Comment fonctionne un Pentest
Le test d’intrusion, ou le pentest, est devenu une étape incontournable pour renforcer la sécurité des systèmes d’information. Cette méthode, simule des attaques réelles et elle permet de détecter les failles que les outils automatisés ne voient pas.
Qu'est-ce qu'un pentest ?
Un pentest est une simulation contrôlée d’attaque informatique, autorisée par l’entreprise concernée. Le but est d’identifier les vulnérabilités de ses systèmes en se mettant dans la peau d’un cybercriminel. Les auditeurs, aussi appelés pentesters, reproduisent les techniques d’attaquants réels pour mesurer l’impact potentiel d’un point faible sur l’organisation.
Ces tests peuvent cibler différents types d’accès : authentifiés, non authentifiés, utilisateurs avec droits limités ou administrateurs. Avec une portée bien définie, ils permettent d’examiner en profondeur n’importe quelle partie du système.
Pourquoi faire un pentest ?
Les pentests peuvent sembler risqués pour une entreprise, car il doit tester la sécurité de son système d’information en simulant des attaques. Ces intrusions sont encadrées par une convention d’audit qui dicte le périmètre et les limites du pentest. Cependant, les avantages qui en découlent sont prouvés et offrent de solides raisons de l’utiliser.
Correction des failles de sécurité :
les cybercriminels adaptent constamment leurs techniques, ce qui complique la sécurisation des entreprises. Faire régulièrement des pentests permet de mettre à jour la sécurité du SI tout en identifiant et en corrigeant les vulnérabilités informatiques. Cette approche aide également à mieux comprendre les conséquences d’une intrusion malveillante et à trouver des solutions pour les éviter.
Protection contre les attaques informatiques :
les attaques à l’aide de logiciels malveillants ne font pas de distinction entre les entreprises, c’est-à-dire que même celles dotées de systèmes de sécurité performants sont susceptibles d’être touchées.
Éviter les pertes financières :
bien que les tests d’intrusions aient un coût, celui-ci est minime par rapport aux pertes financières potentielles causées par une intrusion malveillante. Selon une étude d’IBM, une cyberattaque coûte en moyenne 1,42 million de dollars à l’entreprise victime. De plus, la correction des défaillances après une attaque nécessite en moyenne 11,7 millions de dollars d’après une étude menée par Accenture et Ponemon Institute. Les pentests représentent donc un investissement rentable à court et à long terme pour les entreprises, car ils permettent d’éviter de lourdes dépenses en cas d’attaque.
Conformité aux normes :
le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis le 25 mai 2018 et impose aux entreprises de garantir la sécurité de leurs SI pour réduire les risques de fuite de données personnelles. En cas de tentative d’attaque, les entreprises doivent prendre des mesures immédiates pour renforcer la sécurité de leur SI. Le pentesting se présente comme la solution pour respecter les normes en matière de protection des données personnelles. En simulant une attaque, cette technique permet à toutes les entreprises de prendre les mesures nécessaires pour renforcer la sécurité de leur infrastructure.
Quels sont les différents types de tests d'instrusion ?
Une approche globale des tests d’intrusion est essentielle pour une gestion optimale des risques. Cela implique de tester tous les aspects de votre environnement.
– Applications Web.
Les testeurs examinent l’efficacité des contrôles de sécurité et recherchent les vulnérabilités cachées, les schémas d’attaque et toute autre faille de sécurité potentielle pouvant compromettre une application Web.
– Applications mobiles.
Grâce à des tests automatisés et manuels étendus, les testeurs recherchent les vulnérabilités dans les binaires des applications exécutées sur l’appareil mobile et dans les fonctionnalités serveur correspondantes. Les vulnérabilités côté serveur incluent la gestion des sessions, les problèmes cryptographiques, les problèmes d’authentification et d’autorisation, ainsi que d’autres vulnérabilités courantes des services web.
– Réseaux.
Ces tests identifient les vulnérabilités de sécurité courantes et critiques d’un réseau et de systèmes externes. Les experts utilisent une liste de contrôle comprenant des cas de test pour les protocoles de transport chiffrés, les problèmes de portée des certificats SSL, l’utilisation de services administratifs, etc.
– Cloud.
Un environnement cloud est très différent des environnements sur site traditionnels. En général, les responsabilités en matière de sécurité sont partagées entre l’organisation utilisatrice et le fournisseur de services cloud. De ce fait, les tests d’intrusion cloud nécessitent des compétences et une expérience spécialisées pour analyser les différents aspects du cloud, tels que les configurations, les API, les différentes bases de données, le chiffrement, le stockage et les contrôles de sécurité.
