Le test d'intrusion est une cyberattaque simulée qui évalue la sécurité des systèmes et des réseaux. Ce guide explore les principes du test d'intrusion, ses avantages et les méthodologies utilisées par les professionnels de la sécurité.
Découvrez l'importance des tests d'intrusion réguliers pour identifier les vulnérabilités et renforcer les mesures de sécurité. Il est essentiel pour les organisations de comprendre les tests d'intrusion afin de protéger efficacement leurs actifs numériques.
Qui effectue les tests de pénétration ?
Les organisations font appel à des testeurs d'intrusion qualifiés possédant des connaissances approfondies en informatique, en sécurité des applications, en sécurité des réseaux et en langages de programmation logicielle. Les testeurs d'intrusion utilisent des langages de script pour créer des scripts permettant d'exécuter des attaques approuvées sur des systèmes dans certaines limites conçues pour ne pas endommager les systèmes pendant le test. Ils utilisent leurs connaissances en matière de code logiciel pour examiner les logiciels à la recherche de bogues de sécurité. Un testeur d'intrusion professionnel, ou pen tester, effectue le test d'intrusion à la demande d'une organisation. Le testeur d'intrusion ne doit pas endommager les systèmes pendant le test. Il doit fournir des preuves des vulnérabilités et de la manière dont il les a exploitées.
À partir des résultats du test d'intrusion, l'organisation peut corriger les systèmes et atténuer les failles. Le testeur de pénétration vérifie ensuite que l'organisation a corrigé les vulnérabilités en tentant à nouveau de pénétrer dans le système.
Pénétration externe ou interne
Il existe différents types de tests de pénétration. Les tests de pénétration externes commencent sans que le testeur de pénétration dispose d'un accès ou d'autorisations spéciales sur les systèmes testés. Partant du même point de vue qu'un pirate informatique criminel, le testeur tente de pénétrer dans le périmètre, les applications connectées à Internet et les systèmes vulnérables au sein de l'organisation auxquels il peut accéder depuis l'extérieur.
Le test peut inclure des attaques sur des connexions RDP (Remote Desktop Protocol) vulnérables, par exemple celles destinées aux sous-traitants qui ont besoin d'un accès au réseau externe pour effectuer leur travail. Le testeur peut tester les terminaux, tels que les smartphones et les ordinateurs des utilisateurs sur un réseau, car ceux-ci sont susceptibles de constituer des points d'entrée pour un accès non autorisé.
Un test d'intrusion interne est un test de vulnérabilité des réseaux internes et de l'infrastructure de l'organisation. Le test détermine jusqu'où un attaquant peut aller une fois qu'il a pénétré dans le réseau. Le test détermine s'il est possible pour le pirate de rester longtemps présent à l'intérieur du réseau sans que l'entreprise ne s'en aperçoive.
Le test détermine s'il est possible de se déplacer latéralement à travers les réseaux et l'infrastructure internes, d'un ensemble d'actifs réseau, tels que les bases de données clients, à d'autres contenant de la propriété intellectuelle. Il révélerait les capacités d'une menace interne utilisant les vulnérabilités existantes, notamment un nombre trop important de droits d'accès et d'autorisations.
Test d'intrusion ou évaluation de la vulnérabilité
Contrairement aux tests d'intrusion, les tests de vulnérabilité sont souvent automatisés à l'aide d'un logiciel d'analyse des vulnérabilités du réseau. Les tests de vulnérabilité permettent aux organisations de savoir qu'il existe des faiblesses. Les tests de pénétration confirment que les attaquants peuvent exploiter ces vulnérabilités à des fins malveillantes pour obtenir un accès supplémentaire et exfiltrer des données.
Blanc, noir et gris | Comment les tests de pénétration sont-ils réalisés ?
De nombreux types de tests de pénétration peuvent aider une organisation à maintenir une bonne hygiène de sécurité et une posture de sécurité solide. Le client peut demander l'un ou plusieurs de ces tests de pénétration.
Test en boîte blanche
Avec le test en boîte blanche, le testeur de pénétration a une visibilité complète sur le réseau et les systèmes testés. Le test en boîte blanche permet au testeur d'inclure tout le code logiciel dans le test, car rien ne lui est caché. Le test en boîte blanche est souhaitable pour les tests automatisés, souvent utilisés dans les environnements de développement. Le test en boîte blanche permet de tester fréquemment et automatiquement les logiciels en cours de développement afin de garantir leur sécurité tout au long du cycle de vie du développement.
