Le nombre de cyberattaques est en augmentation constante d’année en année. Les entreprises cherchent de plus en plus à protéger leurs actifs informatiques de toute attaque. Le pentest, ou test d’intrusion, est alors très utile pour identifier les failles de sécurité d’un système et pour les corriger avant qu’une attaque se produise.
Alors qu’est-ce qu’un pentest ?
Quels sont ses objectifs ?
Comment cette méthode peut être un atout dans votre démarche de certification ISO 27001 ?
On vous dit tout !
Le Pentest, on parle de quoi concrètement ?
Qu’est-ce qu’un pentest ?
Un pentest, un test d’intrusion ou un test de pénétration, est une méthode qui consiste à analyser une cible en se mettant dans la peau d’un hacker. Cette cible peut être une IP, une application, un objet connecté, un serveur web ou un réseau complet. On teste la vulnérabilité du système en détectant les failles susceptibles d’être exploitées par des cyberattaques.
Le pentest est donc une photographie à l’instant T de la cible préalablement définie.
Il peut être réalisé de façon automatisée par des applications logicielles ou de façon manuelle par des pentester. Il peut se faire de l’extérieur (pentest externe), de n’importe quelle connexion Internet ou alors de l’intérieur de l’infrastructure (pentest interne) sur le réseau de l’entreprise.
C’est donc une méthode qui va vous permettre d’obtenir des informations clés afin d’améliorer votre cybersécurité !
Le pentest Vs l’audit de sécurité
Quand on parle de pentest, on ne parle pas d’un audit de sécurité, ce n’est pas équivalent. L’audit va permettre d’établir un panorama de la sécurité d’un système d’information ou d’une configuration. Il va se baser sur la réponse à des exigences de référentiels, sur l’application de bonnes pratiques. Tandis que le pentest est beaucoup plus offensif. Il va être réalisé une fois que les pratiques minimales de sécurité ont été mises en place. Il n’est donc pas nécessaire de réaliser un pentest si le système n’est pas à jour. Le pentest va permettre d’anticiper des scénarios et d’ajuster la politique de sécurité en conséquence.
Pourquoi est-ce utile de faire régulièrement des tests d’intrusion ?
Les pentest sont une stratégie de preuve pour les clients et la direction. Ils permettent d’aller plus loin sur la recherche de failles. On retrouve ici une vision différente, beaucoup plus « offensive » de la sécurité.
Les objectifs d’un pentest sont clairs :
- Identifier les vulnérabilités de son système d’information ou de son application web par exemple
- Evaluer le degré de risques de chaque faille identifiée et la capacité à l’exploiter
- Proposer des correctifs de façon priorisée
Il ne sert pas seulement à établir une liste de vulnérabilités, mais bien à formaliser un plan d’action pour corriger ces vulnérabilités en tenant compte de l’exploitabilité de celle-ci. On pourra qualifier les différents risques, ainsi que la complexité des corrections et donner une priorisation à ces actions. D’où l’importance de la qualité du rapport et de la restitution suite au test et des conseils qui y sont associés !
Un pentest n’est donc pas une fin en soi. Il va s’inscrire dans une démarche globale d’optimisation de la sécurité de votre système d’information. Et c’est pourquoi il est recommandé d’en réaliser quand on a une démarche de certification ISO 27001!
Le Pentest, une exigence de l’ISO 27001 ?
Qu’est-il inscrit dans la norme ?
Dans l’annexe A de la norme ISO 27001:2013, il est stipulé que : « Les informations relatives aux vulnérabilités techniques des systèmes d’information utilisés doivent être obtenues en temps utile, l’exposition de l’organisme à ces vulnérabilités doit être évaluée et des mesures appropriées doivent être prises pour traiter le risque associé. »
Ainsi, le test d’intrusion répond totalement à ces exigences en fournissant une liste des failles et une analyse des actions correctives à mener via une attaque malveillante simulée. Vous apportez la preuve que votre solution est sécurisée ou que vous avez pris en compte les risques inhérents à cet actif informatique et que vous y apportez des actions correctives.
Consulter notre page You Tube pour plus d’informations sur les exigences de l’ISO 27001
Mais est-ce obligatoire ?
En l’état, le pentesting n’est pas rendu obligatoire. De plus il n’existe pas de référentiel international pour le mener à bien. Cependant, si vous possédez des systèmes complexes, des architectures qui sortent des architectures standards, ou des applications web que vous avez créées. Les tests d’intrusion sont indispensables.
Les outils d’analyse courants peuvent s’avérer inefficaces pour identifier des vulnérabilités. Telles que les défauts de contrôles d’accès, les attaques par usurpation d’identité ou d’autres vulnérabilités non standards et spécifiques à une fonctionnalité.
