Dans un monde où l’informatique croit de jour en jour et qui voit donc sa surface d’attaque croître conjointement, il faut régulièrement faire appel à un service de Pentesting afin d’effectuer un travail d’audit des vulnérabilités de son SI.
Le test d’intrusion
Le milieu des technologies de l’information est assez complexe, partagé entre des technologies de pointe qui évoluent sans cesse et d’autres, plus anciennes qui sont vouées à disparaître. Sécuriser le réseau des entreprises actuelles représente plus que gérer les correctifs, les règles du pare-feu ou la formation des utilisateurs. Il faut une validation plus ou moins fréquente de ce qui fonctionne et de ce qui ne fonctionne pas. Pour protéger leurs infrastructures critiques, les entreprises investissent des millions d’euros dans des programmes de sécurité visant à en identifier les failles et ainsi empêcher d’importantes fuites d’informations. Le test d’intrusion consiste à ce que des spécialistes de la sécurité informatique simulent des attaques informatiques contre l’entreprise. Les moyens utilisés sont les mêmes que ceux employés par les hackers mais le résultat – les données recueillies sont évidemment restituées à l’entreprise – est d’avoir pu identifier les points faibles et les défaillances dans les programmes de protection potentiellement exploitables pour qui souhaiterait les contourner, et, ensuite, de les corriger. Le rôle d’une personne qui réalise un test d’intrusion est donc de démontrer, d’une manière non bloquante, comment une personne mal intentionnée pourrait causer d’énormes problèmes à l’entreprise en impactant principalement sa capacité à générer des revenus, à maintenir sa réputation et à protéger ses clients. Pour réaliser ces tests le testeur peut s’appuyer sur des standards tels que le Penetration Testing Execution Standard (PTES), (Voir le site The Penetration Testing Execution Standard).
Le standard PTES
Le PTES est un standard adopté par d’éminents représentants du monde de la sécurité informatique. Son but principal est de définir et de porter l’attention sur ce qu’est un vrai test d’intrusion, notamment en établissant un ensemble de principes fondamentaux essentiels à son bon déroulement. Le standard est structuré en sept catégories.
1) Les engagements pris avec le client
Les réunions préalables à l’engagement avec le client permettent de discuter du degré de couverture du test d’intrusion qui sera réalisé. L’ensemble des engagements pris avec le client sont définis lors de cette phase.
2) La collecte de renseignements
La phase de collecte de renseignements consiste à récupérer n’importe quelle information à propos de l’entreprise testée. Pour cela, le testeur utilise les réseaux sociaux, le Google hacking (Récupérer des données sensibles en lançant des requêtes spéciales sur le moteur de recherche), ou encore le footprinting (Récolter des informations dont l’accès est libre et autorisé sur les systèmes informatiques cibles via des méthodes telles que l'énumération réseau, l'identification du système d’exploitation, les requêtes Whois, les requêtes SNMP, le scan de ports, etc.). Les informations obtenues sur la cible procurent ainsi de précieuses indications sur les sécurités mises en place.
3) La modélisation des menaces
La modélisation des menaces exploite les informations recueillies lors de la collecte de renseignements. L’analyse des résultats obtenus permet de déterminer la méthode d’attaque la plus efficace contre le système cible. Il s’agit principalement d’identifier les faiblesses de la cible et de monter son plan d’attaque en fonction de ces dernières.
4) L’analyse de vulnérabilité
Après avoir identifié le type d’attaque le plus efficace à mener contre la cible, il faut maintenant savoir comment y accéder. Au cours de cette étape, les informations collectées lors des phases précédentes sont mises en relation pour déterminer si l’attaque choisie est réalisable. Les informations recueillies grâce à des scans de ports, des scans de vulnérabilités, ou celles issues de la collecte de renseignements sont notamment prises en considération.
5) L’exploitation
La plupart du temps, la phase d’exploitation utilise l’attaque par brut force. Cette phase n’est par ailleurs lancée que si un type d’exploit permet à coup sûr de parvenir au but recherché. Il n’est pas à exclure, en effet, qu’une sécurité supplémentaire puisse empêcher l’accès au système cible.
6) La phase post-exploitation
La phase postérieure à l’exploitation est une phase critique dans un test d’intrusion. Elle commence après l’intrusion dans le système attaqué et consiste à déterminer sur celui-ci les informations qui ont le plus de valeur. Il s’agit de montrer l’impact financier que pourrait avoir une fuite ou une perte de ces informations sur l’entreprise.
7) Le rapport
La phase d’élaboration du rapport est sans nul doute la phase la plus importante d’un test d’intrusion, car l’intérêt de sa réalisation doit s’y trouver justifié. Le rapport établit ce qui a été réalisé lors du test d’intrusion ainsi que la manière utilisée. Il doit surtout mettre en lumière quelles sont les faiblesses à corriger et comment le système cible peut être protégé contre de telles attaques. Faire appel à un service de Pentesting afin d’effectuer un travail d’audit des vulnérabilités de son SI est plus que préconisé dans un monde de l’informatique qui croit de jour en jour et qui voit donc sa surface d’attaque croitre conjointement. Il est préconisé de programmer assez régulièrement des tests d’intrusion car les systèmes d’information évoluent au rythme des ajouts et des modifications d’infrastructures et les failles apparaissent au grès de ces évolutions. Nomios vous accompagnant dans la recherche des vulnérabilités de votre Système d’information en vous fournissant les conseils et préconisations qui vous permettront de mieux cibler et de renforcer les points critiques de la sécurité de votre système.
Les outils de tests en continue
(ajout à l'article en décembre 2021)
Une nouvelle génération d'outils de tests commence à voir le jour. Le pionnier en la matière est une société Israélienne CM Cyber. Le but de ces outils est d'analyser en continu les ressources pour repérer les failles, sans les exploiter. Ils établissent ensuite des chemins possibles vers les assets critiques. Ces chemins permettent d'expliciter en continue les points prioritaires à corriger pour briser les chaînes d'attaque.