Avec les cas de cyberattaques de plus en plus nombreux relayés par les médias, les entreprises doivent désormais s’assurer que leurs systèmes informatiques sont suffisamment sécurisés. Il faut suivre une liste de bonnes pratiques à l’instar de l’authentification multifacteur et de l’utilisation de mots de passe plus complexes. Toutefois, pour vraiment être sûr qu’il n’y ait pas de vulnérabilités facilement exploitables par les pirates, rien ne vaut une simulation d’attaque grandeur nature : le test d’intrusion informatique. On fait le point ensemble sur les éléments à connaître sur ce test.
Qu’est-ce qu’un test d’intrusion informatique au juste ?
Appelé aussi “pentest” (contraction de “penetration test”), le test d’intrusion informatique vise comme son nom l’indique à tester la robustesse d’un système informatique. Pour ce faire, les testeurs vont adopter le rôle de pirates potentiels en cherchant à passer outre les barrières de sécurité. Bien sûr, l’objectif n’est pas d’endommager le système, mais simplement de démontrer qu’il possède des vulnérabilités qu’il faudra combler au plus vite.
On peut ainsi dire que cela va un peu plus loin qu’un simple audit de sécurité puisque ce dernier est purement théorique. Effectivement, il sert surtout à répertorier les points faibles d’un système donné sans que vous puissiez vous rendre compte de l’ampleur causée par une véritable attaque. D’ailleurs, les impacts de celle-ci dépendent aussi des informations que les hackers disposent sur l’entreprise. C’est pourquoi les tests d’intrusion informatiques sont plus indiqués afin d’obtenir une évaluation plus précise de la robustesse d’un système.
Comment se déroule un test d’intrusion informatique ?
La sélection d’un prestataire informatique
Pour qu’un test d’intrusion informatique ait du sens, il faut qu’il soit réalisé par un prestataire informatique externe à votre entreprise. En effet, il faut encore une fois se mettre à la place des hackers qui n’ont que des infos limitées sur votre entreprise. Évidemment, vous ne pourrez pas confier cette tâche à n’importe quel prestataire puisque si ce dernier n’est pas assez compétent, le test ne risque pas de révéler grand-chose. Voici quelques critères pour le choix d’une entreprise de sécurité informatique pour effectuer ce type de test :
- La présence d’une certification reconnue. Dans le domaine de la cybersécurité, il existe entre autres la certification CEH (Certified Ethical Hacker) qui est assez populaire. Elle a pour but de démontrer des compétences d’hacking éthique dans le cadre d’un test d’intrusion.
- L’expérience du prestataire informatique dans le secteur. À partir de 10 ans d’expérience, on peut considérer que l’entreprise connaît bien son sujet.
- La réputation du prestataire. Si vous constatez qu’une majorité d’avis positifs ont été déposés sur une plateforme de notation neutre, c’est plutôt bon signe.
La mise en place d’une méthodologie adéquate
Si chaque prestataire informatique spécialisé en test d’intrusion possède ses propres préférences en termes de méthodologie, il faut savoir qu’il en existe plusieurs qui n’ont pas exactement les mêmes objectifs. Cela dépend aussi notamment du type de système à pénétrer et du type de vulnérabilité que l’on cherche à détecter. Prenons l’exemple de la méthodologie OWASP pour que ce soit plus clair.
Celle-ci concerne avant tout les tests d’intrusion sur les applications Web qui doivent s’effectuer selon un cadre précis. Dans un premier temps, l’expert va récolter toutes les informations qu’il peut obtenir sur le Web sur votre système comme le ferait un hacker. Ensuite, il va s’occuper de répertorier toutes les fonctionnalités présentes dans votre infrastructure, ce qui s’appelle le “mapping” dans le milieu. Enfin, il va tenter de détecter un maximum de failles potentielles pour tenter de les exploiter et d’atteindre vos données confidentielles.
Notez qu’en fonction de votre secteur d’activité, on pourra vous recommander une méthodologie particulière pour des raisons réglementaires. Pour le secteur bancaire, c’est par exemple le cadre NIST qui prévaut avec des mises à jour régulières proposées afin de répondre aux enjeux naissants.
Le choix d’un ou plusieurs tests d’intrusion
L’un des grands points d’ombre avec la cybersécurité est que l’on ne connaît pas exactement les informations entre les mains des hackers. Rappelons qu’en cas de leak (= fuite d’informations) involontaire d’un employé, ceux-ci pourraient très bien détenir la liste de vos collaborateurs avec tous leurs emails personnels. D’autre part, votre communication sur les réseaux sociaux et d’autres canaux a aussi une incidence sur ce que l’on peut savoir publiquement sur vous.
C’est pourquoi les prestataires informatiques proposent plusieurs types de tests d’intrusion qui sont répartis en trois niveaux. Le premier niveau est le test de type “en boîte noire” avec lequel on part du principe que le hacker ne connaît rien sur votre entreprise. L’expert va ainsi effectuer des recherches sur le Web, interroger les serveurs DNS ou encore s’informer sur le service WHOIS pour réunir toutes les infos publiques. S’il parvient à pénétrer dans votre système informatique avec ce type de test, cela signifie qu’il est très vulnérable.
Le second niveau est celui appelé “en boîte grise”. Le plus souvent, l’expert détient un accès authentifié à une de vos applications, mais avec des droits limités. Il va ainsi tenter d’outrepasser ses droits pour accéder à des informations qu’il ne devrait pas pouvoir visualiser. Cela peut être utile pour savoir ce qu’un hacker pourrait commettre s’il parvenait à dérober les identifiants d’un employé de votre entreprise.
Enfin, le test d’intrusion “en boîte blanche” est celui dans lequel le testeur a accès à des infos très sensibles : le code source de votre application, les schémas d’architecture… Son but principal ici est de trouver des failles qui pourraient être problématiques si elles étaient découvertes. Bien évidemment, vous aurez droit à un rapport détaillé établissant des pistes d’amélioration pour vos systèmes informatiques.
