| Agir en hacker, simuler les attaques que vous pourriez subir |
Qu'est-ce qu'un test d'intrusion?
Le test d'intrusion informatique (en anglais "Penetration test" abrégé "pentest") consiste à analyser la sécurité informatique d'un système, d'une application ou d'une entrerprise en adoptant la position d'un attaquant potentiel (hacker, malware, personne malveillante ou vindicative, concurrent, etc.).
Il simule l'ensemble des attaques, ciblées ou non, qui pourraient survenir sur une partie ou l'ensemble de votre SI : piratage et vol de données, defacing de site web, phishing, ransomware et cryptolocker, dénis de services (Dos/DDoS), escroquerie,...
Il permet d'identifier de manière factuelle les problèmes de configuration, de programmation, ainsi que les vulnérabilités des composants du périmètre.
Il étudie ensuite l'origine et l'exploitabilité de ces failles afin de proposer un plan d'action de sécurisation du système d'information (SI) adapté aux risques réels encourus par l'entreprise.
L'analyse peut suivre trois axes d'attaques selon le besoin :- Black Box : le consultant opérant le pentest ne dispose d'aucune information au préalable : test à l'aveugle dit "boîte noire"
- Grey Box : le consultant opérant le pentest possède certaines informations (points d'entrées déterminés, fonctionnement interne, compte d'accès) : test dit "boîte grise"
- White Box : le consultant opérant le pentest dispose d'informations détaillées pour mener son attaque (périmètre exact, architecture système et applicative, code, configurations) : test appelé boîte-blanche
Le test d'intrusion informatique (pentest) est mon coeur de métier, et représente mon activité principale. C'est imprégné de cette expertise que j'opère mes autres prestations. |
| Prestations d'intrusion réalisées : |
Red Team
L'approche Red Team simule des scénarios concrets : des intrusions informatiques ciblées,sans limite de temps ni de périmètre, avec toutes les techniques applicables au context (OSINT,intrusion physique, social-engineering, infections virales et rebond, cadeaux piégés).
Si la non limite de temps est difficile à mandater pour entrerprise dans la réalité, un pentest Red Team consiste à engager une intrusion sur tout le périmètre du SI sur une durée définie et adaptée, durant laquelle le pentester se concentrera sur des scénarios de menaces plausibles visant des actifs clés de l'entrerpise, et dessinera les chemins d'atteinte (kill-chains) en détaillant les vulnérabilités utilisées pour cela.
Un chronogramme exhaustif des actions offensives menés est tenu afin de permettre l'optimisation des mécanismes de défense du SI (outils, SOC). Il est d'ailleurs possible de ne conduire que certains scénarios bien définis dans ce but (Purple Team) |
Test d'intrusion externe
Le pentest externe permet d'évaluer la robustesse et l'efficacité de votre sécurité informatique face à Internet. Il permet de dresser un état des lieux factuel de la sécurité de vos applications publiques, ainsi que l'étanchéité du LAN vis à vis de l'extérieur.
Il peut cibler une application isolée, une plateforme hébergée, le siège de l'entreprise et le rebond vers le LAN, voire l'ensemble du SI d'entreprise sans aucune information préalable. |
Test d'intrusion interne
Un test d'intrusion interne révèle ce qu'une personne malveillante pourrait réaliser depuis l'intérieur de votre SI, connecté à une prise du LAN.
L'attaque interne est d'autant plus importante qu'elle reflète la propagation possible d'une attaque réussie depuis l'extérieur ou d'une intrusion sur site.
|
Social-engineering
La sécurité informatique du SI dépend également des personnes qui l'utilisent.
Usurpation d'identité et accès à des ressources ou locaux restreints, mail d'hameçonnage (phishing), inciation à des actions informatiques, pièces jointes virulentes (ransomware/cryptolocker, chevaux de troie), sont des méthodes courantes d'attaques ciblées ou non ciblées du SI d'entreprise.
Dans le cadre d'un test d'intrusion, ces techniques dites d'ingénierie sociale permettent de considérer le facteur humain : évaluer le niveau de sensibilisation de vos équipes et mesurer l'impact possible sur le SI. |
Intrusion physique
Une intrusion dans les locaux de l'entreprise, même brève, est un moyen direct de mener une attaque depuis l'intérieur, et est bien souvent plus simple que d'infecter un poste client interne ou d'exploiter une faille depuis l'extérieur.
L'intrusion physique permet de tester le contrôle d'accès aux locaux, l'étanchéité depuis des sites ou des prises d'accès publiques, et de mettre à l'épreuve les procédures de contrôle des entrées et interventions.
|
Attaque wifi
La plupart du temps, le wifi se propage au delà des murs de l'entreprise. Et il est un lien direct ou indirect sur le LAN. Son bon fonctionnement est également parfois indispensable.
Le test d'intrusion wifi permet de vérifier la stabilité radio (brouillage), la force du chiffrement, la robustesse de l'authentification et le cloisonnement vis à vis du LAN. |