Test en boîte noire
Le test en boîte noire maintient le testeur d'intrusion dans l'ignorance. Le testeur ne sait rien du système ou du logiciel. Il doit tester du point de vue d'un attaquant, en effectuant des reconnaissances, en recueillant des informations et en obtenant un accès initial au réseau sans connaissance préalable. Le testeur doit lancer une attaque et exploiter le système avec les outils dont il dispose. Le test boîte noire est le test le plus difficile, mais aussi le plus complet.
Test boîte grise
Le test boîte grise donne au testeur d'intrusion une vue limitée des systèmes et des logiciels. La conception du test sert à déterminer le niveau d'accès supplémentaire qu'un utilisateur privilégié pourrait acquérir et ce qu'il pourrait en faire. Le test boîte grise peut aider à déterminer si un initié pourrait élever ses privilèges pour lancer une attaque interne ou coopérer avec un attaquant externe.
Étapes du test d'intrusion
Un test d'intrusion comporte cinq étapes, en particulier lorsque le testeur n'a aucune connaissance préalable des systèmes testés. Il s'agit de la reconnaissance, du balayage, de l'exploitation, de l'installation d'une porte dérobée et de l'anti-suivi.
La première étape est la reconnaissance, c'est-à-dire la collecte d'informations sur le système testé. Comme dans le domaine militaire, le terme " reconnaissance " dans le cadre d'un test d'intrusion signifie que le testeur doit s'aventurer sur le réseau et détecter les ports ouverts, les adresses réseau et les pages de connexion qui peuvent être utiles pour une attaque. En cartographiant le réseau et ses ressources, le testeur peut décider des exploits à utiliser dans le test.
Le testeur analyse ensuite le réseau à la recherche de vulnérabilités. Un bon testeur d'intrusion est capable de détecter les vulnérabilités zero-day. Zero-day signifie que le fournisseur n'a eu aucun jour pour corriger le système depuis sa découverte. Les pirates informatiques peuvent continuer à exploiter la vulnérabilité jusqu'à ce que le correctif soit disponible.
Le testeur choisit des exploits, notamment des malwares, pour exploiter le système. Il laisse une porte dérobée dans le réseau afin de le maintenir ouvert pour de futures attaques. Enfin, le testeur de pénétration empêche la détection en supprimant les journaux de sécurité et en effaçant les indicateurs de compromission.
Que peuvent faire les organisations avec les résultats d'un test de pénétration ?
Une organisation peut prendre connaissance des vulnérabilités dans le rapport final du testeur et élaborer un plan pour y remédier. Le testeur de pénétration teste ensuite à nouveau les failles pour confirmer que toutes les vulnérabilités ont été corrigées. Les tests de pénétration profitent aux entreprises en atténuant les risques. Les organisations peuvent tester et réparer les principales vulnérabilités, telles que les contrôles d'accès défaillants. L'entreprise prend conscience de son niveau de sécurité grâce aux tests de pénétration. Elle peut sécuriser la surface d'attaque et la maintenir conforme au niveau souhaité par l'organisation. Les organisations peuvent également utiliser les tests de pénétration pour garantir la conformité aux exigences réglementaires et industrielles. En testant les vulnérabilités, l'entreprise peut appliquer des correctifs et utiliser des contrôles pour atteindre et maintenir la conformité.
L'entreprise tire profit des rapports de tests d'intrusion en identifiant et en corrigeant en premier lieu les vulnérabilités à haut risque. Les rapports peuvent servir de preuve de conformité lors des audits. Les analystes en sécurité peuvent utiliser le rapport pour recentrer leurs efforts sur les vulnérabilités qui conduisent à des échecs lors des audits de conformité.
L'entreprise doit définir la portée du test d'intrusion, y compris les domaines à tester, les domaines à éviter et les types de vulnérabilités à identifier. En ciblant les systèmes, les logiciels et les configurations à haut risque, l'organisation peut trouver et corriger les vulnérabilités prioritaires tout en respectant son budget.
MDR en qui vous pouvez avoir confiance
Obtenez une couverture fiable de bout en bout et une plus grande tranquillité d'esprit avec Singularity MDR de SentinelOne.
Prendre contactTypes de tests d'intrusion
Test d'intrusion des services réseau
Le test d'intrusion des services réseau identifie les vulnérabilités et les faiblesses les plus critiques d'un réseau. Le test comprend des tests internes et externes. Il teste les composants du réseau. Il teste également les points d'extrémité et la périphérie du réseau.
Les dispositifs d'infrastructure réseau comprennent :
- Pare-feu
- Commutateurs
- Routeurs
Le test permet aux entreprises de corriger leurs faiblesses et de se défendre contre les attaques courantes basées sur le réseau, telles que les attaques par déni de service distribué (DDoS).
