Le Blog de la Fabrique du Net
Accueil

>

Blog – La Fabrique du Net

>

Test d’intrusion informatique : définition, objectifs & méthode

Vous doutez des performances de votre politique de sécurité informatique ? Avez-vous déjà pensé aux tests d’intrusion, ou pentests ? Vous ne savez pas ce que c’est ? Vous tombez bien ! Nous allons vous apporter des précisions sur ces tests qui s’appuient sur les méthodes réelles des hackers. Ils permettent de trouver et de tester les failles de votre système informatique afin de mettre en place une stratégie de sécurité adaptée à votre entreprise.

Découvrez tout de suite ce qu’est un test d’intrusion, comment il se déroule, et comment choisir un prestataire qualifié.

 

Qu’est-ce qu’un test d’intrusion informatique ou “Pentest” ? [Définition]


Le pentest, aussi appelé test d’intrusion, est un test complet d’un système informatique (réseau complet, serveur, application ou adresse IP). Le test d’intrusion vise à mesurer avec précision les failles et les risques réellement encourus à l’instant T. Ce test simule les pratiques couramment utilisées par les pirates informatiques (ou hackers) et par les logiciels malveillants (malwares), pour s’introduire dans un système afin de voler ou de détruire des données.

À l’issue de ces tests, le testeur, ou plus exactement le pentester, établira un rapport des failles qu’il a rencontrées et qu’il a pu exploiter. Ces failles doivent être rapidement corrigées, car elles constituent un risque réel pour le système informatique analysé.

Quelles différences entre un test d’intrusion et un audit de sécurité ou un scan de vulnérabilité ?

On différencie le pentest d’un audit de sécurité et d’un scan de vulnérabilité. Le premier vise à examiner une infrastructure informatique et les méthodes de sécurité mises en place, et à s’assurer que ces dernières répondent aux normes et aux bonnes pratiques en vigueur. Le scan de vulnérabilité de son côté équivaut à l’une des étapes du test d’intrusion, puisqu’il vise à détecter les failles existantes, sans les exploiter concrètement.

Le test d’intrusion va plus loin que ces deux méthodes. Il a pour but d’exploiter les failles détectées pour atteindre les données d’un système informatique, comme le ferait un hacker. Le testeur identifie ainsi clairement les dangers d’une telle intrusion (perte de données, défaillance ou destruction du système informatique, vol d’informations sensibles, etc…).

Dans quels cas faire un test d’intrusion informatique ?


Les cybers attaques sont plus que jamais d’actualité. Leur nombre est en perpétuelle croissance, elles ont doublé en quelques années. Elles peuvent prendre différentes formes. La plupart du temps, les hackers ont un objectif économique, et visent le vol de données bancaires, ou le raçonnage. Les rançongiciels (ransanwares) permettent aux hackers de verrouiller des données sensibles de votre entreprise, et de vous réclamer une rançon pour vous redonner accès à celles-ci.

Globalement, effectuer un Pentest ou Test d’intrusion a pour objectifs :

  • De déceler les vulnérabilités effectives de votre système ;
  • De mesurer les conséquences que pourraient avoir une cyberattaque sur votre entreprise ;
  • De mettre en place des mesures de sécurité correctives adaptées à votre système informatique et aux failles détectées ;
  • D’être en conformité avec les normes RGPD.
Il existe des assurances qui couvrent les risques cybers, consultez notre guide sur les assurances dédiées aux cubers attaques.

 

Les différents types de tests d’intrusion


Les tests d’intrusion revêtent 3 différents types de mises en situation :

  • La boîte noire (blackbox test) : le pentester est dans la peau d’un hacker potentiel sans information préalable.
  • La boîte grise (greybox test) : le testeur possède un nombre limité d’informations : souvent un identifiant utilisateur et un mot de passe.
  • La boîte blanche (whitebox test) : le consultant en intrusion informatique possède toutes les informations dont il a besoin concernant votre système informatique.

Si l’objectif final reste la sécurité globale de votre système informatique, l’approche est bien différente.

La boîte noire

La méthode de la boîte noire consiste donc à faire appel à un professionnel qui agit à la manière d’un véritable pirate informatique. Avec pour seule information le nom de votre entreprise, il tentera par tous les moyens de pénétrer dans votre système, et d’atteindre vos données, sans que vous ne lui donniez le moindre accès préalable.

Vous ne serez d’ailleurs pas prévenu du test d’intrusion. Vos équipes informatiques peuvent alors éventuellement détecter l’intrusion et agir en conséquence. Ces réactions feront partie des méthodes de sécurité évaluées par le testeur.

C’est une mise en situation très concrète, qui permet de mettre en évidence les failles de votre système de sécurité informatique, et les risques réels que vous encourez si un hacker décidait de vous attaquer.

La boîte grise

Ici, la mise en situation part d’un principe différent : l’attaquant possède les codes d’accès de l’un des utilisateurs de votre SI. Il s’infiltre ensuite dans le système informatique de votre entreprise grâce à cette authentification, et tente à nouveau d’atteindre toutes les données sensibles de votre réseau.

Le testeur identifie alors les risques liés notamment à la gestion des droits d’accès de vos différents profils d’utilisateurs, et à leurs possibilités d’obtenir plus de droits de façon plus ou moins facile.

La boîte blanche

La stratégie de la boîte blanche simule le type de cyber attaque la plus redoutable : le hacker s’est procuré toutes les informations utiles concernant votre infrastructure informatique et/ou votre site web. Un hacker peut avoir obtenu ces informations via l’installation d’un logiciel espion, via une surveillance physique (espionnage), ou par une tierce personne lui ayant fourni ces informations.

