Tout savoir sur les tests d'intrusion

Indatable est une société de cybersécurité. À ce titre, nous sommes amenés à faire des tests d'intrusion pour le compte de nos clients. Vous trouverez ci-dessous les questions qui nous sont les plus souvent posées.

Contactez-nous si vous avez d'autres questions
06 50 00 29 72 ou contact@indatable.com

En quoi consiste un test d'intrusion ?

Un test d'intrusion est un audit de sécurité informatique consistant dans la recherche de failles présentes dans une application. Cet audit permet donc d'identifier et de patcher les vulnérabilités les plus visibles.

Test d'intrusion ou pentest, quelles différences ?

Aucune. Le pentest est parfois utilisé pour désigner le test d'intrusion. Il s'agit d'un terme anglais signifiant penetration test. Le terme pentester est couramment utilisé en français pour désigner la personne réalise le test d'intrusion informatique.

Pourquoi faire un pentest ?

Un test d'intrusion permet de simuler une tentative d'attaque informatique perpétrée par un pirate. Il est réalisé dans les mêmes conditions (durées, techniques utilisées...) et se rapproche donc des risques réellement encourus.

Réaliser un pentest est une bonne pratique visant à renforcer la sécurité d'un site ou d'une application. Il est important de réaliser ces tests régulièrement afin de vérifier que les nouveaux développements ne donnent pas lieu à de nouvelles failles.

Comment se déroule un test d'intrusion ?

La réalisation d'un pentest est très encadrée. Elle répond à des méthodologies strictes garantissant la qualité des conclusions et la protection de l'application testée. Schématiquement un test d'intrusion se déroule en trois étapes : préparation, réalisation, et livraison. Le déroulé est globalement le même d'une société de cybersécurité à une autre. Les différences de résultats peuvent varier en fonction de l'auditeur, de son expérience et de son approche.

1) Préparation

  • Réunion de lancement pour définition du périmètre d'audit (que tester ?)
  • Demande d'autorisation auprès de l'hébergeur
  • Réalisation des sauvegardes des données
  • Préparation du matériel d'audit

2) Réalisation

  • Collecte d'informations (moteur de recherche, scan, vérification code...)
  • Tests
  • Exploitation des vulnérabilités

3) Livraison

  • Rédaction du rapport d'audit
  • Livraison du rapport d'audit
  • Réunion de restitution (présentation des conclusions)

Qui réalise les tests d'intrusion ?

La réalisation d'un pentest doit être très encadrée et respecter une méthodologie stricte. L'auditeur ou pentester doit présenter les qualités morales et éthiques pour exercer cet exercice. À ce titre, chez Indatable nous exigeons de la part de notre équipe un extrait de casier judiciaire vierge et l'adhésion systématique à notre charte éthique.

Il existe des certifications encadrant le métier de pentester telle que la Certified Ethical Hacker (CEH). Mais celle-ci n'est pas obligatoire pour l'exercice de cette activité. Il n'est pas non plus obligatoire de présenter une formation universitaire. Par nature, le métier de pentester est accessible au plus grand nombre. Un grand nombre d'entre eux ont appris le métier en autoformation.

Recherchez-vous un prestataire pour faire un test d'intrusion ? N'hésitez pas à prendre contact avec notre équipe!
06 50 00 29 72 ou contact@indatable.com

Combien de temps dure un test d'intrusion ?

En moyenne, un pentest prend 3 à 6 jours. La durée d'un pentest varie en fonction de plusieurs critères :

  • Le périmètre de l'audit
  • La sensibilité des données
  • Le type de test d'intrusion
  • La complexité de l'application
  • L'exposition de l'application

La durée du test d'intrusion doit être corrélée à la durée estimée pour laquelle un pirate serait susceptible d'y consacrer du temps.

Combien coûte un pentest ?

Chez Indatable les tests d'intrusion sont compris dans notre offre d'abonnement commercialisée à partir de 200€ par mois.

Chez la concurrence, le prix d'un pentest va varier en fonction :

  • De la durée du test
  • Du périmètre de l'audit
  • Du type de pentest
  • Du tarif journalier de l'entreprise (généralement compris entre 800 et 1500 euros par jour)
  • Du niveau d'expérience de l'auditeur

Nos concurrents facturent en règle générale les tests d'intrusion entre 2400 et 9000 euros.

Que contient un rapport de test d'intrusion ?

À l'issue d'un pentest est remis un rapport présentant les conclusions de l'audit. Les objectifs de ce document sont d'informer la direction sur les risques encourus, et de présenter à l'équipe de développement les mesures correctrices à adopter. Ces rapports peuvent également être présentés à un partenaire ou client pour l'informer sur le niveau de sécurité d'une application.

Chaque entreprise de cybersécurité dispose de son propre format et organise différemment son rapport.

Chez Indatable, les rapports de test d'intrusion sont rédigés de manière pragmatique afin de faciliter l'adoption des mesures correctrices. Notre rapport d'audit se présente ainsi :

  • Introduction
    • Contexte et objectifs
    • Périmétre de l'audit (adresse IP)
    • Date de l'audit
    • Auteur de l'audit
  • Synthèse managériale du test
  • Liste des vulnérabilités identifiées (classées par degré d'importance)
    • Présentation de la vulnérabilité
    • Degré d'importance
    • Risques
    • Code ou page incriminé
    • Exemple d'exploitation
    • Proposition de correctif

Quels sont les différents types de pentests ?