Test d'intrusion des applications Web
Le test d'intrusion des applications Web permet de détecter les vulnérabilités des applications Web et des navigateurs. Les attaques contre les applications via des navigateurs vulnérables sont courantes, comme les bots qui attaquent JavaScript sur les pages de commerce électronique.
Les tests d'applications Web sont bénéfiques pour les organisations, car ils accélèrent la correction des failles de sécurité des applications Web. Les tests d'intrusion et l'application de correctifs rendent les applications Web plus résistantes. Les applications Web sécurisées garantissent la continuité des activités, par exemple lorsque la productivité des utilisateurs reste inchangée grâce à la réduction des violations et des perturbations. Le test d'intrusion des applications Web identifie les vulnérabilités JavaScript dans les navigateurs afin que les équipes de sécurité puissent renforcer les applications contre les failles des navigateurs.
Test d'intrusion physique
Le test d'intrusion physique consiste à simuler une attaque sur les locaux d'une organisation. Les tests d'intrusion physiques évaluent la sécurité physique qui protège les zones réglementées. Ils testent les contrôles de sécurité physiques qui empêchent un attaquant d'obtenir un accès non autorisé. Les tests d'intrusion physiques utilisent l'ingénierie sociale, comme l'usurpation d'identité d'un technicien de support ou d'autres employés pour obtenir un accès sans autorisation ou identifiants appropriés.
Tests d'intrusion par ingénierie sociale
Les testeurs de pénétration par ingénierie sociale exploitent la confiance que les employés accordent aux autres. Ils peuvent escroquer les employés sous un prétexte fallacieux afin de leur soutirer des données sensibles ou d'obtenir l'accès aux systèmes et aux logiciels.
Tests de pénétration dans le cloud
Bien que les fournisseurs de services cloud sécurisent leurs offres, il incombe au client de protéger ses données et ses applications dans le cloud. Les tests d'intrusion dans le cloud comprennent des tests de force brute sur les identifiants connectés à Internet que le client pourrait ne pas penser à mettre à jour. Mais c'est au client qu'il incombe de le faire.
Tests de pénétration IoT
Les tests de pénétration IoT examinent l'inventaire complet des appareils IoT d'un client à la recherche de vulnérabilités typiques telles que des identifiants faibles ou par défaut, des protocoles de communication hérités et l'absence de correctifs de sécurité. Les testeurs peuvent effectuer des tests de sécurité sans fil pour rechercher des protocoles faibles. Ils peuvent vérifier les vulnérabilités connues pour les correctifs et tenter d'obtenir un accès non autorisé.
Avantages des tests de pénétration
Les tests de pénétration protègent l'organisation contre les cyberattaques, les fuites de données et la non-conformité aux nombreuses exigences industrielles et réglementaires. Les organisations sont soumises à des audits et doivent se conformer à de nombreuses réglementations nationales et internationales, notamment le RGPD, la norme ISO 27001 et la norme PCI DSS. D'autres réglementations incluent la norme HIPAA/HITRUST.
L'entreprise souhaite conserver la confiance des consommateurs. Les technologies fiables qui ne souffrent pas de violations ont tendance à fidéliser les clients, tandis que les violations ont tendance à les faire fuir. Les tests d'intrusion favorisent la continuité des activités, car ils réduisent les surprises liées aux temps d'arrêt dus aux violations et aux enquêtes sur les violations qui détournent les ressources humaines de leurs tâches principales.
Conclusion
Les tests d'intrusion sont un élément essentiel du maintien de la sécurité et de la conformité. Les tests d'intrusion évaluent la surface d'attaque de l'organisation afin de détecter les vulnérabilités à haut risque dans les applications critiques. L'entreprise peut utiliser les rapports de tests d'intrusion pour corriger les vulnérabilités prioritaires, atténuer les risques de sécurité et se préparer aux audits de conformité.
"FAQs
Un scan de vulnérabilité analyse automatiquement le réseau, les ports réseau et les adresses IP à la recherche de vulnérabilités. Un test d'intrusion utilise des scans manuels et d'autres méthodes pour découvrir les vulnérabilités et les exploiter.
Les testeurs d'intrusion pénètrent dans les zones définies par le client à l'aide d'une gamme d'exploits approuvés, à la recherche de vulnérabilités spécifiques. Les testeurs d'intrusion testent les politiques de sécurité de l'organisation, élaborent des contre-mesures et mettent en œuvre des solutions défensives aux problèmes de sécurité.
Le test d'intrusion est un effort manuel guidé par un professionnel proactif qui identifie les zones intéressantes à examiner plus en détail pour détecter les vulnérabilités et déterminer comment les exploiter. Un test automatisé ne s'écarte pas d'une liste de tâches prédéfinies pour le test.
