Pentest,
audit de cyber sécurité

Se protéger de cyberattaques

1

Toute entreprise a digitalisé une partie plus ou moins importantes de ses outils et ressources. C’est pourquoi la cyber-sécurité est devenue un enjeu crucial pour l’activité des entreprises et pour leur réputation.

Mettre en place une politique de sécurité, implémenter des protections et documenter les procédures sont des étapes indispensables. Mais seul le pentest permet un état des lieux concret des risques tout en apportant des réponses immédiates.

Faire un pentest revient à faire appel à des « bad guys » professionnels, qui mettent leur expertise au service des entreprises. La seule façon de contrer les hackers est d’utiliser leurs outils et leurs techniques pour trouver avant eux les failles et les corriger au plus vite.

Creuser toujours plus loin, pour garder une longueur d’avance, c’est la mission d’un pentester. Le résultat est un niveau de protection pour l’entreprise qui investit dans un pentest afin de diminuer son niveau d’exposition au risque et de renforcer sa valeur.

Identifier et corriger les failles de sécurité

2

Le résultat final d’un pentest est un rapport présentant les vulnérabilités ainsi que la façon de les corriger.

Chaque audit est unique, en fonction de la cible elle-même et des conditions définies pour les tests. Il ne s’agit pas de cocher des cases, mais de comprendre ce qu’un attaquant peut réellement obtenir en essayant de pirater la cible. C’est pourquoi les types de tests dépendent du contexte fonctionnel et technique de chaque audit de sécurité.

Il ne s’agit pas non plus de chasser des bugs, mais d’explorer de façon rigoureuse la cible de l’audit dans le but de répertorier l’ensemble des vulnérabilités. C’est pourquoi le pentest repose sur une méthodologie d’audit éprouvée et renforcée par l’expérience des pentesters.

Il ne s’agit pas de fournir une simple liste de failles, mais de prioriser les failles en fonction de leur niveau de criticité. C’est pourquoi les pentesters tentent d’exploiter les vulnérabilités identifiées, ce qui permet d’évaluer leur impact réel.

Enfin, la valeur de l’audit réside aussi dans le niveau de détail apporté dans le rapport de pentest, à la fois pour comprendre le principe de la faille, être capable de rejouer l’attaque, identifier tous les endroits où elle se trouve, et s’appuyer sur des recommandations très claires pour la phase de correction

Prouver que ma solution est sécurisée

3

Les acheteurs sont devenus exigeants sur les questions de sécurité.

Pour les éditeurs de logiciels, la sécurité est un sujet à traiter lors du processus de vente. Certains clients demandent à pouvoir consulter les rapports d’audit de sécurité.

Faire conduire un pentest par un tiers spécialiste du métier est un gage de sérieux, lorsque ce n’est pas tout simplement indispensable. Les livrables obtenus sont le rapport d’audit, ainsi qu’un rapport de contre-audit permettant d’attester que les failles identifiées ont par la suite été corrigées.

Conduire des pentests récurrents peut s’avérer nécessaire lorsque les clients demandent régulièrement des preuves de sécurité, dans un contexte où le produit et les technologies évoluent rapidement.

Obtenir un sceau de sécurité ou un certificat d’audit de sécurité peut aussi convaincre des clients, dans un contexte concurrentiel où la sécurité est un argument différenciant qui crée de la valeur.

Obtenir ou renouveler une certification

4

Le pentest est une étape dans le processus de certification.

Chaque type de certification (ISO27001, SOC2, PCI-DSS, Critères communs …) comporte des spécificités. Des auditeurs spécialisés dans le passage de ces certifications peuvent vous accompagner d’un bout à l’autre de la démarche.

Faire un pentest permet de vérifier l’efficacité des processus et des protections mises en place. Il peut s’agir d’une étape obligatoire ou non. Dans tous les cas, cela apporte une valeur réelle pour éviter le piège de trop se reposer sur des aspects déclaratifs ou théoriques.

Il est aussi possible de conduire des « pré-tests » d’intrusion avant le passage ou le renouvellement d’une certification, afin de corriger un maximum de failles de sécurité et d’aborder plus sereinement l’évaluation officielle.

Plus la sécurité est anticipée avec des tests d’intrusion réguliers, plus il est facile d’être conforme avec différents standards lorsqu’il devient nécessaire de se lancer dans une démarche de certification.

Sensibiliser mes équipes

5

Un pentest permet de sensibiliser vos équipes bien mieux que des slides.

Quoi de mieux qu’une mise en situation réelle ? C’est la méthode la plus efficace pour lever les scepticisme et pour convaincre de l’importance de faire certains changements.

Suite à un pentest technique, les développeurs et les administrateurs systèmes vont travailler sur l’implémentation des corrections de sécurité. Cela marque les esprits, notamment si des failles critiques ont été découvertes sur le produit qu’ils ont eux-mêmes construit.

Suite à un pentest d’ingénierie sociale, toute personne ayant été piégée par un e-mail de phishing, un appel de vishing ou une clé USB s’en souviendra avec l’envie de ne pas se faire prendre au même piège. Cela permet d’être plus réceptif aux messages de prévention et aux consignes de bonnes pratiques.

