Les attaques informatiques constituent de véritables dangers pour les entreprises, c’est l’un des pires fléaux rencontrés de nos jours, elles sont en constante progression et de plus en plus sophistiquées, tous les professionnels vous le diront, et les rapports en ce sens polluent sur le net.
Et cela rapporte gros, d’après le rapport X-Force Threat Intelligence Index 2020 d’IBM, près de 60% des cyberattaques font usage de données d’identification volées ou des vulnérabilités logicielles détectées en amont, c’est pour cela qu’elles se développent avec tant de vigueur.
Pour faire face, le « pentesting » a été développé, son but initial se prémunir contre tous les types d’intrusions dans un Système d’Information (SI), son origine remonte à 1965, et il fut abordé pour la première fois, lors d’une conférence, sur la crise informatique aux USA, faite par la société CDC.
En simulant, le test de pénétration, les pirates réussissent à surfer sur les entrées et les sorties, afin de mieux percer les SI. Tous les secteurs d’activités dans le monde en sont demandeurs (les grands groupes, les industriels, les multinationales, les grandes banques).
Pour la petite histoire, le terme « pénétration », fut choisi en 1967, pour définir la violation d’un système de sécurité, et le terme « pentesting » vit le jour en 1970, pour approfondir en désignant la pénétration dans un ordinateur, ou un réseau d’ordinateurs.
Depuis plusieurs années, le nombre de cyberattaques double, année après année, voyez les statistiques des organismes spécialisés sur le sujet (ANSII). L’intention des pirates est variée, mais les principales motivations sont toujours d’ordre :
-
économique,
-
politique
-
ou juste pour le fun ou challenge de l’exercice !
La vente des fichiers volés, les accès aux comptes bancaires, sont très rentables pour les « hackers », et comme ils gagnent beaucoup d’argent, ils répètent les opérations autant que possible, en inventant si nécessaires des outils pour cela (cas du cheval de troie, Rutless).
Sommaires
Qu’est ce qu’un Pentest Cybercriminalité ou Audit de vulnérabilités
Préconisée, pour ne dire exigée par un certain nombre de méthodologies et de réglementations, le « pentest » ou test d’intrusion, ou audit des vulnérabilités, a pour objectif d’analyser votre infrastructure informatique et simuler l’attaque d’un utilisateur mal intentionné (hackeur) ou d’un logiciel malveillant, quel qu’il soit (Ransomwère, Malware ou autre).
L’objectif initial d’un pentest est d’évaluer le niveau de sécurité d’une infrastructure, d’un réseau, d’un service web ou encore d’un site e-commerce. Pour cela, l’auditeur our responsable de sécurité (communément appelé pentester ou ethical hacker), va tester la cible en simulant des attaques réelles, qu’elles soient depuis l’intérieur ou bien depuis l’extérieur.
Un test d’intrusion, ou test de pénétration, ou encore Pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d’un attaquant (connu aussi sous le nom de hacker malveillant ou pirate). Cette cible peut être :
-
une IP,
-
une application,
-
un serveur web,
-
ou un réseau complet.
-
Des axes différents, Gray Box, Back Box, White Box, défensifs ou offensifs.