Le Pentest, une réponse opérationnelle pour votre démarche de certification ISO 27001
La délimitation du périmètre d’intervention
Un aspect important du pentest est la définition du périmètre d’intervention. En fonction de la stratégie adoptée, les résultats seront différents. Est-ce que sera un test en interne ou un test en externe ? Dans quelles conditions ce pentest sera-t-il réalisé ?
- Dans les conditions de scénario d’un pirate qui souhaiterait s’introduire dans une entreprise qu’il ne connait pas : dans ce cas là, le pentester n’a aucune information sur le réseau cible au début du test. C’est la boite noire ou la dark box.
- Dans les conditions de scénario d’un “utilisateur normal” de l’entreprise : dans ce cas, le pentester possède un nombre limité d’informations. Une fois authentifié, il va pouvoir approfondir le test à l’intérieur du système ou de l’application. C’est la boite grise ou grey box.
- Dans les conditions de scénario d’un “administrateur système et réseau” de l’entreprise : dans ce cas, le pentester possède de très nombreuses informations. Il va rechercher les failles en étant le plus exhaustif possible. C’est la boite blanche ou white box.
A quelle fréquence doit-on effectuer des analyses ou pentest ?
Les pentests doivent être réalisés tout au long du cycle de vie de votre système. Les actifs informatiques présentent des vulnérabilités techniques qui doivent être surveillées et améliorées en permanence. Avec l’évolution des techniques, les cyberpirates peuvent trouver régulièrement des moyens de casser telle ou telle mesure de sécurité pourtant considérée comme inviolable !
Ainsi, il est nécessaire de mener à bien ces tests d’intrusion régulièrement sur les actifs qui rentrent dans le champ d’application de votre évaluation des risques.
Les pentests sont complémentaire d’une bonne stratégie de gestion des vulnérabilités et de mise à jour.
Comment choisir sa société pour réaliser les tests d’intrusion ?
Vous êtes maintenant convaincus de la nécessité de réaliser des pentests pour votre entreprise ? Mais vous ne savez pas comment choisir votre prestataire..
Voici quelques conseils pour vous aider à faire votre choix.
Nous l’avons vu, le pentest n’est pas seulement une question de liste de vulnérabilités, mais bien de plan d’actions, de qualification de risques et de priorisation des corrections. Il est indispensable que le rapport qui accompagne ce pentest soit détaillé et adapté à votre entreprise.
D’autre part, le prestataire qui réalisera le pentest devra avoir des équipes formées au hacking, mettre en application le référentiel PASSI (exigences relatives aux prestataires d’audit de la sécurité des systèmes d’information)et suivre les règles de l’ANSSI.
Un autre petit conseil, si vous ne signez aucun accord contractuel et/ou de confidentialité pour cette mission, fuyez !
Comment fonctionne un pentest avec Feel Agile
Chez Feel Agile, nous mettons un point d’honneur à respecter les différents référentiels avec un « hacking éthique », vous assurant toute la confidentialité et la sécurité nécessaires.
Nous déterminons ainsi le périmètre d’intervention avec le client selon ses objectifs et ses enjeux, notamment dans le cadre de sa démarche de certification ISO 27001. Nous établissons par la suite un plan de réalisation de pentests qui sera le plus adapté à notre client.
Pendant plusieurs jours, une équipe sera dédiée à la réalisation des tests d’intrusion et notera chaque manipulation effectuée. A la suite de ces jours de tests, un rapport détaillé est remis au client qui permet l’examen des vulnérabilités, l’évaluation de la gravité des menaces, et l’élaboration d’un plan de correction.
Des réunions de débriefing et de conseils seront organisées avec vous pour vous aider à passer à l’action et mettre en application les correctifs proposés.
Cette offre s’inscrit vraiment dans la globalité de la démarche d’optimisation de la sécurité des
actifs de l’entreprise.
Le test d’intrusion, un gain pour l’équipe ou une compétition ?
Nous sommes convaincus chez Feel Agile qu’il n’est absolument pas question de mettre en compétition nos équipes de pentesteurs avec l’équipe de l’entreprise. Il ne s’agit pas d’un jugement de valeur sur le travail déjà accompli par l’entreprise… Mais bien d’établir des pistes d’amélioration avec l’évaluation objective de votre système d’information. En construisant une relation basée sur l’échange et la confiance, nous pourrons donc vous proposer des éléments constructifs à l’amélioration de votre politique de sécurité.
Et ceci grâce à un plan d’actions effectif prenant en compte la réalité opérationnelle et les risques métiers de votre entreprise.
Pour plus d’informations, contactez-nous !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
