AccueilCybersécuritéPentesting Cybercriminalité : Tests d'intrusion sécurité ou tests de vulnérabilité et pénétration

Pentesting Cybercriminalité : Tests d’intrusion sécurité ou tests de vulnérabilité et pénétration

le:

Les attaques informatiques constituent de véritables dangers pour les entreprises, c’est l’un des pires fléaux rencontrés de nos jours, elles sont en constante progression et de plus en plus sophistiquées, tous les professionnels vous le diront, et les rapports en ce sens polluent sur le net.

Et cela rapporte gros, d’après le rapport X-Force Threat Intelligence Index 2020 d’IBM, près de 60% des cyberattaques font usage de données d’identification volées ou des vulnérabilités logicielles détectées en amont, c’est pour cela qu’elles se développent avec tant de vigueur.

Pour faire face, le « pentesting » a été développé, son but initial se prémunir contre tous les types d’intrusions dans un Système d’Information (SI), son origine remonte à 1965, et il fut abordé pour la première fois, lors d’une conférence, sur la crise informatique aux USA, faite par la société CDC.

En simulant, le test de pénétration, les pirates réussissent à surfer sur les entrées et les sorties, afin de mieux percer les SI. Tous les secteurs d’activités dans le monde en sont demandeurs (les grands groupes, les industriels, les multinationales, les grandes banques).

Pour la petite histoire, le terme « pénétration », fut choisi en 1967, pour définir la violation d’un système de sécurité, et le terme « pentesting » vit le jour en 1970, pour approfondir en désignant la pénétration dans un ordinateur, ou un réseau d’ordinateurs.

Depuis plusieurs années, le nombre de cyberattaques double, année après année, voyez les statistiques des organismes spécialisés sur le sujet (ANSII). L’intention des pirates est variée, mais les principales motivations sont toujours d’ordre :

  • économique,

  • politique

  • ou juste pour le fun ou  challenge de l’exercice !

La vente des fichiers volés, les accès aux comptes bancaires, sont très rentables pour les « hackers », et comme ils gagnent beaucoup d’argent, ils répètent les opérations autant que possible, en inventant si nécessaires des outils pour cela (cas du cheval de troie, Rutless).

Qu’est ce qu’un Pentest Cybercriminalité ou Audit de vulnérabilités

Préconisée, pour ne dire exigée par un certain nombre de méthodologies et de réglementations, le « pentest » ou test d’intrusion, ou audit des vulnérabilités, a pour objectif d’analyser  votre infrastructure informatique et simuler l’attaque d’un utilisateur mal intentionné (hackeur) ou d’un logiciel malveillant, quel qu’il soit (Ransomwère, Malware ou autre).

L’objectif initial d’un pentest est d’évaluer le niveau de sécurité d’une infrastructure, d’un réseau, d’un service web ou encore d’un site e-commerce. Pour cela, l’auditeur our responsable de sécurité (communément appelé pentester ou ethical hacker), va tester la cible en simulant des attaques réelles, qu’elles soient depuis l’intérieur ou bien depuis l’extérieur.

Un test d’intrusion, ou test de pénétration, ou encore Pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d’un attaquant (connu aussi sous le nom de hacker malveillant ou pirate). Cette cible peut être :

  1. une IP,

  2. une application,

  3. un serveur web,

  4. ou un réseau complet.

  • Audit Externe

Ce type d’audit peut être réalisé sur des cibles externes de l’entreprise (sites web accessibles sur internet, API publiques, Réseaux…). Le pentester réalise des tests à distance, depuis une simple connexion internet. Il simulera des attaques d’acteurs malveillants, de manière anonyme, mais contrôlée, attention la moindre alerte ou la moindre faille, doit être analysée et décortiquée en détail.
  • Audit Interne

Cet audit peut être aussi réalisé en interne, depuis les locaux de l’entreprise. Le pentester simulera des actions malveillantes depuis l’intérieur de l’entreprise. Le but est de mesurer le risque de compromission par un collaborateur, un partenaire ou un prestataire de l’entreprise, il ne faut rien négliger (failles), car tout est possible en informatique, et tous les cas, sont à prendre en compte.
  • Des axes différents, Gray Box, Back Box, White Box, défensifs ou offensifs.

Le périmètre déterminé, il convient de choisir quel type est le type de Pentest qui  devra être réalisé, plusieurs approches sont recommandées par les experts, la Gray Box, ou la Black Box, il n’y a pas de choix par défaut, l’une est plus axée sur le périmètre, l’autre sur le temps à y consacrer.

D’autres experts préconisent aussi ce que l’on dénomme,  une phase de White-Box : Le testeur de pénétration a la connaissance complète sur le réseau/système cible, incluant le schéma d’adresses IP, code source, détails des OS… Imaginons que c’est quelqu’un d’interne à la structure.

Cela peut être considéré comme une simulation d’une attaque exécutée par une personne interne à la société (responsable de production ou homme sécurité) qui dispose des informations nécessaires. L’attaque commence à l’intérieur de l’entreprise cliente.

Avec l’expérience, les systèmes évoluent et chez certains prestataires deux logiques ont vu le jour, et ont mis des couleurs, la logique offensive READ TEAM, et la logique défensive, BLEU TEAM, toutes les deux viennent compléter vos dispositifs de cybersécurité, et les choix vous appartiennent.