Instaurer une culture de la sécurité passe nécessairement par l’adhésion des équipes, techniques et non-techniques. Le pentest n’est pas forcément brutal si la démarche donne lieu à des explications et à un accompagnement en interne. Par contre, il est toujours convaincant car il propose uniquement des situations concrètes et réelles.

Pour aller encore plus loin dans la sensibilisation des équipes, le pentest peut être complété par une formation.

Être accompagné par une équipe professionnelle

6

Faire un pentest permet d’être accompagné par des professionnels de la sécurité.

A l’heure des services ubérisés et dématérialisés, il est parfois bon de pouvoir compter sur un interlocuteur humain, capable de faire du sur mesure avec un haut niveau d’expertise.

SECURITRUST propose du pentest de haut niveau. Plutôt que de s’inscrire sur une plateforme pour lancer des tests, le client est libre de choisir entre une approche packagée et une approche sur mesure.

L’approche packagée permet de gagner du temps pour faire un premier état des lieux. Suite à ce premier audit, l’équipe de SECURITRUST sera en mesure de conseiller le client sur ses enjeux de sécurité, en fonction du contexte technique et fonctionnel découvert pendant l’audit.

L’approche sur mesure permet d’échanger d’abord sur les enjeux business et les problématiques de sécurité associées, avant de définir le besoin de pentest correspondant. Type d’audit, périmètre, conditions, nature précise des tests … tout peut être adapté pour répondre le plus précisément possible aux objectifs de l’entreprise cliente.

Dans tous les cas, la création d’une relation de confiance, alliant professionnalisme et convivialité, est le fil conducteur des échanges. Travailler ensemble dans la durée permet d’instaurer une véritable proximité, y compris lorsque les échanges se font à distance. La proximité repose en effet sur la connaissance pointue du client, de son activité, de ses spécificités et de l’historique des tests déjà réalisés.

Le PTES décompose chaque pentest en 7 grandes étapes

1

Les interactions avec le pentest

Cette phase regroupe l’ensemble des échanges, les accords contractuels et financiers, l’établissement des canaux de communication sécurisés ainsi que la préparation du pentest.

L’objectif est d’établir un cadre légal, technique et organisationnel, validé par le client et le prestataire et ainsi garantir une réalisation à hauteur des attentes des deux parties.

2

La collecte d’informations

C’est une phase très importante pour chaque pentest car elle permet d’identifier les cibles potentielles, d’amasser des informations utiles lors des étapes postérieures et d’identifier dès le départ de possibles pistes d’attaque via des méthodes telles que l’énumération réseau, l’identification du système d’exploitation, les requêtes Whois, les requêtes SNMP, le scan de ports, etc.). Les informations obtenues sur la cible procurent ainsi de précieuses indications sur les processus de sécurité mis en place.

3

La modélisation des menaces

L’objectif de cette phase est d’identifier les principales cibles au sein d’une entreprise (aussi bien en termes d’actifs qu’en termes de processus) et les sources de menaces les plus probables (leur origine et leur capacités techniques)

4

L’analyse de vulnérabilité

Après avoir identifié le type d’attaque le plus efficace à mener contre la cible, il faut maintenant savoir comment y accéder. Au cours de cette étape, les informations collectées lors des phases précédentes sont mises en relation pour déterminer si l’attaque choisie est réalisable. Les informations recueillies grâce à des scans de ports, des scans de vulnérabilités, ou celles issues de la collecte de renseignements sont notamment prises en considération.

5

L’exploitation

La variété de scénarios d’exploitations est très large. Elle dépend du type de pentest et des cibles et peut aller des attaques sur les acteurs humains (phishing, usurpation d’identité) jusqu’à la recherche de failles « 0 day » si toutes les autres méthodes ont échoué en passant par de la rétro-ingénierie, la manipulation de requêtes, la mise en place de scénarios “Man in the Middle” ou le fuzzing (injections de données erronées). Le tout en essayant d’éviter les moyens de protection et de détection en place si les conditions du pentest l’exigent.

Le pentesteur doit toujours vérifier que les techniques d’exploitations utilisées correspondent au périmètre et aux conditions d’engagement convenues avec le client.

6

La phase post-exploitation

La phase postérieure à l’exploitation est une phase critique dans un test d’intrusion. Elle commence après l’intrusion dans le système attaqué et consiste à déterminer sur celui-ci les informations qui ont le plus de valeur. Il s’agit de montrer l’impact financier que pourrait avoir une fuite ou une perte de ces informations sur l’entreprise.

7

Le rapport

La phase d’élaboration du rapport est sans nul doute la phase la plus importante d’un test d’intrusion, car l’intérêt de sa réalisation doit s’y trouver justifié. Le rapport établit ce qui a été réalisé lors du test d’intrusion ainsi que la manière utilisée. Il doit surtout mettre en lumière quelles sont les faiblesses à corriger et comment le système cible peut être protégé contre de telles attaques