Vous avez des doutes sur la performance de votre politique de sécurité informatique ? La solution : mettre en place des tests d’intrusion, également appelés pentests.
Qu’est-ce qu’un test d’intrusion ?
Un test d’intrusion consiste en un audit de sécurité d’un système d’information et de sa résistance face à une tentative d’attaque. Il vise à mesurer précisément les failles de protection et les risques encourus à un instant t. Il peut concerner un réseau complet, un serveur, une application, ou bien une adresse IP spécifique.
Le test d’intrusion imite les techniques les plus souvent utilisées par les pirates informatiques (ou hackers) et les logiciels malveillants (ou malwares) lorsqu’ils tentent de s’introduire dans un système d’information afin de dérober ou détruire les données qui s’y trouvent.
Pourquoi le réaliser ?
Un test d’intrusion s’appuie sur des méthodes qui sont réellement et régulièrement utilisées par les hackers. De ce fait, il permet de trouver et de tester efficacement les véritables failles de votre système d’information, et surtout de mettre en œuvre la stratégie de sécurité la plus adaptée à votre entreprise.
Quelle est la différence entre un test d’intrusion et un scan de vulnérabilité ?
Un scan de vulnérabilité est un programme ayant pour rôle de détecter les failles présentes dans un réseau, une application ou un système d’exploitation.
Le test d’intrusion, quant à lui, va plus loin : il est conçu pour atteindre les données du système d’information analysé en exploitant les vulnérabilités identifiées, reproduisant ainsi les méthodes des hackers.
Comment le mettre en œuvre ?
4 étapes pour réaliser un test d’intrusion
Afin de réaliser un test d’intrusion dans les règles de l’art, il convient de suivre 4 étapes-clés :
#1 La reconnaissance
Ici, le pentester (l’expert qui réalise le test d’intrusion) récolte des informations open-source sur le système à tester qui pourraient être utilisées par un hacker : il se renseigne sur l’adresse IP, les noms de domaine, le matériel et la technologie utilisés, ainsi que de potentielles fuites de données.
#2 Le mapping (ou inventaire)
Le pentester s’attache ensuite à approfondir les recherches effectuées à l’étape précédente : pour cela, il répertorie toutes les fonctionnalités de l’infrastructure soumise au test.
#3 La discovery (ou identification des vulnérabilités)
À l’aide d’outils spécifiques ou manuellement, le pentester cherche à détecter un maximum de failles dans le système d’information. Citons, à titre d’exemple, un port ouvert, un antivirus mal paramétré, une absence de mise à jour, un accès sans mot de passe, etc. Cette phase équivaut à la réalisation d’un scan de vulnérabilité.
#4 L’exploitation des vulnérabilités
Une fois toutes les failles détectées, le pentester les exploite pour s’introduire dans le système d’information analysé. L’objectif : atteindre les données critiques qu’il contient ! Grâce aux informations récoltées lors des étapes précédentes, il tentera de passer les protocoles de sécurité et de juger leurs performances.
Les 3 objectifs du test d’intrusion
Les tests d’intrusion visent à :
- identifier les données les plus exposées au risque d’intrusion, ainsi que le degré de danger associé ;
- détailler les risques d’intrusion dans un rapport complet ;
- décrire les corrections qui devront être apportées.
Bon à savoir
Le test d’intrusion vous renseigne sur le niveau de sécurité de votre système d’information à un instant t. Il faut donc en réaliser un régulièrement, par exemple une fois par an.
La fréquence recommandée des tests d’intrusion dépend :
- du niveau de risque auquel votre entreprise est exposée ;
- des évolutions techniques de votre système d’information ;
- des enjeux réglementaires.
Il est important de réaliser des tests d’intrusion, mais également de sensibiliser vos utilisateurs aux risques et aux menaces liées aux cyberattaques.