Il existe plusieurs types de tests d'intrusion. On peut les distinguer en fonction du lieu d’exécution (interne/externe) et en fonction de l'information fournie au pentester (boîte blanche / boîte grise / boîte noire). Chacun de ces tests présente des avantages et des inconvénients. Le choix de l'un ou de l'autre se fera en fonction du contexte et des objectifs de l'audit.

Le lieu d'exécution

Un test d'intrusion peut être exécuté depuis les locaux de l'entreprise auditée : pentest interne. Ce test permet de vérifier qu'un salarié, qu'un stagiaire ou qu'un simple visiteur ne peut pas mener une attaque informatique ou récupérer des données de manière illégitime en se connectant au réseau de l'entreprise.

Un test d'intrusion peut également être exécuté en dehors des locaux de l'entreprise auditée : pentest externe. Il s'agit de la typologie d'audit la plus répandue. Il s'agit ici de simuler une tentative d'intrusion sur le système d'information d'une entreprise ou sur une application spécifique comme un site extranet, un site e-commerce ou une app mobile.

L'information fournie

On dit qu'un pentest est réalisé en boîte noire ou black box lorsque l'auditeur ne dispose d'aucune information si ce n'est l'adresse de l'application à tester. Ce type d'audit permet de réaliser une simulation de piratage par une tierce personne.

Un test d'intrusion peut, en outre, être effectué en fournissant un compte sans droits à privilèges à l'auditeur. On dit alors qu'on effectue un pentest en boîte grise ou grey box. Cet audit est notamment intéressant pour vérifier si un utilisateur avec un compte classique comme un client ou un salarié peut effectuer des actions qui ne lui seraient normalement pas autorisées ou avoir accès à des données de manière non légitime.

Enfin, les pentests peuvent être réalisés en boîte blanche ou white box. Dans ce dernier cas, exercice peu répandu, l'auditeur a accès à un compte à plus hauts privilèges. Le pentester aura alors une vision globale de l'application ce qui lui permettra de réaliser certains tests plus aisément.

Qu'est-ce qu'une fiche d'autorisation ?

La fiche d'autorisation est un document contractuel tripartite encadrant la prestation de pentest. Il est signé par l'entreprise de cybersécurité, le client bénéficiant du test d'intrusion et le tiers hébergeur.

Ce document comprend :

  • La définition de l'objet de la prestation
  • Le périmètre de l'audit (adresse IP, limites...)
  • Les objectifs du test
  • L'adresse IP de l'auditeur
  • La période de réalisation des tests
  • L'engagement de confidentialité
  • Les obligations de l'auditeur

Comment sont notées les vulnérabilités ?

Chez Indatable nous avons opté pour une classification simple des vulnérabilités et des recommandations associées. Trois niveaux d'importance ont été définis :

  • Faible
  • Moyenne
  • Élevée

Ces degrés permettent à nos clients de prioriser les actions de sécurisation.

Il existe d'autres classifications, qui sont certes plus fines, mais qui nous semblent être plus complexes à appréhender et mettre en œuvre. Ces classifications distinguent la notation de la vulnérabilité de la recommandation.

Ainsi une vulnérabilité est notée en fonction :

  • De son impact sur la sécurité du système d'information auditée
  • De la difficulté d'exploitation
  • De la criticité / du niveau de risque

La recommandation est qualifiée en fonction de :

  • La charge de travail nécessaire à la mise en place de la parade
  • La priorité

Quelles sont les limites d'un test d'intrusion ?

Un test d'intrusion présente de nombreux avantages et figure parmi les premières actions à opérer dans une démarche de sécurité d'un système d'information. Toutefois, un pentest présente trois limites principales.

Une limite temporelle

Un test d'intrusion est réalisé à un instant T. Or, toute application ou tout système informatique évolue. De plus, de nouvelles vulnérabilités sont découvertes chaque jour par les experts en sécurité informatique.

La réalisation d'un pentest ne doit donc pas être ponctuelle, mais être réalisée régulièrement afin de s'assurer que son site ou son application est toujours sécurisée. Ce constat nous a conduits à proposer notre offre sous forme d'abonnement pour garantir à notre clientèle une protection dans le temps.

Une limite humaine

Un test d'intrusion est réalisé par une personne physique. À la différence des tests automatisés, chaque rapport sera différent d'un auditeur à un autre. Même s'il adopte la même méthodologie, un auditeur aura ses propres idées de tests et des compétences différentes d'un autre. Chez Indatable, les tests sont effectués alternativement par différents membres de notre équipe afin de fournir une plus grande diversité de recommandations.

Une limite statutaire

Dans une démarche cybersécurité un pentest n'est qu'un outil parmi d'autres. Il est nécessaire de l'associer par exemple à la réalisation d'audits de code ou l'adoption de politiques de sécurité.

Une autre question concernant les tests d'intrusion ? On est disponible !
06 50 00 29 72 ou contact@indatable.com