L’audit informatique est la première étape pour optimiser la sécurité d’un système d’informatique ou pour moderniser ce dernier. Il en existe plusieurs types : les audits organisationnels, les audits techniques et les tests d’intrusion. Les propos qui suivent se focaliseront sur les tests d’intrusion. En quoi consistent-ils ? Quels sont leurs intérêts ? Quels sont les types de tests d’intrusion ? À quelle fréquence les exécuter ?
En quoi consiste un test d’intrusion ?
Un test d’intrusion consiste à tester le niveau de sécurité d’un système informatique grâce à une attaque contrôlée. Sa finalité est d’identifier les points de vulnérabilités du système et de déterminer les correctifs à mettre en place. Il donne des données précises sur le type d’intrusion qui peut être réalisé ainsi que sur la technique utilisée par les hackers pour percer les mécanismes de sécurité informatique.
Un test d’intrusion diffère d’un test de vulnérabilité de par son objectif. Un test de vulnérabilité se limite généralement à identifier les failles courantes en utilisant des outils automatiques. Un test d’intrusion va plus loin puisqu’il intègre en plus la recherche de failles logiques, indétectables par des outils automatiques, ainsi qu’une étape d’exploitation manuelle des failles décelées. Bref, un test d’intrusion est un test plus complet permettant de déterminer l’impact réel de tout type de vulnérabilité.
Les différents types de tests d’intrusion
Un test d’intrusion peut porter sur diverses facettes de la sécurité d’un système d’information.
Test en boite noire
On parle de test en boite noire le testeur (pentester), généralement un prestataire informatique, réalise un test sans exploité la moindre information (il est donc dans le noir total) sur la cible. L’objectif est donc ici de déterminer la vulnérabilité d’un système face aux attaques d’un hacker externe.
Test en boite blanche
Dans un test en boite blanche, le pentester a accès à la totalité des informations sur le système. On simule donc l’intrusion d’une personne ayant un accès administrateur. C’est l’approche qui permet de détecter un maximum de failles de sécurité.
Test en boite grise
Le test en boite grise ou test hybride consiste à « tenter de s’introduire dans un système d’information en ne disposant que d’un nombre limité d’informations sur l’organisation ou son système ». On simule donc l’attaque que pourrait perpétrer un client, des partenaires ou des salariés de votre structure.
Les étapes d’un test d’intrusion
Un test d’intrusion repose sur l’exécution de plusieurs étapes : la reconnaissance, le mapping, l’attaque et l’exploitation.
La reconnaissance
L’étape de la reconnaissance consiste à rassembler toutes les informations qu’il est possible d’obtenir sur la cible de l’audit de sécurité informatique. Le pentester se met à la place d’un attaquant éventuel et récolte toutes les informations qui pourraient lui être utiles : adresse IP, noms de domaines, technologies utilisées, informations disponibles sur les réseaux sociaux…
Le mapping
Il s’agit de faire le point sur les caractéristiques de la cible du test. Le pentester se donnera ici pour objectif d’avoir une meilleure visibilité sur les points les plus exposés et les plus critiques.
L’attaque
Durant cette phase, le pentester recherche les failles du système à l’aide de recherches manuelles appuyées par des outils automatisés.
L’exploitation
Cette phase consiste à évaluer l’impact réel des vulnérabilités détectées et de déterminer si leur exploitation permet de mettre en relief de nouvelles vulnérabilités.
Sur quoi peut porter un test d’intrusion ?
Un test d’intrusion peut porter sur différent type de cible :
- Plateforme web ;
- Applications mobiles ;
- Objets connectés ;
- Ingénierie sociale ;
- Infrastructures réseau.
Les tests d’intrusion réalisés sur les infrastructures et réseaux consistent généralement à scanner les IPs publiques et les services exposés en ligne. Ils peuvent aussi porter sur le réseau interne. Dans ce cas, le but sera de rechercher les failles présentes sur les postes de travail, les serveurs et autres périphériques réseau, grâce à une cartographie du réseau.
À quelle fréquence réaliser un test d’intrusion ?
Les tests d’intrusion doivent être réalisés le plus régulièrement possible. La raison est que ce type de test se limite à donner des informations sur l’état des lieux du niveau de sécurité d’un système à un instant T. Se pose alors la question de savoir : à quelle fréquence réaliser un test d’intrusion ?