Pourquoi effectuer des tests de pénétration et à quelle fréquence ?

Toutes les organisations devraient effectuer des pentests à des périodes régulières, au minimum une fois par an, mais l’idéal reste quand même tous les 6 mois, pour assurer une meilleur sécurité du réseau, et une gestion plus cohérente de votre système d’information.

En plus des analyses et des évaluations prescrites par la réglementation, des tests d’intrusion peuvent également être effectués chaque fois qu’une modification conséquente de votre  organisation est envisagée, des exemples pour   :

  • Ajouter une nouvelle infrastructure de réseau ou de nouvelles applications.
  • Apporter des mises à niveau, des nouveaux logiciels
  • Pour faire,  des modifications importantes à ses applications ou à son système d’information.
  • Établir de nouveaux bureaux.
  • Appliquer des correctifs de sécurité.
  • Modifier les politiques relatives aux utilisateurs finaux, ou en ajouter d’autres.

Tout un tas, d’autres facteurs, qui souvent dépendent des entreprises elles mêmes, peuvent influer et rendre nécessaires de procéder à des tests de pénétration, nous les citons (simplement pour mémoire), sans ordre précis, ni sans chronologie :

  •  La taille de l’entreprise :

Les entreprises plus présentes sur Internet ont plus de vecteurs d’attaque et sont donc des cibles plus attrayantes pour les pirates.

  • Le coût des tests :

Les tests de pénétration peuvent être coûteux, de sorte qu’une entreprise disposant d’un budget plus modeste pourrait ne pas être en mesure de les réaliser chaque année.

  • La réglementation et la conformité :

Les organisations de certains secteurs sont tenues par la loi d’effectuer certaines tâches de sécurité, y compris le test d’intrusion du SI.

  • Le système de stockages de données :

Une entreprise dont l’infrastructure est dans le Cloud pourrait ne pas être autorisée à tester l’infrastructure du fournisseur de services dans le Cloud. Cependant, le fournisseur pourra effectuer lui-même des tests de pénétration.

Séparer les Audits, pour mieux les analyser.

Audits de Sécurité

  • Analyses des menaces potentielles
  • Évaluation du niveau de sécurité
  • Identification des vulnérabilités
  • Qualification des risques
  • Formulaire du plan de remédiation
  • Mise en œuvre des remédiations

Audits d’Infrastructure & d’Architecture

  • Architectures applicatives
  • Architectures réseaux
  • Serveurs et systèmes d’exploitation
  • Infrastructures Telecom
  • Audit de code (ou des codes)
  • Audit des processus internes

Pentest, le phases les plus usuelles d’un planning de Pentest.

a) Phase de planning

  • La portée du test :
  • L’estimation de l’effort :
  • La Légalité :

b) Phase de découverte

  • Énumérer les réseau sans-fil cachés et visibles dans la zone.
  • Recenser les appareils dans la zone, ainsi que ceux connectés.
  • Cartographier les portées des réseaux,
  • L’existence d’un éventuel cryptage

c) Phase d’attaque

  • Tester la sécurité physique avant tout :
  • Attaquer l’infrastructure :
  • Faire le scanning des ports,
  • Relever les services (FTP, HTTP, etc).
  • Ne pas oublier d’inclure les sous-réseaux
  • Trouver les clients vulnérables
  • Trouver les clients non autorisés

d)  Phase de reporting

C’est probablement la phase la plus importante de toutes, car il ne faut rien négliger, ni oublier de constater toute anomalie même la plus infime.

Il est important que le rapport représente la qualité du test sachant que le lecteur final ne va voir que le rapport, une attention particulière doit être donnée, pour qu’il soit très lisible.

Ce qui suit est un structure de base, d’un rapport-type :

  1. Résumé sur la gestion/le management
  2. Résumé technique
  3. Résultats :
    — Description de vulnérabilité
    — Sévérités / Défaillances
    — Appareils affectés
    — Types de vulnérabilités : logiciel/matériel/configuration —
  4. Remèdes et solutions préconisées.

Auteur Antonio Rodriguez, Directeur Clever Technologies

Autres articles

Christophe Durand
Christophe Durand
J'adore partager des news sur les Nouvelles technologies, les innovations. Vous trouverez plusieurs catégories que nous vous invitons à découvrir, vous trouverez des articles sur de multiples sujets

Trouver des backlinks puissants

Trouver des backlink

Top Articles

E reputation EntrepriseE reputation Entreprise

Articles connexes

Boite noire, blanche ou grise : que signifient ces termes en informatique ?

L'optimisation de la sécurité du système informatique de votre entreprise est fondamentale pour vous protéger des attaques malveillantes. Les...

Retour aux origines des jeux vidéo rétro: comment l’Atari 2600+ revisite l’histoire du jeu vidéo

La nouvelle jeunesse des consoles et jeux vidéo rétro Alors que les derniers jeux vidéo de génération sont incontestablement...

TCL 40 NXTPaper 5G : vos yeux vont l’adorer

Découvrez le nouveau smartphone TCL 40 NXTPaper 5G, un appareil unique qui offre une expérience de lecture proche...

Révolutionnez votre conduite pour Noël ! Découvrez le CarlinKit Android 11 AI BOX : Votre voiture plus intelligente que jamais

AI BOX est devenu l'un des produits les plus populaires pour transformer votre voiture en un gadget high-tech....