Un test d’intrusion (également connu sous le nom de pentest) est une évaluation de la sécurité qui simule les activités d’attaquants du monde réel pour identifier les failles de sécurité dans vos systèmes ou applications informatiques.
Le but du test est de comprendre quelles vulnérabilités vous avez, comment elles pourraient être exploitées et quel serait l’impact si un attaquant réussissait.
Habituellement effectué en premier, un pentest externe (également appelé test de pénétration du réseau externe) est une évaluation de vos systèmes de périmètre. Votre périmètre est constitué de tous les systèmes directement accessibles depuis Internet. Par définition, ils sont exposés et sont donc les plus facilement et régulièrement attaqués.
Tester les faiblesses
Les pentests externes recherchent des moyens de compromettre ces systèmes et services externes accessibles pour accéder à des informations sensibles et voir comment un attaquant pourrait cibler vos clients, clients ou utilisateurs.
Dans un pentest externe de haute qualité, le ou les professionnels de la sécurité copieront les activités de vrais pirates, comme l’exécution d’exploits pour tenter de prendre le contrôle de vos systèmes. Ils testeront également l’étendue de toutes les faiblesses qu’ils trouveront pour voir jusqu’où un attaquant malveillant pourrait creuser dans votre réseau et quel serait l’impact commercial d’une attaque réussie.
Exécutez d’abord des pentests externes
Les tests d’intrusion externes supposent que l’attaquant n’a pas eu d’accès préalable à vos systèmes ou réseaux. Ceci est différent d’un test d’intrusion interne qui teste le scénario dans lequel un attaquant a déjà un pied sur une machine compromise ou se trouve physiquement dans le bâtiment. Il est généralement logique de couvrir d’abord les fondamentaux et d’envisager des tests internes après avoir effectué une analyse régulière des vulnérabilités et des tests de pénétration externes.
Comment effectuer des tests d’intrusion externes
Alors, comment faites-vous pour obtenir un test d’intrusion externe ? Planifier un pentest externe devrait être aussi simple que de demander à votre fournisseur de services gérés ou à votre conseil informatique, et de les diriger vers vos systèmes de périmètre (une liste de domaines et d’adresses/plages IP).
Un test d’intrusion externe est normalement exécuté sur la base d’une « boîte noire », ce qui signifie qu’aucune information privilégiée (telle que les informations d’identification de l’application, les schémas d’infrastructure ou le code source) n’est fournie aux testeurs. Ceci est similaire à l’endroit où un véritable pirate informatique ciblant votre organisation commencerait, une fois qu’il aurait découvert une liste de vos adresses IP et domaines.
Mais il y a quelques indications importantes et une diligence raisonnable qu’il convient de garder à l’esprit lors de l’organisation de votre test d’intrusion externe :
- Qui effectue votre test ? Sont-ils un testeur d’intrusion qualifié ? Vous pouvez en savoir plus sur les certifications de test d’intrusion et le choix d’un cabinet de conseil dans le guide sur comment choisir une entreprise de test d’intrusion.
- Combien serez-vous facturé ? Les devis sont normalement basés sur un taux journalier et votre travail est défini en fonction du nombre de jours nécessaires pour effectuer l’évaluation. Chacun de ceux-ci peut varier d’une entreprise à l’autre, il peut donc être intéressant de faire le tour pour voir ce qui est proposé.
- Qu’est-ce qui est inclus ? Les fournisseurs de services respectables devraient vous proposer une proposition ou un énoncé de travail qui décrit le travail à entreprendre. Faites attention à ce qui est à l’intérieur et à ce qui ne l’est pas.
- Quoi d’autre est recommandé? Choisissez un fournisseur qui inclut la vérification de vos services exposés pour la réutilisation des informations d’identification violées, les attaques par pulvérisation de mots de passe et les tests d’applications Web sur des applications accessibles au public.
- Faut-il inclure l’ingénierie sociale ? Cela peut être une bonne valeur ajoutée, bien que ce type de test réussisse presque toujours lorsqu’il est tenté par un attaquant suffisamment déterminé, il ne devrait donc pas être une exigence stricte si votre budget est limité.
