PENTEST (OU TEST D'INTRUSION)
Le pentest (ou “hacking éthique”) est un test d’intrusion, dont l’objectif est de simuler une cyberattaque en conditions réelles, afin de déceler les vulnérabilités qui pourraient être exploitées sur un réseau informatique, sur un produit numérique, sur une application, etc.
Le pentest est donc, dit autrement, un audit de sécurité, dit "boite noire". Tous les audits de sécurité ont pour but d’évaluer le niveau de sécurité d’une infrastructure réseau, d’identifier les portes d’entrées potentielles pour les acteurs malveillants, afin de corriger ces failles.
Il existe trois principaux types d’audit de sécurité : l’audit boite noire (le pentest), l’audit boite grise, et l’audit boite blanche, tous appelés ainsi afin de faire référence à la quantité d'informations dont dispose l'attaquant, ici le consultant.
-
Lors d'un audit boite noire, le consultant ne dispose d'aucune information, ou alors très peu. Ce dernier dispose d'informations accessibles par n'importe quel attaquant : une adresse IP, une URL. L'objectif est alors principalement de déterminer, pour un produit, une application ou une infrastructure réseau, quels sont les points d'entrées existants, et combien de temps faut-il à un attaquant pour entrer dans le système ?
-
Lors d'un audit boite grise, le consultant dispose généralement d'un accès à un compte utilisateur aux moindres privilèges (c'est-à-dire ne disposant pas de privilèges d'administrateur). L'objectif premier est alors de déterminer dans quelle mesure il est possible de dépasser ces privilèges accordés afin d'aller plus loin, et de mener une attaque.
-
L'audit boite blanche est lui le plus transparent et le plus exhaustif des trois. Le consultant dispose de toutes les informations dont il a besoin (éléments de configuration et d'architecture interne) afin de mener son analyse en profondeur. Nous proposons également des prestations d'audits boite blanche, aux périmètres et durées variables en fonction de vos besoins. N'hésitez pas à consulter cette page pour en savoir plus.
Le pentest (ou audit boite noire)
La particularité de l'audit boite noire est qu'il est réalisé dans des conditions aux plus proches des conditions réelles d'une attaque. Ainsi, le consultant ne dispose d'aucune (ou très peu) information concernant l'entreprise. Les hackers dits “éthiques” se mettent dans la peau d’un attaquant qui ciblerait une organisation. Dans la mesure où l’attaquant (i.e. le consultant) ne dispose d'aucune information sur l'organisation auditée, le périmètre d’attaque peut alors être très vaste (bien qu'il soit malgré tout possible de pré-définir un périmètre d'audit).
Le consultant dispose alors généralement d'une adresse IP ou d'une URL, grâce à laquelle il va tenter de mener une attaque ciblée.
Il s'agit alors de déterminer :
-
quels sont les points d'entrée potentiels sur un réseau, un système d'information, un produit ou une application numérique ?
-
comment ces vulnérabilités peuvent-elles être exploitées par des acteurs malveillants ?
-
combien de temps cela prendrait-ils aux attaquant ayant découvert une faille de sécurité pour l'exploiter ?
-
et quels pourraient être les conséquences de l'exploitation de ces failles de sécurité (c'est la partie "exploitation des failles").
Exploitation des failles ou pas ?
Dans le cadre de la réalisation d'un audit boite noire, le consultant peut aller, si l'entreprise le demande, jusqu'à l'exploitation des failles découvertes.
Dans ce cas là, non seulement le consultant explique quelles vulnérabilités ont été exploitées pour entrer le système, mais il va également en faire la démonstration, en montrant par exemple les données confidentielles auxquelles il a pu accéder.
Quand réaliser un pentest / test d'intrusion ?
ll est possible de réaliser un pentest n'importe quand.
Le pentest est une technique d'audit particulièrement utile pour vérifier l’efficacité de l’implémentation des contre-mesures préconisées à la suite d’une campagne d’audit boite blanche et de remédiation. Il permet notamment de vérifier, suite à un audit boite blanche, que les correctifs mis en place sont efficaces et pertinents.
Cependant, et lorsque vous vous sentez prêt, vous pouvez à tout moment faire réaliser un pentest sur votre infrastructure, sur votre système d'information, sur votre produit ou sur votre application.
Pour commencer quelques part, et initier la sécurisation de votre organisation
Pour aller plus loin dans les travaux de sécurisation déjà mis en place
Pour tester la sécurité et la robustesse d'un système de façon régulière (1 à 2 fois/an)