Depuis plusieurs années, les médias relaient des informations sur des cyberattaques ayant visé des entreprises, sur les pertes occasionnées et les fuites de données. Mais ce n’est que la partie cachée de l’iceberg. Beaucoup d’attaques, réussies ou non, passent sous le radar des médias et ne sont jamais portées à la connaissance du public.
La question n’est donc pas « mon entreprise subira-t-elle une attaque ? » mais bien « quand subira-t-elle une attaque ? ».
Il existe des outils pour se préparer. Le test d’intrusion, ou pentest, est sans doute l’un des outils les plus efficaces pour mesurer la vulnérabilité d’un système et lui apporter des solutions de sécurité informatique optimales. Un ou plusieurs pentester (des experts en cybersécurité) tenteront d’infiltrer le système d’information pour en extraire des données sensibles et ainsi identifier les failles de sécurité.
Il existe plusieurs types de test d’intrusion :
Pentest d’ingénierie sociale
La cible d’une attaque de type ingénierie sociale est l’employé lambda de l’entreprise. Divers scénarios sont conçus et mis en place afin de tenter de récupérer des informations utiles auprès des employés sans qu’ils ne s’en rendent compte. Ces informations pourront ensuite être exploitées pour accéder frauduleusement au système informatique de l’entreprise (usurpation d’identité…).
Plusieurs techniques peuvent être utilisées. Elles sont toujours adaptées à l’entreprise ciblée de façon à optimiser les chances de réussite du pentest ainsi que sa pertinence.
Les trois principaux moyens employés par les pirates et donc par les auditeurs lors d’un pentest social engineering sont :
– Le phishing : envoi de messages factices personnalisés pour inciter l’utilisateur à cliquer sur un lien qui l’emmènera vers un site tout aussi factice. L’objectif est de mettre l’utilisateur en confiance et de l’amener de lui-même à communiquer des informations sensibles, comme son identifiant et son mot de passe de connexion à un service spécifique par exemple.
– L’envoi de pièces jointes piégées : le but de l’email est d’amener l’utilisateur à ouvrir une pièce jointe qui paraît inoffensive, comme un fichier PDF ou Microsoft Office par exemple, mais qui est en fait un programme exécutable. S’il est exécuté, ce fichier peut tenter d’installer un traceur, un logiciel d’interception du clavier ou n’importe quel virus ou malware.
– L’usurpation d’identité : il s’agit pour l’auditeur de tenter de se faire passer pour quelqu’un d’autre, soit par email, soit par téléphone, afin d’obtenir de son interlocuteur des informations confidentielles. Le pentester peut par exemple essayer de se faire passer pour un service technique et demander à l’utilisateur de lui communiquer son mot de passe pour réaliser une opération de maintenance.
L’objectif principal d’un test d’intrusion de type social engineering est d’évaluer à quel point les employés de l’entreprise sont sensibilisés aux questions de sécurité informatique et au risque d’intrusion. Il permet également de déterminer la vitesse de réaction des utilisateurs lorsqu’ils détectent une manœuvre frauduleuse et de vérifier qu’ils communiquent en interne pour signaler le risque identifié.
Le Pentest web, Test d’intrusion site web (Pentest site web)
Le site web de l’entreprise est bien sûr une vitrine pour son activité. Mais c’est bien souvent également un outil important pour le développement du business. Il permet d’attirer des prospects, de convaincre de futurs clients et donc de générer directement ou indirectement des commandes et du chiffre d’affaires.
Par définition, le site web de l’entreprise est public et accessible à tous. Il peut donc représenter une cible de choix pour les pirates puisqu’il est facilement atteignable. Le pentest de site web est particulièrement important afin d’identifier les éventuelles failles de sécurité. Il est peu probable qu’un hacker s’intéresse aux images et aux pages HTML du site. En revanche, sa base de données peut contenir des informations exploitables, tout comme certains documents qui pourraient être stockés au même endroit alors qu’ils ne sont pas publics.
Pentest Internet des objets – Test d’intrusion IOT
Les objets connectés sont de plus en plus présents dans nos vies, y compris professionnelles. Entre les bâtiments connectés, les équipements personnels (montre connectée, applications mobiles…) et les équipements professionnels (lunettes de réalité augmentée, vêtements de protection connectés…), les failles de sécurité potentielles se multiplient.
Les différents équipements pouvant être présents et connectés au sein de l’entreprise seront répertoriés, puis des tests d’intrusion réalisés. Les analyses porteront sur le hardware (l’électronique, les composants), le firmware (le logiciel embarqué dans l’objet) et sur les protocoles de communication (ports ouverts, cryptographie…).
Test d’intrusion Réseau Externe
Pour ce type de test, le pentester se situe en-dehors de l’entreprise. Il a à sa disposition toutes les informations accessibles au public. Le test d’intrusion externe va porter notamment sur les services exposés sur Internet. Ils peuvent être hébergés en interne ou chez un prestataire extérieur.
Les éléments ciblés lors d’un test d’intrusion externe sont typiquement les sites web, les serveurs d’emails et bien entendu les points d’accès à Internet comme les VPN et les DMZ.
Test d’intrusion Réseau Interne
Contrairement au test d’intrusion externe, le test d’intrusion interne va se dérouler au sein de l’entreprise. Le pentester aura les mêmes accès et les mêmes droits qu’un employé de l’entreprise. Il va tenter d’exploiter les éventuelles failles de sécurité existant sur le réseau local et sur un éventuel hébergement cloud privé.
