Risques cybersecurité
Se protéger de cyberattaques
Toute entreprise a digitalisé une partie plus ou moins importantes de ses outils et ressources. C’est pourquoi la cyber-sécurité est devenue un enjeu crucial pour l’activité des entreprises et pour leur réputation.
Mettre en place une politique de sécurité, implémenter des protections et documenter les procédures sont des étapes indispensables. Mais seul le pentest permet un état des lieux concret des risques tout en apportant des réponses immédiates.
Faire un pentest revient à faire appel à des « bad guys » professionnels, qui mettent leur expertise au service des entreprises. La seule façon de contrer les hackers est d’utiliser leurs outils et leurs techniques pour trouver avant eux les failles et les corriger au plus vite.
Creuser toujours plus loin, pour garder une longueur d’avance, c’est la mission d’un pentester. Le résultat est un niveau de protection pour l’entreprise qui investit dans un pentest afin de diminuer son niveau d’exposition au risque et de renforcer sa valeur.
AUDIT cybersécurité
Le test d’intrusion est un audit de cybersécurité
Communément appelé « pentest » (de l’anglais « Penetration Testing »), le test d’intrusion est un audit de cybersécurité dont l’objectif est de mettre à l’épreuve une application ou un système d’information face à des attaques réalistes.
Cette méthode est utilisée en sécurité informatique pour identifier les vulnérabilités d’un système d’information. Le test d’intrusion consiste à se mettre dans la peau d’un pirate (hacker) malveillant et d’essayer de pénétrer une cible donnée qui sera, dans ce cas, le client.
La cible peut être de différents types : une IP, une application, un serveur web ou encore un réseau complet.
la sécurité comme valeur
Indiquer les vulnérabilités identifiées et classifiées
Un test d’intrusion peut inclure des tests en boite noire, en boite grise ou en boîte blanche. Les tests en boîte noire ciblent la surface d’attaque accessible à n’importe quel attaquant externe, tandis que des tests en boîte grise vont concerner des éléments disponibles uniquement à des clients, des partenaires ou des salariés d’une entreprise. L’audit en boîte blanche quant à lui permet d’analyser le niveau de sécurité en disposant des mêmes accès qu’un administrateur du système (serveur, application…).
Grâce à ces tests en découle un rapport indiquant les vulnérabilités identifiées et classifiées par niveau de criticité ainsi qu’un plan d’actions à suivre pour remédier techniquement aux vulnérabilités soulevées
Le PTES est un ensemble générique de bonnes pratiques qui établissent les principes fondamentaux pour la bonne réalisation d’un test d’intrusion. Le mot « générique » est important ici car le PTES peut aussi bien être appliqué lors d’un pentest d’une application mobile que lors d’un test d’intrusion dans les locaux d’une entreprise.
Bonnes pratiques cybersécurité
Le PTES décompose chaque pentest en 7 grandes étapes
1 | Les interactions avec le pentest
Cette phase regroupe l’ensemble des échanges, les accords contractuels et financiers, l’établissement des canaux de communication sécurisés ainsi que la préparation du pentest.
L’objectif est d’établir un cadre légal, technique et organisationnel, validé par le client et le prestataire et ainsi garantir une réalisation à hauteur des attentes des deux parties.
2 | La collecte d’informations
C’est une phase très importante pour chaque pentest car elle permet d’identifier les cibles potentielles, d’amasser des informations utiles lors des étapes postérieures et d’identifier dès le départ de possibles pistes d’attaque via des méthodes telles que l’énumération réseau, l’identification du système d’exploitation, les requêtes WHOIS, les requêtes SNMP, le scan de ports, etc.). Les informations obtenues sur la cible procurent ainsi de précieuses indications sur les processus de sécurité mis en place.
3 | La modélisation des menaces
L’objectif de cette phase est d’identifier les principales cibles au sein d’une entreprise (aussi bien en termes d’actifs qu’en termes de processus) et les sources de menaces les plus probables (leur origine et leur capacités techniques)
4 | L’analyse de vulnérabilité
Après avoir identifié le type d’attaque le plus efficace à mener contre la cible, il faut maintenant savoir comment y accéder. Au cours de cette étape, les informations collectées lors des phases précédentes sont mises en relation pour déterminer si l’attaque choisie est réalisable. Les informations recueillies grâce à des scans de ports, des scans de vulnérabilités, ou celles issues de la collecte de renseignements sont notamment prises en considération.
5 | L’exploitation
La variété de scénarios d’exploitation est très large. Elle dépend du type de pentest et des cibles et peut aller des attaques sur les acteurs humains (phishing, usurpation d’identité) jusqu’à la recherche de failles « 0 day » si toutes les autres méthodes ont échoué en passant par de la rétro-ingénierie, la manipulation de requêtes, la mise en place de scénarios “Man in the Middle” ou le fuzzing (injections de données erronées). Le tout en essayant d’éviter les moyens de protection et de détection en place si les conditions du pentest l’exigent.
Le pentesteur doit toujours vérifier que les techniques d’exploitation utilisées correspondent au périmètre et aux conditions d’engagement convenues avec le client.
6 | La phase post-exploitation
La phase postérieure à l’exploitation est une phase critique dans un test d’intrusion. Elle commence après l’intrusion dans le système attaqué et consiste à déterminer sur celui-ci les informations qui ont le plus de valeur. Il s’agit de montrer l’impact financier que pourrait avoir une fuite ou une perte de ces informations sur l’entreprise.
7 | Le rapport
La phase d’élaboration du rapport est sans nul doute la phase la plus importante d’un test d’intrusion, car l’intérêt de sa réalisation doit s’y trouver justifié. Le rapport établit ce qui a été réalisé lors du test d’intrusion ainsi que la manière utilisée. Il doit surtout mettre en lumière quelles sont les faiblesses à corriger et comment le système cible peut être protégé contre de telles attaques
