Pentest / Test d'intrusion

Aucune. Le pentest est parfois utilisé pour désigner le test d'intrusion. Il s'agit d'un terme anglais signifiant penetration test. Le terme pentester est couramment utilisé en français pour désigner la personne réalise le test d'intrusion informatique.

La réalisation d'un pentest est très encadrée. Elle répond à des méthodologies strictes garantissant la qualité des conclusions et la protection de l'application testée. Schématiquement un test d'intrusion se déroule en trois étapes : préparation, réalisation, et livraison. Le déroulé est globalement le même d'une société de cybersécurité à une autre. Les différences de résultats peuvent varier en fonction de l'auditeur, de son expérience et de son approche.

1) Préparation

• Réunion de lancement pour définition du périmètre d'audit (que tester ?)
• Demande d'autorisation auprès de l'hébergeur
• Réalisation des sauvegardes des données
• Préparation du matériel d'audit

2) Réalisation

• Collecte d'informations (moteur de recherche, scan, vérification code...)
• Tests
• Exploitation des vulnérabilités

3) Livraison

• Rédaction du rapport d'audit
• Livraison du rapport d'audit
• Réunion de restitution (présentation des conclusions)

La réalisation d'un pentest doit être très encadrée et respecter une méthodologie stricte. L'auditeur ou pentester doit présenter les qualités morales et éthiques pour exercer cet exercice. À ce titre, chez Indatable nous exigeons de la part de notre équipe un extrait de casier judiciaire vierge et l'adhésion systématique à notre charte éthique.

Il existe des certifications encadrant le métier de pentester telle que la Certified Ethical Hacker (CEH). Mais celle-ci n'est pas obligatoire pour l'exercice de cette activité. Il n'est pas non plus obligatoire de présenter une formation universitaire. Par nature, le métier de pentester est accessible au plus grand nombre. Un grand nombre d'entre eux ont appris le métier en autoformation.

À l'issue d'un pentest est remis un rapport présentant les conclusions de l'audit. Les objectifs de ce document sont d'informer la direction sur les risques encourus, et de présenter à l'équipe de développement les mesures correctrices à adopter. Ces rapports peuvent également être présentés à un partenaire ou client pour l'informer sur le niveau de sécurité d'une application.

Chaque entreprise de cybersécurité dispose de son propre format et organise différemment son rapport.

Chez Indatable, les rapports de test d'intrusion sont rédigés de manière pragmatique afin de faciliter l'adoption des mesures correctrices. 

Il existe plusieurs types de tests d'intrusion. On peut les distinguer en fonction du lieu d’exécution (interne/externe) et en fonction de l'information fournie au pentester (boîte blanche / boîte grise / boîte noire). Chacun de ces tests présente des avantages et des inconvénients. Le choix de l'un ou de l'autre se fera en fonction du contexte et des objectifs de l'audit.

Le lieu d'exécution

Un test d'intrusion peut être exécuté depuis les locaux de l'entreprise auditée : pentest interne. Ce test permet de vérifier qu'un salarié, qu'un stagiaire ou qu'un simple visiteur ne peut pas mener une attaque informatique ou récupérer des données de manière illégitime en se connectant au réseau de l'entreprise.

Un test d'intrusion peut également être exécuté en dehors des locaux de l'entreprise auditée : pentest externe. Il s'agit de la typologie d'audit la plus répandue. Il s'agit ici de simuler une tentative d'intrusion sur le système d'information d'une entreprise ou sur une application spécifique comme un site extranet, un site e-commerce ou une app mobile.

L'information fournie

On dit qu'un pentest est réalisé en boîte noire ou black box lorsque l'auditeur ne dispose d'aucune information si ce n'est l'adresse de l'application à tester. Ce type d'audit permet de réaliser une simulation de piratage par une tierce personne.

Un test d'intrusion peut, en outre, être effectué en fournissant un compte sans droits à privilèges à l'auditeur. On dit alors qu'on effectue un pentest en boîte grise ou grey box. Cet audit est notamment intéressant pour vérifier si un utilisateur avec un compte classique comme un client ou un salarié peut effectuer des actions qui ne lui seraient normalement pas autorisées ou avoir accès à des données de manière non légitime.

Enfin, les pentests peuvent être réalisés en boîte blanche ou white box. Dans ce dernier cas, exercice peu répandu, l'auditeur a accès à un compte à plus hauts privilèges. Le pentester aura alors une vision globale de l'application ce qui lui permettra de réaliser certains tests plus aisément.

La fiche d'autorisation est un document contractuel tripartite encadrant la prestation de pentest. Il est signé par l'entreprise de cybersécurité, le client bénéficiant du test d'intrusion et le tiers hébergeur. 

Ce document comprend :

• La définition de l'objet de la prestation
• Le périmètre de l'audit (adresse IP, limites...)
• Les objectifs du test
• L'adresse IP de l'auditeur
• La période de réalisation des tests
• L'engagement de confidentialité
• Les obligations de l'auditeur

Chez Indatable nous avons opté pour une classification simple des vulnérabilités et des recommandations associées. Trois niveaux d'importance ont été définis :

• Faible
• Moyenne
• Élevée

Ces degrés permettent à nos clients de prioriser les actions de sécurisation.

Il existe d'autres classifications, qui sont certes plus fines, mais qui nous semblent être plus complexes à appréhender et mettre en œuvre. Ces classifications distinguent la notation de la vulnérabilité de la recommandation.

Ainsi une vulnérabilité est notée en fonction :

• De son impact sur la sécurité du système d'information auditée
• De la difficulté d'exploitation
• De la criticité / du niveau de risque

La recommandation est qualifiée en fonction de :

• La charge de travail nécessaire à la mise en place de la parade
• La priorité

Un test d'intrusion présente de nombreux avantages et figure parmi les premières actions à opérer dans une démarche de sécurité d'un système d'information. Toutefois, un pentest présente trois limites principales.

Une limite temporelle

Un test d'intrusion est réalisé à un instant T. Or, toute application ou tout système informatique évolue. De plus, de nouvelles vulnérabilités sont découvertes chaque jour par les experts en sécurité informatique. 

La réalisation d'un pentest ne doit donc pas être ponctuelle, mais être réalisée régulièrement afin de s'assurer que son site ou son application est toujours sécurisée. Ce constat nous a conduits à proposer notre offre sous forme d'abonnement pour garantir à notre clientèle une protection dans le temps.

Une limite humaine

Un test d'intrusion est réalisé par une personne physique. À la différence des tests automatisés, chaque rapport sera différent d'un auditeur à un autre. Même s'il adopte la même méthodologie, un auditeur aura ses propres idées de tests et des compétences différentes d'un autre. Chez Indatable, les tests sont effectués alternativement par différents membres de notre équipe afin de fournir une plus grande diversité de recommandations.

Une limite statutaire

Dans une démarche cybersécurité un pentest n'est qu'un outil parmi d'autres. Il est nécessaire de l'associer par exemple à la réalisation d'audits de code ou l'adoption de politiques de sécurité.