L’auditeur va tenter à partir de son poste d’obtenir des droits supérieurs à ceux qu’il devrait avoir. Cela peut commencer par devenir administrateur de son ordinateur, pour ensuite obtenir l’accès à d’autres ordinateurs, à des serveurs et ainsi de suite.
Test d’intrusion du Réseau Wifi
La technologie Wifi a permis une grande avancée pour le déploiement des réseaux d’entreprises. Il est possible de s’installer dans presque n’importe quels locaux sans forcément avoir de travaux importants à réaliser. Plus besoin d’installer de nouvelle prise ou de faire passer de nouveaux câbles réseau dans les gaines ou dans des goulottes souvent peu esthétiques. Le réseau est présent où que l’on se trouve dans les bureaux et il est ainsi très facile de naviguer d’un bureau ou d’une salle à l’autre avec son ordinateur portable. Il est même possible de se connecter au Wifi avec son smartphone, ce qui permet un meilleur débit pour toutes les applications mobiles.
Mais cette facilité pour se connecter au réseau de l’entreprise peut avoir un coût non négligeable en termes de cybersécurité. La portée du réseau Wifi est rarement arrêtée par les murs et il est généralement possible de détecter le point d’accès Wifi depuis l’extérieur. Nul besoin alors d’avoir une connexion physique au réseau de l’entreprise. Il suffit pour le pirate de se positionner suffisamment près des locaux de l’entreprise pour tenter de se connecter en Wifi. Les tests d’intrusion du réseau wifi permettent de se prémunir de ces attaques.
Application Mobile
Beaucoup d’employés sont équipés de smartphones à usage professionnel et/ou personnel. Le nombre d’applications installées est en constante augmentation. Les développeurs de ces applications n’étant pas toujours à l’état de l’art en matière de sécurité informatique, il arrive souvent qu’ils laissent une faille passer.
L’auditeur vérifiera si l’application transfère des données personnelles ou sensibles, la façon dont elles sont stockées ou encore si le serveur hébergeant les informations est lui-même sécurisé (du point de vue des échanges d’informations avec l’application mobile).
Audit d’infrastructure cloud
Le cloud offre de nombreux avantages en permettant notamment d’externaliser une grande partie du système d’information de l’entreprise. Les performances sont au rendez-vous pour un coût inférieur à une gestion interne du système informatique.
Les tests d’intrusion de votre cloud porteront sur la solidité des infrastructures, la configuration des serveurs, la gestion des utilisateurs et leur authentification.
Test d’intrusion applicatif
Une entreprise utilise de nombreuses applications. Qu’elles soient directement liées au métier, à l’activité de l’entreprise, ou qu’elles participent à son bon fonctionnement (RH, paie, comptabilité…), elles peuvent participer à la fragilisation de la sécurité de l’ensemble du système. Les applications doivent être pentestées pour assurer le niveau de sécurité.
Les applications utilisées vont être répertoriées par l’auditeur puis évaluées avant d’être testées. Chaque faille de sécurité détectée fera l’objet d’une tentative d’intrusion afin de déterminer le risque en terme de sécurité.
Le test d’intrusion téléphonie / TOIP
Si les services de téléphonie sur IP sont particulièrement efficaces et permettent de réduire les coûts de communication, ils n’en sont pas moins vulnérables. Le test d’intrusion téléphonie / TOIP est un pentest interne. L’auditeur va tester l’infrastructure téléphonique de l’entreprise et tenter de déterminer si les postes téléphoniques sont bien configurés ou si les données échangées sont correctement sécurisées.
Vous pourriez également être intéressé par les articles suivants :
Comment préparer un pentest ?
L’organisation d’un pentest va permettre de mettre à l’épreuve la sécurité informatique de l’entreprise. C’est une méthode idéale pour identifier d’éventuelles failles de sécurité et
FAQ – Foire aux questions Test d’intrusion
Voici les questions concernant les tests d’intrusion qui nous sont le plus fréquemment posées. Si vous souhaitez nous poser d’autres questions ou obtenir des précisions,
Les différences entre un Pentest Black Box, White Box, Grey Box.
Le choix de la méthodologie de test d’intrusion que nous utilisons en matière varie selon certains critères. Parmi ces critères, la cible à atteindre influence
Pentest – Test d’intrusion BLUE TEAM
S’assurer de la sécurité informatique de son système d’information doit être une priorité pour toute entreprise. Le test d’intrusion, aussi nommé pentest, est un outil
Pentest – Test d’intrusion PURPLE TEAM
Toujours dans le but d’améliorer la sécurité du système d’information, le test d’intrusion Purple Team fera le lien entre les approches Red Team et Blue
Pentest – Test d’intrusion RED TEAM
Devant la recrudescence des cyberattaques visant aussi bien les sociétés privées que les structures gouvernementales, il est impératif de s’assurer que son système d’information est
Pourquoi faire un Test d’intrusion / Pentest ?
Dans le monde hyperconnecté dans lequel nous vivons, la cybersécurité doit être au cœur de la stratégie informatique de l’entreprise. La moindre intrusion dans le
Quand et à quelle fréquence effectuer un test d’intrusion ?
Quand effectuer un pentest, c’est-à-dire tester les vulnérabilités d’un système d’information ? Cette question taraude de nombreux directeurs de systèmes d’information, responsables cybersécurité, ou dirigeants