Le test d'intrusion, ou pen testing (Penetration Testing) selon l'expression
anglophone, s'est progressivement développé dans les entreprises. Dans la majorité
des cas conduit par les experts de cabinets de sécurité, le test d'intrusion peut
aussi être mené par des cellules de sécurité internes à l'entreprise. Dans le
cadre de ces tests, l'expert endossera un temps et de manière contractuelle, le
rôle d'un attaquant.
Objectif
des tests : prouver si les mesures de protection sont insuffisantes et peuvent
être contournées |
"Cette prestation peut prendre deux formes : des tests externes consistant
à essayer de s'introduire depuis Internet grâce à des vulnérabilités qui restent
à identifier. La finalité n'est toutefois pas nécessairement de rentrer sur le
réseau du client, mais d'être exhaustif en listant les failles potentiellement
exploitables par un attaquant. Une autre forme de tests se mène cette fois en
interne avec pour but d'atteindre le cur du système d'information, une base de
données critique, etc.", détaille Frédéric Charpentier, consultant et expert en
test d'intrusion pour Xmco Partners.
Les tests pourront couvrir à la fois l'interne et l'externe. Le périmètre sera
quoi qu'il en soit stipulé dans le contrat : LAN, base de données, plate-forme
bancaire de télémaintenance, site Web, etc. L'intrusion informatique étant punie
par la loi, le contrat assurera également la protection des consultants en définissant
leurs mandats.
|
|
Benjamin Arnault (HSC )
|
|
Un test d'intrusion se déroulera généralement en quatre phases majeures. La
découverte d'information consistera à collecter les données accessibles sur les
éléments compris dans le périmètre du test. Cette étape achevée, le pen-testeur
effectue une identification des machines, équipements et services en écoute sur
le réseau.
Viennent ensuite les tests applicatifs au travers notamment de la recherche
de vulnérabilités et de l'exploitation de failles. Enfin, l'expert pourra être
amené à pousser le test jusqu'à la compromission de machines (ordinateurs, routeurs,
IPBX, etc.), directement ou par rebond. Ces différentes étapes s'échelonneront
classiquement, selon la taille du périmètre, sur 5 à 15 jours, mais pas nécessairement
consécutifs.
Quant à l'objectif des missions réalisées par les experts en intrusion, il
est "de prouver si les mesures de protection mises en place sont insuffisantes
et peuvent être contournées", déclare Benjamin Arnault, expert pour le cabinet
HSC.
"Mais aussi de mettre à l'épreuve la sécurité d'un environnement et de qualifier
son niveau de résistance à différentes attaques à un instant T. Le test d'intrusion
est souvent utilisé à des fins pédagogiques pour sensibiliser les responsables
et/ou les informaticiens", poursuit-il.