– Conteneurs.
Les conteneurs obtenus via Docker présentent souvent des vulnérabilités exploitables à grande échelle. Une mauvaise configuration est également un risque courant associé aux conteneurs et à leur environnement. Ces deux risques peuvent être détectés grâce à des tests d’intrusion effectués par des experts.
– Appareils embarqués (IoT).
Les appareils embarqués/Internet des objets (IoT) tels que les dispositifs médicaux, les automobiles, les appareils électroménagers, les équipements de plateforme pétrolière et les montres ont des exigences spécifiques en matière de tests logiciels en raison de leur durée de vie prolongée, de leur éloignement géographique, de leurs contraintes énergétiques, des exigences réglementaires. Les experts effectuent une analyse approfondie des communications ainsi qu’une analyse client/serveur afin d’identifier les défauts les plus importants pour le cas d’utilisation concerné.
– Appareils mobiles.
Les auditeurs utilisent des analyses automatisées et manuelles pour identifier les vulnérabilités des binaires d’application exécutés sur l’appareil mobile et des fonctionnalités côté serveur correspondantes. Les vulnérabilités des binaires d’application peuvent inclure des problèmes d’authentification et d’autorisation, des problèmes de confiance côté client, des contrôles de sécurité mal configurés et des problèmes liés au framework de développement multiplateforme. Les vulnérabilités côté serveur peuvent inclure la gestion des sessions, des problèmes cryptographiques, des problèmes d’authentification et d’autorisation, ainsi que d’autres vulnérabilités courantes des services web.
– API.
Des techniques de test automatisées et manuelles sont utilisées pour couvrir le Top 10 de la sécurité des API de l’OWASP. Parmi les risques de sécurité et les vulnérabilités recherchés par les testeurs figurent les violations d’autorisation au niveau des objets, l’authentification des utilisateurs, l’exposition excessive des données, le manque de ressources/la limitation du débit, etc.
Pentests et scanners de vulnérabilités : quelles sont les différences
Les scanners de vulnérabilités sont des outils automatisés qui détectent rapidement les failles connues. Ils sont utiles pour un premier niveau d’analyse. Le pentest, en revanche, va plus loin.
Il inclut une phase manuelle, lors de laquelle l’expert cherche des vulnérabilités logiques comme de mauvais paramétrages de droits d’accès que les outils automatiques ne peuvent pas détecter. Il mesure aussi l’impact concret d’une faille sur l’environnement testé, ce qui permet d’identifier d’éventuels effets de bord. Moins coûteux, les scanners sont faciles à déployer, mais ne remplacent pas la profondeur d’un pentest.
Quelles sont les phases du Pentest classique ?
Les auditeurs simulent des attaques menées par des adversaires déterminés. Pour ce faire, ils suivent généralement un plan comprenant les étapes suivantes :
- Reconnaissance : recueillez un maximum d’informations sur la cible auprès de sources publiques et privées afin d’éclairer la stratégie d’attaque. Ces sources incluent les recherches sur Internet, la récupération d’informations d’enregistrement de domaine, l’analyse réseau non intrusive et parfois même la fouille de poubelles (dans le cadre d’intrusion physique/ mission red team). Ces informations aident les testeurs d’intrusion à cartographier la surface d’attaque de la cible et ses vulnérabilités potentielles.
- Analyse : les auditeurs utilisent des outils pour examiner le site web ou le système cible à la recherche de faiblesses, notamment de services ouverts, de problèmes de sécurité des applications et de vulnérabilités publiques. Ils utilisent divers outils en fonction de leurs observations lors de la reconnaissance et du test.
- Exploitation: les motivations des attaquants peuvent inclure le vol, la modification ou la suppression de données, le transfert de fonds ou simplement l’atteinte à la réputation d’une entreprise. Pour chaque test, les auditeurs déterminent les meilleures techniques pour atteindre leurs objectifs et exploiter les vulnérabilités associées à ce qui est audité (comme une application web, un framework, un logiciel, l’environnement Active Directory …).
Une fois que les auditeurs ont accès à la cible, leur attaque simulée doit rester active pour atteindre leurs objectifs. Les actions se limitent à simuler l’exfiltration de données, leur modification ou l’exploitation abusive de fonctionnalités, uniquement pour des preuves de concept et dans le respect strict du périmètre de l’audit, sans exfiltrer toutes les données. Il s’agit de démontrer l’impact potentiel.