Le pirate accède donc sans problème à toutes les informations souhaitées, et peut les copier, ou les détruire à volonté. Ici les risques liés au stockage de données seront notamment montrés du doigt, ainsi que l’utilité de crypter les informations sensibles.

Dans ce cas, le testeur possède donc tous les mots de passe, et toute la documentation technique de votre SI. Il travaillera en collaboration avec votre équipe informatique pour tester chaque élément de votre infrastructure.

Comment se déroule un test d’intrusion informatique concrètement ?

D’une manière générale, un test d’intrusion comprend 4 étapes fondamentales :

  • La reconnaissance
  • Le mapping ou l’inventaire
  • Discovery ou l’identification des vulnérabilités
  • L’exploitation des vulnérabilités

Étape #1 : La reconnaissance, ou l’obtention des informations de base sur la cible

Durant cette phase, le pentester recueille toutes les informations possibles sur l’infrastructure à tester (l’adresse IP, le type de matériel et les technologies utilisés, et le type de données disponibles sur le SI).

Ces informations peuvent être facilement accessibles dans le domaine public (site internet de l’entreprise, les réseaux sociaux, ou articles lui étant consacrés). Tout comme les hackers, le pentester dispose d’outils lui permettant de trouver rapidement toutes les informations disponibles sur ses cibles.

Étape #2 : Le mapping, la recherche active de toutes les informations sur le système informatique

Le mapping, aussi appelé l’inventaire, consiste à approfondir les recherches de la phase de reconnaissance. Le pentester va regrouper le maximum d’informations concernant le système à analyser. Il cherchera à détecter les accès au serveur, notamment pour les connexions à distance, les technologies utilisées, le système de sécurité en place, etc.…

À partir des résultats obtenus, le pentester identifie les failles potentielles à évaluer sur votre système informatique.

Étape #3 : Discovery, la recherche des vulnérabilités

À l’aide d’outils spécifiques, ou manuellement, le pentester cherche à détecter les vulnérabilités réelles de votre système informatique (un port ouvert, un antivirus mal paramétré, l’absence d’une mise à jour, un accès sans mot de passe…). Cette phase équivaut à un scan de vulnérabilité. Elle va donc permettre de vérifier si les éventuelles failles identifiées précédemment représentent effectivement un risque au sein de votre infrastructure informatique.

Pour commencer, les principaux risques de sécurité informatique du principe OWASP (Open Web Application Project) sont tous testés. Ensuite, le pentester cherchera d’autres vulnérabilités existantes au sein de votre système informatique, afin de s’assurer qu’aucun risque ne soit écarté.

Etape #4 : L’exploitation des vulnérabilités et l’évaluation de leur impact sur votre entreprise

Après avoir trouvé toutes les failles de votre infrastructure informatique, le testeur va tenter de les utiliser pour s’introduire dans votre système. Il cherchera à atteindre vos données critiques par tous les moyens. Grâce aux informations obtenues précédemment, il sera en mesure de passer vos protocoles de sécurité, ou d’évaluer leurs performances.

Il pourra alors identifier les données qui courent un risque d’intrusion, et le degré de danger pour l’entreprise. Tous ces risques seront ensuite répertoriés dans un rapport détaillé qui vous sera remis à l’issue de tous les tests d’intrusion réalisés. Les corrections à apporter à votre sécurité informatique vous seront également indiquées.

 

Trouver un prestataire informatique pour réaliser votre test d’intrusion


Un test d’intrusion ne peut être effectué que par un professionnel expérimenté. Non seulement il faut des connaissances élevées en informatique, mais il faut également que le prestataire soit à l’affût des pratiques de piratage informatique en constante évolution. Votre prestataire doit être en mesure de détecter toutes les failles possibles, et de proposer des solutions concrètes à chacune d’entre elles.
axido securite informatique
Par exemple, Axido propose, entre autres, des services complets de sécurité informatique. Ils réalisent des tests d’intrusion et des audits de sécurité afin de mettre en place au sein de votre entreprise une politique de sécurité contre les intrusions, et d’assurer la conformité de votre SI avec les RGPD.

Les 300 collaborateurs expérimentés d’Axido sont répartis au sein de 14 agences en France, et agissent auprès des TPE, PME et ETI. Forts de plus de 20 ans d’expérience en informatique, ils suivent de près les évolutions en matière de piratage informatique. Il sont en mesure d’adapter leurs stratégies d’intrusion et d’utiliser les bons outils pour tester la sécurité de votre parc informatique, de vos adresses IP et de votre réseau.

Votre système d’information est-il bien protégé ? Avez-vous déjà réalisé des tests d’intrusion dans votre entreprise ? Si ce n’est pas le cas, ne tardez pas à prendre contact avec un prestataire qualifié.

Cet article a été sponsorisé par Axido. > En savoir plus sur les articles sponsorisés

Vous cherchez un prestataire web ?
Trouvez une agence Placeholder
Placeholder

À propos Julie Blattlin

Je suis consciente des enjeux liés à la digitalisation de votre entreprise. Grâce à mon expérience professionnelle de plusieurs années auprès d’un intégrateur en solutions de gestion informatisées, et aux multiples occasions saisies d’écrire pour différents sites web, je vous apporte mes conseils et vous guide vers les bonnes pratiques de l'entrepreneuriat digital.

Mon but ? Vous conseiller dans le choix des services et solutions qui vous feront gagner en productivité, faire de votre présence sur le web une force pour votre entreprise et offrir une expérience agréable pour vos visiteurs afin de les fidéliser !

Ces articles pourraient aussi vous intéresser

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *