Test d'intrusion : pour quoi faire ?

Vous avez peut-être déjà entendu parler de test d’intrusion, ou pentest, mais de quoi s’agit-il exactement et à quoi cela sert-il ?

Un test d’intrusion est une simulation de conditions d’attaques réalistes sur un système d’information, afin de mesurer les risques auxquels il est exposé. Il permet de déterminer la façon dont les hackers peuvent contourner les mécanismes de sécurité mis en place, de façon à aider les entreprises à mettre en place les bonnes mesures afin de mieux se protéger.

De manière plus précise, le test d’intrusion vise à :

simuler des attaques réelles
identifier les vulnérabilités et leur impact
proposer des mesures correctives

Quels sont les tests réalisés ?

L’étendue des tests réalisés va dépendre de la convention d’audit, définissant le périmètre (noms de domaines, adresses IP, etc.) ainsi que les règles d’engagement (types d’attaques autorisés/interdits).

Une fois le périmètre et les règles d’engagement définis, l’audit peut commencer, en suivant les étapes suivantes :

Collecte d’informations : il s’agit de regrouper un maximum d’informations sur le système cible. Ces informations peuvent être très variées et ne sont pas nécessairement techniques : liste d’adresses IP, nom d’un employé, horaires de travail, versions des logiciels utilisés, etc. Cette collecte va permettre par la suite d’orienter les tests.
Énumération : le but de cette étape est de liste un maximum de machines ou services disponibles (que ce soit en externe ou en interne). Cette phase utilise les informations récoltées à l’étape précédente afin de déterminer quels sont les point faibles ou les systèmes à attaquer.
Recherche de vulnérabilités : Une fois l’identification des vecteurs d’attaque effectuée, les systèmes concernés sont analysés à la recherche de vulnérabilités.
Exploitation : cette partie est celle où le pentester (consultant réalisant le test d’intrusion) va exploiter les vulnérabilités trouvées afin de s’introduire sur les systèmes. Cela permet de valider les vulnérabilités, mais également de définir leur impact sur les systèmes, et donc leur niveau de criticité.
Post-exploitation : une fois que le pentester s’est introduit sur une machine, il va essayer de récolter un maximum d’informations sur celle-ci afin de définir son rôle au sein du système d’information. Par ailleurs, il va également tenter d’élever ses privilèges, d’installer des backdoors, etc.
Rapport : le rapport contient la description détaillée de ce qui a été réalisé lors du pentest. Il comprend notamment la liste des vulnérabilités exploitables listées, ainsi que des propositions de correctifs permettant d’améliorer la sécurité des systèmes.

Où se déroule le test ?

En fonction du type de test réalisé, le pentester pourra se trouver dans les locaux de l’entreprise réalisant le test ou dans les locaux du client. Il s’agit ici de faire la distinction entre les tests externes, ciblant les services disponibles depuis internet, et les tests internes ciblant le réseau interne de l’entreprise.

Quand réaliser un test d'intrusion ?

Le test d’intrusion ne doit être qu’une composante de la stratégie globale de sécurité d’une entreprise. Il est préférable d’en faire réaliser avant qu’il ne soit trop tard, c’est à dire :

Avant ou lors de la mise en service d’une nouvelle plateforme/application
Après des changements majeurs au niveau du système d’information
De manière régulière afin de suivre l’évolution des techniques d’attaques et des mécanismes de sécurité à mettre en place.

Conclusion

Le test d’intrusion vise à trouver un maximum de vulnérabilités, et ainsi pouvoir les corriger avant qu’elles ne soient exploitées par une personne ou un organisme malveillant. Avec l’augmentation constante du nombre d’attaques et les nouvelles réglementations mises en place (RGPD, etc.), il est de plus en plus indispensable d’évaluer le niveau de sécurité de ses systèmes, ce qui passe entre autres choses par le test d’intrusion.