Les fondamentaux de l’approche Pentest

0
107

Maillon-clé de l’audit dans le domaine de la cybersécurité, le Pentest (ou test d’intrusion) permet aux entreprises et collectivités de mieux connaitre les vulnérabilités de leur SI et de prendre des mesures leur permettant de cartographier et de monitorer leur degré d’exposition au risque. Entre fantasme de geek et expertise réelle : quels sont les contours de cette méthode ?

Avis d’expert Squad – Concrètement, le test d’intrusion permet d’analyser une cible du point de vue d’un hacker. Il s’agit donc d’une réelle mise en situation qui permettra de tirer de précieux enseignements sur la perméabilité d’un SI à des attaques variées en ciblage ( IP, applicatives, réseaux,…) ou en approche (force brute, white, grey ou black box, …)

À quoi servent les tests d’intrusion ?

Globalement, le Pentest permet d’identifier les vulnérabilités, puis d’évaluer les risques et (finalement) de conseiller sur le type de correctifs à mettre en place. Ainsi, cette approche permettra d’adopter une démarche de sensibilisation et d’évaluation concrète de la menace potentielle qui servira de base pour proposer des actions correctives adaptées (à ce stade, il sera possible de planifier des interventions, en fonction du niveau de criticité des risques identifiés).

En approfondissant, on remarque que la technique du pentest se fonde sur plusieurs angles d’attaques possibles, se distingant en trois grandes catégories. Nous parlons ici des approches dites de White Box, Grey Box et Black Box. Dans cette segmentation, qui impose une complémentarité des trois approches, l’angle d’attaque des pentesteurs dépend de leur rôle simulé au sein de la structure testée. Super-admin (avec les pleins droits), salarié « standard » ou encore en situation « réelle » de piratage : telles sont les trois options majeures entre lesquelles un véritable éventail de possibilités existent . Un autre point tient au moment où sont réalisés les tests d’intrusion sur l’infrastructure à l’épreuve. Depuis la conception d’un système jusqu’à l’analyse postérieure à une intrusion ; le timing propre à l’intervention du pentesteur définira aussi son approche.

Que recherche un pentesteur ?

De nombreuses réponses existent parmi lesquelles nous pouvons citer : un accès à des informations, une cartographie des vulnérabilités (SI, applications, infrastructures), des tests d’efficacité des systèmes de détection d’intrusion ,le type de réponse apportée par les équipes cyber des entreprises, etc. Les cas d’usages sont multiples et dépendent de facteurs complémentaires : organisationnels, techniques, etc.

Suivant le rôle endossé par le White Hat à l’origine du test d’intrusion, les résultats attendus diffèrent. Le pentesteur pourra ainsi mettre à jour une faille dans l’authentification des collaborateurs d’une entreprise … comme une problématique de sécurité du code inhérent aux serveurs d’une application. Tout dépend du périmètre de sa mission et de son analyse.

Le pentest occupe donc une place importante dans le processus d’audit de sécurité IT. En se concentrant sur une approche très opérationnelle, il évalue concrètement les risques cyber en se positionnant du point de vue d’un hackeur à un moment donné.