En matière de protection informatique, tout évolue en permanence. C’est ce qui rend le sujet aussi intéressant mais aussi, aussi complexe à saisir. Pour bien protéger ses infrastructures, il faut rester aux aguets de toutes les nouvelles tendances. Mais même lorsque l’on suit toutes les bonnes pratiques, toutes les recommandations, il y a toujours de la place pour de l’amélioration. Selon l’adage “la meilleure défense, c’est l’attaque”, le meilleur moyen de parer aux nouvelles méthodes de piratage et d’intrusion pratiquées par les hackers, ou encore, de vérifier la vulnérabilité de son infrastructures à des attaques plus sournoises, comme par exemple, des attaques internes, consiste à effectuer des tests s’apparentant le plus possible à ce qui se produit dans la réalité. Dans cet article, nous expliquons ce qu’est un test d’intrusion, comment le réaliser et les critères de choix du prestataire en charge de la manœuvre.

Qu’est-ce qu’un test d’intrusion informatique ?

Un test d’intrusion est une opération qui consiste à tester un système informatique, un réseau ou une application web, afin de déceler des vulnérabilités. Pour ce faire, le tiers en charge du test va adopter une démarche et posture d’attaquant malveillant, en tout point similaire à celle d’un attaquant réel.

Un test d’intrusion à deux objectifs :

  • évaluer le risque de piratage
  • identifier des pistes pour réduire ce risque

Il existe différents tests d’intrusions, internes, externes, systèmes ou applicatifs…

Pourquoi réaliser un test d’intrusion ?

Un test d’intrusion est une démarche bien spécifique, et qui apporte des éléments différents par rapport à un scan de vulnérabilité ou à un audit de sécurité :

Différence entre le test d’intrusion et l’audit de sécurité :

L’audit de sécurité permet d’évaluer la sécurité d’un système ou d’une application par rapport à un référentiel, constitué généralement par la politique de sécurité informatique de l’entreprise, des textes de loi, des normes, références ou bonnes pratiques en cours.
Le test d’intrusion évalue la sécurité non pas par rapport à des normes, mais par rapport aux pratiques réelles de piratage à un instant T.

Différence entre le test d’intrusion et le scanner de vulnérabilité

Un scanner de vulnérabilité est une démarche consistant à utiliser un outil automatisé pour analyser les ports ouverts sur une machine donnée ou sur un réseau. Par rapport au test d’intrusion, cela ne couvre donc qu’une partie infime des vulnérabilités possibles, et la démarche d’automatisation limite donc également les possibilité de découvrir des failles insoupçonnées.

Comment faire un test d’intrusion ?

Définition du périmètre

Le premier point à considérer lors de la réalisation d’un test d’intrusion est de définir correctement le périmètre du test. Et pour définir ce périmètre, il est préférable d’avoir préalablement réalisé un audit de sécurité informatique permettant d’obtenir une analyse des risques et d’identifier les informations sensibles à protéger et les objectifs de sécurité.

Stratégie et types de tests d’intrusion

Une stratégie de test sera mise en place en fonction du niveau d’information disponible, du niveau d’accès utilisateur et du niveau d’accès réseau. On parle de “white box”, “black box” ou de “grey box” en fonction des conditions de piratage que l’on essaie de reproduire.
Par exemple, en mode “Black box” le pirate n’a accès à aucune information du système, tandis qu’en mode “White box”, il possède l’intégralité des informations dont il a besoin, par exemple, la cartographie complète du système d’information, la liste des serveurs, leurs IP, etc.

Réalisation du test et obtention d’un rapport

Le test est lancé à partir de scénarios d’attaques. Suite aux différents essais, réalisés en conditions réelles, le prestataire responsable de la procédure établi un rapport.
Le rapport du test d’intrusion détaille les conditions exactes du test et les moyens de les reproduire. Il reporte :

  • la liste des vulnérabilités découvertes,
  • leur niveau de risque,
  • leur probabilité d’occurrence,
  • leur impact éventuel sur le système,
  • une liste de recommandations pour pallier à ces vulnérabilités, et diminuer le risque à un niveau acceptable.

Choisir un prestataire pour un test d’intrusion

Bien entendu la méthodologie de réalisation du test et les outils utilisés ont une importance mais le principal critère à prendre en compte lors de la sélection d’un prestataire pour la réalisation d’un test d’intrusion c’est l’expérience et les compétences de l’équipe en charge du test. Car il faut bien comprendre que pour reproduire les attaques mises en œuvre par les pirates, en perpétuelle évolution, il faut davantage que de l’expérience, il faut également être à la fois compétent et ingénieux.
Ivision vous propose ses services en matière de sécurité informatique, d’audit de sécurité, de tests d’intrusions… POur en savoir plus, con sultez notre page Securité Informatique ou contactez-nous directement…