Un pentest ou test d’intrusion consiste à se mettre à la place d’un attaquant malveillant (appelé cyber criminels ou pirates selon leur valeur). Ainsi cela permet de stimuler leur comportement sur un périmètre défini par l’entreprise attaquée.
C’est ce qui va permettre de corriger de potentielles vulnérabilités que ce soit au niveau de l’infrastructure ou des logiciels en interne ou en externe.
On va utiliser les mêmes méthodes et outils qu’un acteur malveillant, afin de compromettre le système cible de l’entreprise et de voir jusqu’où on peut aller dans le système d’information. La seule différence est que nous le faisons dans un cadre légal via un contrat. Celui-ci définir le périmètre et la cible à attaquer, ainsi que les autorisations et restrictions à ne pas faire.
Y a-t-il plusieurs types de pentest ?
Il existe 2 types de pentest : interne et externe, ainsi que 3 méthodes : black box, white box et grey box.
Le pentest Interne consiste à ce que les attaquants soient dans vos locaux, afin de cibler l’infrastructure interne.
On peut donc se mettre à la place d’un salarié malveillant qui souhaiterait se venger.
Ainsi, le pentest externe lui consiste à pentester un site web ou une infrastructure (VPS). Il sera accessible depuis internet et pourra donc être attaqué depuis l’autre bout du monde.
En ce qui concerne les méthodes, elles peuvent s’appliquées à ces deux types de pentest. Les voici :
Pour la Black box, vous ne donnez aucun accès. C’est une attaque réalisée au plus proche des pirates où l’on ne connait rien du fonctionnement interne.
Il est possible de réaliser cette méthode sans en informer les équipes chargées de détecter les attaques. Afin de les mettre en confrontation direct et de constater leur proactivité.
Ensuite, la White box, vous donnez tous les accès aux pentesters. Avec, ils vont avoir un regard neuf sur votre système d’information et vont pouvoir détecter éventuellement toutes les vulnérabilités sur le périmètre cible.
Celle ci est plus poussée que la méthode black box. Elle permet de révéler certaines failles qui ne sont pas forcément visible lors du black box mais peuvent se révéler tout aussi compromettantes. Et contrairement à elle, c’est une méthode plus complète collaboration avec les équipes chargées du système d’information.
Et enfin la Grey box, où là vous ne donnez qu’une partie des informations, qui lui permettront de gagner du temps dès le départ.
Le pentester aura donc accès à certaines informations comme un compte utilisateur, sur un site web ou un compte utilisateur sur PC de votre société, par exemple.
A partir de là, il va pouvoir commencer à se mettre à la place d’un salarié malveillant et voir jusqu’à quelles fins il peut faire des choses critiques dans le système d’information.
À quoi ça sert ?
L’objectif est de trouver des vulnérabilités sur les produits ou l’infrastructure de votre entreprise pour éviter que des vrais pirates les trouvent avant nous et ne cassent votre système.
Nous allons donc vérifier ce que l’on peut récupérer dans votre système d’information et jusqu’où on peut naviguer dans le système, voire carrément prendre complètement le contrôle de votre infrastructure.
Evidemment, l’objectif final est de fournir un livrable qui va révéler les différentes problématiques trouvées pendant le pentest.
Nous vous dévoilerons les méthodes et outils utilisés, et proposerons un plan de remédiation à apporter à votre système d’information et bien sûr vous féliciteront sur les bonnes pratiques que vous avez adoptées !
Quels types de systèmes à pentester ?
Tout système peut être piraté. Sites web, infrastructures, réseaux informatiques, logiciels, téléphones, serrures etc…
Le pentester doit donc trouver des vulnérabilités avant les vrais pirates qui pourrait engendrer de gros problèmes aux sociétés.
Quelles sont les différentes phases d’un pentest ?
La première étape passe par le pré engagement. Forcément, un contrat doit être signer avec l’employeur (définir périmètres, autorisations & restrictions pendant le pentest qui seront respecter).
Deuxième étape, la collecte de renseignement. C’est-à-dire plus précisément la recherche d’informations sur les périmètres cibles, les technologies que vous utilisez, les comptes utilisateurs et la structure de l’entreprise afin de trouver des techniques d’attaques et des points d’entrée.
L’énumération des services est une étape vraiment importante, que ce soit un réseau ou sur un serveur, puisqu’il permet d’identifier les différentes portes d’entrées pour un attaquant.
Ensuite vient l’étape d’exploitation. Il faut tenter d’exploiter les différentes vulnérabilités trouvées dans la phase précédente, afin de compromettre la machine.
Par exemple, depuis un site web, on peut essayer d’avoir un Shell sur la machine. Ensuite c’est comme si nous étions en black box mais à distance, puisqu’il est potentiellement possible d’accéder à votre réseau depuis l’extérieur si le site est hébergé dans votre infrastructure.
Enfin, nous passons aux livrables. Cette étape est la plus importante et la plus longue à réaliser. Elle nécessite toutes les traces des tests qui ont été effectués pendant les pentest.
L’idée est de tout mettre au propre pour que le rapport de pentest soit lisible.
De là, vous allez avoir une synthèse managériale qui répertorie les différentes vulnérabilités trouvées en vulgarisant au maximum pour des personnes non techniques, et une autre synthèse plus détaillée pour des ingénieurs ou des techniciens avec des annexes.
Pour une explication plus détaillé, nous vous laissons découvrir notre vidéo dédiée ci dessous !
Pourquoi est-ce important de réaliser des pentest ?
Aujourd’hui tout se digitalise. On est passé à “l’ère du tout numérique”, où les appels, SMS, emails, chats… tout est donnée !
Plus il y a d’information à gérer, plus le périmètre d’attaque est grand. Cela donne donc plus de chance qu’il y ait une faille.
Les défenseurs dans les entreprises doivent penser à tout. Ils doivent trouver toutes les failles possibles que les pirates pourraient exploiter, et surtout sécuriser le système sur plusieurs couches différentes. Les pirates seront bloqués le plus rapidement possible.
Typiquement, bloquer sa session par un mot de passe, c’est très bien.
Mais si l’utilisateur n’est pas sensibilisé aux risques, un pirate peut compromettre son PC en détournant son attention.
Par exemple, en laissant trainer une clé USB contenant un malware avec une étiquette écrit “perso” ou “confidentiel”, cela laissera passer la curiosité de l’utilisateur qui la branchera sur son PC.
Le pirate aura un accès total sur la machine. À moins de mettre en place des sécurités à plusieurs niveaux.
Plus la surface d’attaque augmente, plus le risque est grand et plus il y a de failles.
C’est pour cela que la réalisation de pentest est très importante aussi bien en interne qu’en externe.
Plus de 70% des attaques proviennent de l’intérieur d’une entreprise ! Un salarié qui veut se venger ou nuire à sa société n’arrive plus souvent qu’on ne le pense.
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
