Les tests d'intrusion ou pentests

Les menaces des cyberattaques pèsent de plus en plus sur les entreprises et les collectivités. Votre organisation manipule vraisemblablement des données sensibles ou personnelles. Il est très probable qu'elle soit connectée à internet et utilise divers services tels que la messagerie, le partage de fichiers, la communication unifiée, le marketing, etc.

Recommandé ou requis par plusieurs méthodologies, normes et réglementations telles que l'ISO/EIC 27001 ou PCI DSS, le "pentest" ou test d'intrusion a pour but d'analyser l'infrastructure informatique et de simuler une attaque provenant d'un utilisateur malveillant ou d'un logiciel nuisible.

 

icon-down-circled

Interne ou externe ?

icon-up-circled
L'objectif d'un pentest est d'évaluer le niveau de sécurité d'une infrastructure, d'un service web ou encore d'un site e-commerce. Pour cela, l'auditeur (ou communément appelé pentester ou ethical hacker), va tester la cible en simulant des attaques réelles.

Externe

Cette forme d'audit peut être exécutée sur des cibles extérieures de l'entreprise, comme les sites web accessibles sur internet ou les API publiques. Le professionnel en test d'intrusion (pentester) effectue ces tests à distance, par le biais d'une connexion internet basique. Il imitera des attaques menées par des parties malveillantes de manière anonyme.

Interne

Ce type d'audit peut également être mené en interne, directement depuis les locaux de l'entreprise. Dans cette configuration, le pentester simule des actions malveillantes depuis l'intérieur de l'entreprise. L'objectif est d'évaluer le niveau de risque lié à une éventuelle compromission par un employé, un partenaire ou un prestataire de l'entreprise.

Une fois le périmètre déterminé, il convient de choisir quel type de pentest va être réalisé

Black Box

L'approche "Black Box" ou "Boîte Noire" implique d'évaluer le niveau de sécurité de la cible sans disposer d'aucune information préalable. Dans cette situation, l'auditeur se place dans la position d'un acteur malveillant classique. Cette approche exige une méthodologie bien définie ainsi que du temps pour explorer minutieusement la cible.

Grey Box

L'approche "Grey Box" ou "Boîte Grise" vise à maximiser l'efficacité en optimisant le temps et la portée de l'attaque. Le pentester reçoit un ensemble restreint d'informations pour définir le périmètre d'analyse. Cela permet au pentester de concentrer ses efforts sur ce périmètre défini.
L'approche adoptée dans ce contexte est non biaisée. Tout équipement ou application accessible depuis internet est soumis à une évaluation. Cependant, que le test d'intrusion soit réalisé selon une approche "Black Box" ou "Grey Box", la communication entre l'entreprise et l'auditeur joue un rôle essentiel. Il est crucial de définir précisément le périmètre, de gérer les incidents, etc. pour que le résultat soit le plus pertinent et complet possible pour le client. Que ce soit pour dresser un bilan actuel ou pour une étape lors de la mise en place de nouveaux produits, le test d'intrusion (ou pentest) est indispensable pour évaluer votre niveau de sécurité. Il s'ajoute à votre dispositif global de cybersécurité.