Pourquoi faire un pentest ?
Un test d'intrusion / pentest permet de simuler une tentative d'attaque informatique perpétrée par un pirate. Il est réalisé dans les mêmes conditions (durées, techniques utilisées...) et se rapproche donc des risques réellement encourus.
Réaliser un pentest est une bonne pratique visant à renforcer la sécurité d'un site ou d'une application. Il est important de réaliser ces tests régulièrement afin de vérifier que les nouveaux développements ne donnent pas lieu à de nouvelles failles.
En réalisant un pentest vous pourrez ainsi :
- Identifier les éventuelles failles de sécurité présentes sur votre site ou application
- Réduire les risques d'arrêt d'activité suite à une attaque informatique
- Protéger les données de vos clients et prospects
- Démontrer à vos clients la sécurité de votre service
Combien de temps dure un test d'intrusion ?
En moyenne, un pentest prend 2 à 6 jours. La durée d'un pentest varie en fonction de plusieurs critères :
- Le périmètre de l'audit
- La sensibilité des données
- Le type de test d'intrusion
- La complexité de l'application
- L'exposition de l'application
La durée du test d'intrusion doit être corrélée à la durée estimée pour laquelle un pirate serait susceptible d'y consacrer du temps.
Quel livrable avec un pentest ?
Le pentesteur rédige un rapport d'audit qui permettra à votre équipe de développeurs ou à votre agence d'apporter les correctifs nécessaires. Le rapport comprend :
- La synthèse managériale du test
- La liste des vulnérabilités identifiées (classées par degré d'importance)
- Présentation de la vulnérabilité
- Degré d'importance
- Risques
- Code ou page incriminé
- Exemple d'exploitation
- Proposition de correctif
Combien coûte un pentest et comment y souscrire ?
Les tarifs de nos prestations de pentest varient en fonction de la complexité de l'application.
Pentest sur site d'informations ou blog
- Durée : 2 jours
- CMS types concernés : wordpress, drupal, joomla, ghost...
- Cas d'usage : Mozilla Blog
Pentest sur site e-commerce
- Durée : 4 jours
- CMS types concernés : prestashop, magento, woocommerce...
- Cas d'usage : bobbies
Test d'intrusion ou pentest, quelles différences ?
Aucune. Le pentest est parfois utilisé pour désigner le test d'intrusion. Il s'agit d'un terme anglais signifiant penetration test. Le terme pentester est couramment utilisé en français pour désigner la personne réalise le test d'intrusion informatique.
Comment se déroule un test d'intrusion ?
La réalisation d'un pentest est très encadrée. Elle répond à des méthodologies strictes garantissant la qualité des conclusions et la protection de l'application testée. Schématiquement un test d'intrusion se déroule en trois étapes : préparation, réalisation, et livraison. Le déroulé est globalement le même d'une société de cybersécurité à une autre. Les différences de résultats peuvent varier en fonction de l'auditeur, de son expérience et de son approche.
1) Préparation
- Réunion de lancement pour définition du périmètre d'audit (que tester ?)
- Demande d'autorisation auprès de l'hébergeur
- Réalisation des sauvegardes des données
- Préparation du matériel d'audit
2) Réalisation
- Collecte d'informations (moteur de recherche, scan, vérification code...)
- Tests
- Exploitation des vulnérabilités
3) Livraison
- Rédaction du rapport d'audit
- Livraison du rapport d'audit
- Réunion de restitution (présentation des conclusions)
Qui réalise les tests d'intrusion ?
La réalisation d'un pentest doit être très encadrée et respecter une méthodologie stricte. L'auditeur ou pentester doit présenter les qualités morales et éthiques pour exercer cet exercice. À ce titre, chez Indatable nous exigeons de la part de notre équipe un extrait de casier judiciaire vierge et l'adhésion systématique à notre charte éthique.
Il existe des certifications encadrant le métier de pentester telle que la Certified Ethical Hacker (CEH). Mais celle-ci n'est pas obligatoire pour l'exercice de cette activité. Il n'est pas non plus obligatoire de présenter une formation universitaire. Par nature, le métier de pentester est accessible au plus grand nombre. Un grand nombre d'entre eux ont appris le métier en autoformation.
Que contient un rapport de test d'intrusion ?
À l'issue d'un pentest est remis un rapport présentant les conclusions de l'audit. Les objectifs de ce document sont d'informer la direction sur les risques encourus, et de présenter à l'équipe de développement les mesures correctrices à adopter. Ces rapports peuvent également être présentés à un partenaire ou client pour l'informer sur le niveau de sécurité d'une application.
Chaque entreprise de cybersécurité dispose de son propre format et organise différemment son rapport.
Chez Indatable, les rapports de test d'intrusion sont rédigés de manière pragmatique afin de faciliter l'adoption des mesures correctrices.
Quels sont les différents types de pentests ?
