de pirates.
Pentest d’ingénierie sociale
On dit souvent en parlant de la sécurité que la principale faiblesse vient de l’être humain. Cela est vrai également lorsqu’il s’agit de sécurité informatique.
Pentest Internet des objets – Test d’intrusion IoT
Les entreprises sont conscientes de l’importance de la sécurité de leur système d’information et investissent pour l’améliorer, notamment à l’aide de différents types de tests
Test d’intrusion applicatif
Les applications informatiques sont nombreuses au sein d’une entreprise. Qu’elles soient externes, comme des sites web accessibles au public ou des applications mobiles, ou internes,
Test d’intrusion environnement Cloud
Amazon Web Service (AWS), Microsoft Azure et Google Cloud sont sans doute les plus connus. Les offres d’hébergement cloud sont désormais suffisamment matures pour que
Test d’intrusion Réseau Externe
Les entreprises sont très exposées via les outils numériques. Pour exister, il faut être vu et les sites web ainsi que les nombreux réseaux sociaux
Test d’intrusion Réseau Sans Fil – Wifi
Si beaucoup d’immeubles sont câblés et disposent d’un réseau filaire efficace, les points d’accès Wifi se multiplient malgré tout en entreprise. Pratique, facile à installer