Test d’intrusion (Pentest)

Test d'intrusion (Pentest)

Un test d’intrusion (pentest) pour simuler les comportements malveillants pouvant cibler votre Système d’Informatique depuis l’interne, évaluer votre exposition externe ou la sécurité de vos applications (Web, mobile, client lourd…) !

Nous contacter

Partager :

Objectif d’un test d’intrusion

it-or-information-technology-technicians-or-computer-programmers-working-coding-user-interface-or-ux-late-at-night-team-of-software-specialists-or-developers-happy-technical-system-data-in-office_web

Le principe du test d’intrusion (aussi connu sous le nom de pentest) est d’identifier des vulnérabilités sur un périmètre audité puis de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque pour enfin proposer une action corrective permettant de pallier cette vulnérabilité. 

À titre illustratif, au cours d’un audit d’application Web (pentest Web), les auditeurs vont chercher à trouver des vulnérabilités en se basant sur une méthodologie (ex: OWASP) et en visant à reproduire le comportement d’un utilisateur malveillant.

Les auditeurs Synetis s’attachent à rechercher les vulnérabilités telles que celles référencées par l’Open Web Application Security Project (OWASP), mais utilisent aussi la base de connaissance MITRE ATT&CK, et le catalogue MITRE CWE.

Bénéfices attendus d’un test d’intrusion

La réalisation d’un pentest permet à votre organisation d’identifier les vulnérabilités potentielles d’un système cible avant que celles-ci ne soient exploitées par de potentiels attaquants.

Le pentest peut concerner aussi bien le Système d’Information interne, votre exposition externe, une application Web, une application mobile type iOS ou Android, des APIs…

Un test d’intrusion vous permet donc de réduire les risques de violations de vos données ou d’accès illégitime à vos systèmes, et peut également vous permettre d’assurer votre conformité aux normes réglementaires en vigueur.

Méthodologie d’un test d’intrusion (Pentest)

La réalisation d’un test d’intrusion, ou pentest, se déroule en plusieurs étapes essentielles : 

  • Tout d’abord, la collecte d’informations qui permet aux auditeurs de cartographier les réseaux, les systèmes et les applications : elle permet d’identifier le contexte du périmètre audité et découvrir les cibles à fort impact à privilégier selon leur importance.
  • Vient ensuite l’analyse des composants ainsi que la recherche d’éventuelles vulnérabilités connues, pouvant permettre une compromission du périmètre.
  • Dans un troisième temps, les auditeurs passent à l’exploitation des vulnérabilités afin de simuler des attaques réelles et évaluer la profondeur de la compromission, les accès ainsi obtenus et la possible récolte d’informations sensibles.
  • Pour terminer, les auditeurs produisent un rapport détaillé afin de présenter les différentes vulnérabilités observées, déterminer leur criticité en fonction du contexte puis présenter les remédiations associées afin que celles-ci soient corrigées.

Différents types de tests d’intrusion

Test d’intrusion externe

Les tests d’intrusion externes (ou pentest externes) visent à simuler une attaque provenant d’Internet et leur objectif est d’identifier les vulnérabilités exposées de votre infrastructure. Les auditeurs vont explorer les points d’entrée potentiels, tels que les sites Web, les serveurs Web, les applications en ligne, les firewalls, les VPN, les interfaces d’administration exposées (accès RDP ou SSH par exemple)…  en utilisant des techniques d’analyse de vulnérabilités, de fuzzing et d’exploitation.

Grâce à ces pentest externes, il est possible de  déterminer :

  • La surface d’attaque exposée (serveurs, applicatifs, services) ;
  • La présence de vulnérabilité(s) (Connues ou 0-day) ;
  • Le vol de données sensibles (données métiers, RGPD) ;
  • La perturbation de vos services (erreur logique métier, déni de service).

Ainsi que leurs impacts sur l’image de votre société.

Ce type de test permet d’évaluer la solidité de votre Système d’Information accessible depuis Internet, la configuration de vos équipements exposés et l’efficacité de vos systèmes de détection d’intrusion en situation réelle.

Test d’intrusion interne

Lors de tests d’intrusion internes (ou pentest internes), les auditeurs vont se placer du point de vue d’un individu malveillant au sein de vos locaux, sur votre réseau d’entreprise (sans accès légitimes au départ, puis avec accès légitime, c’est-à-dire en boîte noire, puis boîte grise, aussi appelé “test du stagiaire”).

Il est également possible de commencer l’audit directement depuis un poste de travail dit corporate, afin de simuler la compromission d’une machine interne ou d’un collaborateur. 

Ce type de test va permettre d’évaluer l’efficacité du cloisonnement réseau et de vérifier le durcissement des ressources auxquelles l’attaquant pourrait avoir accès ainsi que le niveau d’application des correctifs de sécurité au sein du Système d’Information. 

En fonction de votre besoin, les méthodologies suivies peuvent être différentes : 

  • Boîte noire : attaquant non authentifié, sans connaissance du périmètre ; 
  • Boîte grise  : utilisateur authentifié possédant certaines connaissances du périmètre ;
  • Boîte blanche : accès complet aux informations du périmètre ciblé.