Il existe plusieurs types de tests d'intrusion. On peut les distinguer en fonction du lieu d’exécution (interne/externe) et en fonction de l'information fournie au pentester (boîte blanche / boîte grise / boîte noire). Chacun de ces tests présente des avantages et des inconvénients. Le choix de l'un ou de l'autre se fera en fonction du contexte et des objectifs de l'audit.
Le lieu d'exécution
Un test d'intrusion peut être exécuté depuis les locaux de l'entreprise auditée : pentest interne. Ce test permet de vérifier qu'un salarié, qu'un stagiaire ou qu'un simple visiteur ne peut pas mener une attaque informatique ou récupérer des données de manière illégitime en se connectant au réseau de l'entreprise.
Un test d'intrusion peut également être exécuté en dehors des locaux de l'entreprise auditée : pentest externe. Il s'agit de la typologie d'audit la plus répandue. Il s'agit ici de simuler une tentative d'intrusion sur le système d'information d'une entreprise ou sur une application spécifique comme un site extranet, un site e-commerce ou une app mobile.
L'information fournie
On dit qu'un pentest est réalisé en boîte noire ou black box lorsque l'auditeur ne dispose d'aucune information si ce n'est l'adresse de l'application à tester. Ce type d'audit permet de réaliser une simulation de piratage par une tierce personne.
Un test d'intrusion peut, en outre, être effectué en fournissant un compte sans droits à privilèges à l'auditeur. On dit alors qu'on effectue un pentest en boîte grise ou grey box. Cet audit est notamment intéressant pour vérifier si un utilisateur avec un compte classique comme un client ou un salarié peut effectuer des actions qui ne lui seraient normalement pas autorisées ou avoir accès à des données de manière non légitime.
Enfin, les pentests peuvent être réalisés en boîte blanche ou white box. Dans ce dernier cas, exercice peu répandu, l'auditeur a accès à un compte à plus hauts privilèges. Le pentester aura alors une vision globale de l'application ce qui lui permettra de réaliser certains tests plus aisément.
Qu'est-ce qu'une fiche d'autorisation ?
La fiche d'autorisation est un document contractuel tripartite encadrant la prestation de pentest. Il est signé par l'entreprise de cybersécurité, le client bénéficiant du test d'intrusion et le tiers hébergeur.
Ce document comprend :
- La définition de l'objet de la prestation
- Le périmètre de l'audit (adresse IP, limites...)
- Les objectifs du test
- L'adresse IP de l'auditeur
- La période de réalisation des tests
- L'engagement de confidentialité
- Les obligations de l'auditeur
Comment sont notées les vulnérabilités ?
Chez Indatable nous avons opté pour une classification simple des vulnérabilités et des recommandations associées. Trois niveaux d'importance ont été définis :
- Faible
- Moyenne
- Élevée
Ces degrés permettent à nos clients de prioriser les actions de sécurisation.
Il existe d'autres classifications, qui sont certes plus fines, mais qui nous semblent être plus complexes à appréhender et mettre en œuvre. Ces classifications distinguent la notation de la vulnérabilité de la recommandation.
Ainsi une vulnérabilité est notée en fonction :
- De son impact sur la sécurité du système d'information auditée
- De la difficulté d'exploitation
- De la criticité / du niveau de risque
La recommandation est qualifiée en fonction de :
- La charge de travail nécessaire à la mise en place de la parade
- La priorité
Quelles sont les limites d'un test d'intrusion ?
Un test d'intrusion présente de nombreux avantages et figure parmi les premières actions à opérer dans une démarche de sécurité d'un système d'information. Toutefois, un pentest présente trois limites principales.
Une limite temporelle
Un test d'intrusion est réalisé à un instant T. Or, toute application ou tout système informatique évolue. De plus, de nouvelles vulnérabilités sont découvertes chaque jour par les experts en sécurité informatique.
La réalisation d'un pentest ne doit donc pas être ponctuelle, mais être réalisée régulièrement afin de s'assurer que son site ou son application est toujours sécurisée. Ce constat nous a conduits à proposer notre offre sous forme d'abonnement pour garantir à notre clientèle une protection dans le temps.
Une limite humaine
Un test d'intrusion est réalisé par une personne physique. À la différence des tests automatisés, chaque rapport sera différent d'un auditeur à un autre. Même s'il adopte la même méthodologie, un auditeur aura ses propres idées de tests et des compétences différentes d'un autre. Chez Indatable, les tests sont effectués alternativement par différents membres de notre équipe afin de fournir une plus grande diversité de recommandations.
Une limite statutaire
Dans une démarche cybersécurité un pentest n'est qu'un outil parmi d'autres. Il est nécessaire de l'associer par exemple à la réalisation d'audits de code ou l'adoption de politiques de sécurité.
Besoin d'informations complémentaires ? Nous sommes disponibles par mail, téléphone ou via le tchat 👉.