Les tests d’intrusion (en anglais Penetration Test ou pentest en abrégé) sont des tests complets permettant de déterminer les vulnérabilités et la résilience d’un Système Informatique d’une entreprise face à des attaques.
Les tests d’intrusion s’apparentent, dans les techniques et méthodes utilisées, à des attaques opérées par des hackers. Les experts en cybersecurite prennent pour cible le système informatique par tous les biais possibles afin de le compromettre. Toutes les techniques mises en œuvre pour s'introduire dans le système informatique sont enregistrées et détaillées dans un rapport qui fait état des vulnérabilités identifiées et des solutions à mettre en place pour améliorer le niveau de sécurité informatique de l’entreprise.
Les tests d’intrusion diffèrent des scans de vulnérabilité. L’objectif du scan de vulnérabilité est d’identifier rapidement les failles de sécurité les plus courantes via un scan automatique. Le test d’intrusion constitue, pour sa part, une méthode d’audit de sécurité plus complète, permettant l’analyse de l’impact réel de tous types de failles de sécurité, des plus courantes aux plus poussées, détectables ou non par des outils automatiques. Lors du pentest, on observe une phase d’exploitation manuelle des vulnérabilités identifiées par le pentester qui n’existe pas lors du scan de vulnérabilité.
Nos usages, de plus en plus connectés au web, induisent des données davantage exposées. Or nos systèmes d’informations sont rarement suffisamment protégés contre les cyberattaques et présentent de nombreuses failles de sécurité que des hackers peuvent exploiter. En entreprise, les conséquences peuvent aller jusqu’à la cessation d’activité.
L’objectif principal d’un test d’intrusion est d’identifier ces failles de sécurité afin de permettre à l’entreprise d’engager les mesures correctives nécessaires.
Le test d’intrusion est réalisé selon une méthodologie rigoureuse et structurée, pouvant être adaptée aux spécificités du système cible selon qu’il s’agisse d’un pentest interne, d’un pentest web, OT, etc. Il comprend un ensemble d’étapes clés, pouvant être cycliques, permettant une approche réaliste simulant les actions d’un individu malveillant.
Les 6 phases suivantes, moyennant quelques variantes, se retrouvent toutefois dans tous types de pentests :
• Préparation
La phase de préparation consiste à cadrer la mission, c’est-à-dire, dans un premier temps, de comprendre le contexte et les enjeux du client. Cela va permettre de définir l’objectif de l’audit, le périmètre à auditer, les prérequis et d’identifier les types d’audits nécessaires à l’évaluation de la sécurité du système cible en adéquation avec le niveau de sécurité attendu. Dans un second temps il s’agira de préparer les prérequis nécessaires qu’ils soient techniques ou organisationnels comme la signature des autorisations et de réaliser un suivi afin de s’assurer que la mission puisse démarrer dans les meilleures conditions possibles.
• Reconnaissance ou prise d’empreinte
Cette phase consiste à cartographier les hôtes présents dans le système d’information audité de façon passive ou active ainsi que les ports et services associés. Il s’agit aussi de rechercher des vulnérabilités de façon automatique ou manuelle.
• Exploitation
Lors de la phase d’exploitation, le pentester va tenter d'exploiter chaque faille de sécurité identifiée lors de la phase précédente afin d’exercer un contrôle sur le système informatique cible. L’objectif de cette phase est de tester la véracité des vulnérabilités et d’évaluer leur impact en conditions réelles ainsi que leur niveau de criticité dans le contexte client.
• Post-Exploitation
L’objectif de la phase de post-exploitation est d’élever ses privilèges si la vulnérabilité exploitée donne des droits utilisateurs. Dans tous les cas, il s’agit de récupérer le maximum de données sur la cible compromise comme des informations d’identification (mots de passe, hash, token) afin de pouvoir se déplacer latéralement dans le système d’information audité. En d’autres termes, le pentester va essayer de compromettre de nouvelles cibles afin d’augmenter ses droits sur l’Active Directory.
• Nettoyage
L’objectif de la phase de nettoyage est de rendre le système audité dans son état d’origine, c’est-à-dire dont la sécurité n’a pas été dégradée. Cette phase est en général effectuée à la fin de l’audit.
• Rapport détaillé
Le pentester fait état aux clients de la méthodologie employée lors du pentest et des éventuelles failles et vulnérabilités découvertes au sein du Système Informatique. Pour chaque vulnérabilité identifiée, un constat détaillé est rédigé, décrivant les prérequis nécessaires à son exploitation, une description de la vulnérabilité, son impact sur l’environnement cible ainsi qu’une recommandation technique associée pour corriger la vulnérabilité. Seront également fournis les indicateurs suivants : score CVSS, niveau de sévérité, métrique de base, priorité de correction, difficulté de correction. Ces indicateurs permettront de proposer un plan d’action.
• Notre expertise
Plus de 100 audits techniques réalisés chaque année (tests d’intrusion, revue d’architecture, audit de configuration, revue de code…) assurant notre maîtrise totale de leur réalisation. La diversité des contextes que nous auditons : environnements (IT, OT, IoT), systèmes d’exploitation (Windows, Linux, IOS, Androïd…) et équipements (serveurs, postes de travail, équipements réseaux…)
• Notre savoir-faire
L’utilisation des méthodologies basées sur les standards reconnus (OWASP…) assurant la qualité de nos interventions. Notre qualification PASSI sur les 5 portées (test d’intrusion, revue de configuration, audit de code, audit d’architecture, audit organisationnel et physique) garantissant une intervention respectant les exigences formulées par l’ANSSI. Notre approche holistique de la cybersécurité garantissant la formulation de préconisations pertinentes et adaptées à votre contexte.
• Notre équipe
Nos auditeurs techniques expérimentés (+7 ans d’expérience en moyenne) garantissant un fort niveau d’expertise dans la réalisation des tests techniques. La certification et la formation régulière de nos auditeurs assurant le maintien à jour de leur expertise technique et connaissance des vulnérabilités les plus récentes. Notre motivation à vous accompagner et développer un partenariat sur la durée.