Test d’intrusion Web / API

Les tests d’intrusion Web / API sont un type de tests d’intrusion qui cible spécifiquement une ou plusieurs application(s) Web (front-office et/ou son back-office).

Ils peuvent être déroulés en boîte noire, grise ou blanche, et ainsi permettre d’être à la place d’un attaquant sans connaissance particulière (boîte noire), un utilisateur malveillant, ou un pirate ayant récupéré des identifiants lors d’une fuite de données, ou un phishing réussi (boite grise).

Le pentest en boîte blanche permet quant à lui de gagner en efficacité en ayant par exemple accès au code source de l’application.

Test d’intrusion mobile

Un test d’intrusion mobile vise spécifiquement à tester la sécurité d’une application Android ou iOS, que ce soit l’application elle-même, la façon dont elle stocke ses données, mais aussi les intéractions avec son back-end.

Test d’intrusion LLM

Un pentest LLM vise à tester les vulnérabilités induites par l’implémentation d’un chatot d’IA au sein d’une solution Web par exemple.
Ce type de pentest regroupe 2 approches :

  • Test d’intrusion Web classique (pour les technologies et les intéractions du chatbot avec son back-end par exemple) ;
  • Social Engineering (pour détourner, ou faire sortir le chatbot de son carcan plus ou moins bien défini).

Retrouvez notre article dédié sur le sujet ici.

Différentes approches possibles du Pentest

Ces approches ont différents avantages et inconvénients, décrits ci-après.

Boîte noire “black box”

Dans l’approche boîte noire “black box”, les auditeurs n’ont aucune connaissance technique des cibles, seulement l’URL s’il s’agit d’une application Web ou l’adresse à laquelle est hébergée la cible. Dans le cadre d’un pentest interne, les auditeurs n’ont qu’un simple accès réseau sans indications.

Cette approche permet de se rapprocher au plus prêt de cas réels de compromission : l’attaquant opportuniste, découvrant des vulnérabilités sans posséder d’informations au préalable.

Boîte grise “grey box”

A mi-chemin entre les tests d’intrusion en boîte noire, et ceux en boîte blanche, on retrouve les tests d’intrusion en boite grise “ grey box”.

Ce type de pentest est réalisé par des auditeurs possédant une connaissance partielle des systèmes ciblés. Il peut s’agir de comptes utilisateurs ou d’informations pouvant aiguiller les recherches.

Il permet d’allier l’efficacité en termes de temps d’un test en boîte noire, tout en approfondissant davantage la recherche de vulnérabilités grâce aux informations mises à la dispositions des pentesteurs.

Boîte blanche “white box”

Contrairement aux tests d’intrusion en boîte noire, les tests d’intrusion en boîte blanche “white box” sont réalisés avec des experts ayant un accès complet à l’infrastructure ainsi qu’aux systèmes, aux codes sources et aux ressources internes. Grâce à toutes ces informations, il est possible pour les auditeurs de déceler les vulnérabilités les plus complexes, qui sont parfois plus difficiles à déterminer sans cet ensemble de connaissances à leur disposition.

Ces tests permettent donc d’obtenir une vision en profondeur des différentes vulnérabilités, et offrent une plus grande exhaustivité que les tests précédents.

Un test d’intrusion réalisé par les experts Synetis

Synetis réalise des tests d’intrusion (interne, externe, applicatif, Chatbot, mobile, LLM, IoT) non destructifs sur différents composants d’un Système d’Information. Ces tests permettent de simuler le comportement d’un individu malveillant, qu’il soit externe ou non à votre organisation. Chacune des vulnérabilités identifiées fait l’objet d’une note CVSS, ou qualification par les risques, à travers l’échelle de notation proposée par l’ANSSI, prenant en compte le niveau de risques et la facilité d’exploitation de chaque vulnérabilité.

Nos équipes suivent le standard de notation CVSS v3.1 (Common Vulnerability Scoring System, permettant de caractériser et d’évaluer l’impact des vulnérabilités). Un plan d’action est ensuite proposé à l’issue de chaque audit.

Point d’attention

Il est important de préciser que les travaux d’un pentest ne portent pas sur l’entraînement, ni l’évaluation, d’un SOC.

En effet, le but étant d’être le plus exhaustif possible sur la recherche de vulnérabilités, les techniques et outils utilisés durant ces prestations n’ont pas pour objectif de valider les équipes et outils de détection mis en place.

Dans le cadre d’une amélioration continue d’une équipe de détection type SOC, nous recommandons la mise en place d’une prestation Purpleteam/Redteam.

 

Les tests d’intrusion représentent donc un pilier important de la stratégie de protection de votre Système d’Information.

Contactez nos experts Synetis pour plus d’informations sur les tests d’intrusion, afin d’améliorer votre cybersécurité !

Protection et surveillance des si

Nos experts Audit
répondent à vos questions

Contactez-nous

Ces articles pourraient vous intéresser :