Test d’intrusion externe vs analyse de vulnérabilité
Si vous êtes familier avec l’analyse des vulnérabilités, vous remarquerez qu’un pentest externe partage certaines similitudes. Alors, quelle est la différence ?
En règle générale, un test d’intrusion externe comprend une analyse complète analyse de vulnérabilité externe, mais c’est juste là que ça commence. Toutes les sorties des outils d’analyse seront examinées manuellement par un pentester pour supprimer les faux positifs, exécuter des exploits pour vérifier l’étendue/l’impact de la faiblesse et « enchaîner » plusieurs faiblesses pour produire des exploits plus percutants.
Là où un scanner de vulnérabilité signalerait simplement qu’un service présente une faiblesse critique, un pentest tenterait d’exploiter cette faiblesse et de prendre le contrôle du système. En cas de succès, le pentester utilisera son accès pour aller plus loin et compromettre d’autres systèmes et services.
Les pentests plongent profondément dans les vulnérabilités
Alors que les scanners de vulnérabilité identifient souvent les problèmes potentiels, un testeur d’intrusion les explorerait en profondeur et indiquerait si la faiblesse nécessite ou non une attention particulière. Par exemple, les scanners de vulnérabilité signalent régulièrement la « liste des répertoires », où les serveurs Web offrent une liste de tous les fichiers et dossiers sur le serveur. Ce n’est pas nécessairement une vulnérabilité en soi, mais cela nécessite une enquête.
Si un fichier sensible (comme un fichier de configuration de sauvegarde contenant des informations d’identification) est exposé et répertorié par liste de répertoires, un simple problème d’information (tel que signalé par un scanner de vulnérabilité) peut rapidement se transformer en un risque à fort impact pour votre organisation. Le travail du pentester consiste à examiner attentivement les résultats d’une gamme d’outils, pour s’assurer que rien n’est laissé au hasard.
Et si j’ai besoin de tests plus rigoureux ?
Certaines autres activités qu’un véritable attaquant effectuerait et qui ne sont pas effectuées par les scanners de vulnérabilité peuvent également être incluses, mais elles varient d’un testeur à l’autre. Vérifiez la proposition ou posez des questions avant de programmer le pentest si vous souhaitez qu’elles soient prises en compte. Par exemple:
- Attaques de devinettes de mot de passe soutenues (pulvérisation, force brute) pour tenter de compromettre les comptes d’utilisateurs sur les VPN exposés et d’autres services
- Gratter le dark web et les bases de données de violation des informations d’identification connues de vos employés et les intégrer dans des panneaux et des services administratifs
- Test d’application Web lorsqu’un mécanisme d’auto-inscription est disponible
- Attaques d’ingénierie sociale telles que l’hameçonnage de vos employés
Les pentests ne peuvent pas remplacer les tests de vulnérabilité réguliers
N’oubliez pas que de nouvelles vulnérabilités critiques sont découvertes quotidiennement et que les attaquants exploitent généralement les faiblesses les plus graves dans la semaine suivant leur découverte.
Bien qu’un test d’intrusion externe soit une évaluation importante pour examiner en profondeur la sécurité de vos systèmes exposés, il est préférable de l’utiliser comme un service supplémentaire pour compléter l’analyse régulière des vulnérabilités – que vous devriez déjà avoir en place !
À propos de l’intrus
Intrus est une société de cybersécurité qui aide les organisations à réduire leur surface d’attaque en fournissant des services continus d’analyse des vulnérabilités et de tests d’intrusion. Le puissant scanner d’Intruder est conçu pour identifier rapidement les failles à fort impact, les modifications de la surface d’attaque et analyser rapidement l’infrastructure à la recherche de menaces émergentes. En exécutant des milliers de vérifications, qui incluent l’identification des erreurs de configuration, des correctifs manquants et des problèmes de couche Web, Intruder rend l’analyse des vulnérabilités de niveau entreprise facile et accessible à tous. Les rapports de haute qualité d’Intruder sont parfaits pour être transmis à des clients potentiels ou pour se conformer aux réglementations de sécurité, telles que ISO 27001 et SOC 2.
Intruder propose un essai gratuit de 30 jours de sa plateforme d’évaluation des vulnérabilités. Visitez leur site Web aujourd’hui pour l’essayer!