| Agir en hacker, simuler les attaques que vous pourriez subir |
Qu'est-ce qu'un test d'intrusion?
Le test d'intrusion informatique (en anglais "Penetration test" abrégé "pentest") consiste à analyser la sécurité informatique d'un système, d'une application ou d'une entrerprise en adoptant la position d'un attaquant potentiel (hacker, malware, personne malveillante ou vindicative, concurrent, etc.).
Il simule l'ensemble des attaques, ciblées ou non, qui pourraient survenir sur une partie ou l'ensemble de votre SI : piratage et vol de données, defacing de site web, phishing, virus et ransomware (cryptolocker), dénis de services (Dos/DDoS), botnets automatisés,...
Il permet d'identifier de manière factuelle les problèmes de configuration, de programmation, ainsi que les vulnérabilités des composants du périmètre.
Il étudie ensuite l'origine et l'exploitabilité de ces failles afin de proposer un plan d'action de sécurisation du système d'information (SI) adapté aux risques réels encourus par l'entreprise.
L'analyse peut suivre trois axes d'attaques selon le besoin :- le consultant ("pentester") ne dispose d'aucune information au préalable : test à l'aveugle dit boîte-noire ("black-box")
- le pentester possède certaines informations (points d'entrées déterminés, login) : test dit boîte-grise ("grey-box")
- le pentester dispose d'informations détaillées pour mener son attaque (périmètre exact, architecture système et applicative, code, configurations) : test dit boîte-blanche ("white-box")
Le test d'intrusion informatique est mon coeur de métier, et représente mon activité principale. |
| Prestations d'intrusion réalisées : |
Approche Red-Team
L'approche red-team simule le scénario le plus large : l'intrusion informatique sans limite de temps ni de périmètre, avec toutes les techniques potentiellement applicables (intrusion physique, social-engineering, phishing, infections virales).
Dans la réalité de l'entreprise, si la non limite de temps est difficile à contracter, il est possible de missionner un test red-team sur l'ensemble de l'entreprise, durant lequel le pentester s'efforcera d'extrapoler les vulnérabilités potentielles en pondérant le risque de survenance par le temps à engager (ex. type : le temps applicable à une attaque brutefoce avérée). |
Test d'intrusion externe
Le pentest externe permet d'évaluer la robustesse et l'efficacité de votre sécurité informatique face à Internet. Il permet de dresser un état des lieux factuel de la sécurité de vos applications publiques, ainsi que l'étanchéité du LAN vis à vis de l'extérieur.
Il peut cibler une application isolée, une plateforme hébergée, le siège de l'entreprise et le rebond vers le LAN, voire l'ensemble du SI d'entreprise sans aucune information préalable. |
Test d'intrusion interne
Un test d'intrusion interne révèle ce qu'une personne malveillante pourrait réaliser depuis l'intérieur de votre SI, connecté à une prise du LAN.
L'attaque interne est d'autant plus importante qu'elle reflète la propagation possible d'une attaque réussie depuis l'extérieur ou d'une intrusion sur site.
|
Social-engineering
La sécurité informatique du SI dépend également des personnes qui l'utilisent.
Usurpation d'identité et accès à des ressources ou locaux restreints, mail d'hameçonnage (phishing), inciation à des actions informatiques, pièces jointes virulentes (ransomware/cryptolocker, chevaux de troie), sont des méthodes courantes d'attaques ciblées ou non ciblées du SI d'entreprise.
Dans le cadre d'un test d'intrusion, ces techniques dites d'ingénierie sociale permettent de considérer le facteur humain : évaluer le niveau de sensibilisation de vos équipes et mesurer l'impact possible sur le SI. |
Intrusion physique
Une intrusion dans les locaux de l'entreprise, même brève, est un moyen direct de mener une attaque depuis l'intérieur, et est bien souvent plus simple que d'infecter un poste client interne ou d'exploiter une faille depuis l'extérieur.
L'intrusion physique permet de tester le contrôle d'accès aux locaux, l'étanchéité depuis des sites ou des prises d'accès publiques, et de mettre à l'épreuve les procédures de contrôle des entrées et interventions.
|
Attaque wifi
La plupart du temps, le wifi se propage au delà des murs de l'entreprise. Et il est un lien direct ou indirect sur le LAN. Son bon fonctionnement est également parfois indispensable.
Le test d'intrusion wifi permet de vérifier la stabilité radio (brouillage), la force du chiffrement, la robustesse de l'authentification et le cloisonnement vis à vis du LAN. |