Mes collaborateurs sont en télétravail, on me dit de faire un audit d’intrusion contre les Cyberattaques…Mais pour quoi faire ? Comment ça marche ? Ça ressemble à quoi ?

Souvent on nous dit « je ne connais rien à l’informatique, vous allez faire un audit d’intrusion, mais à quoi cela va ressembler ? Comment ça se passe concrètement ?»

Il nous semblait important de faire cette petite note de synthèse pour clarifier cette question et vous préparer à une Cyberattaque.

Le test d’intrusion plus communément « pentest » est une méthode d’évaluation, un audit de sécurité d’un système d’information informatique. Il est réalisé par un auteur surnommé « pentester », en anglais.

Hacker Ethique ou Pentester
Pentester ou Hacker Ethique

En quoi consiste un Pentest?

Tandis que l’audit a pour objectif de valider la conformité à une politique, le pentest en mesure le risque en simulant une attaque. 

Avec votre accord, le Pentester s’efforce de reproduire la démarche et les techniques d’un véritable Hacker. Avoir la vision de l’attaquant, sa démarche, sa compréhension du périmètre, ses mécanismes de réflexion, c’est cela qui est primordial dans le succès d’un pentest. Au-delà du « savoir-faire » technique, c’est le « savoir-être » qui fera la différence.

Il y a deux types de test, interne ou externe :

Le test d’intrusion externe est la solution la plus courante et généralement la plus profitable : le consultant opère depuis l’extérieur sur une connexion Internet ordinaire.

Le test d’intrusion interne correspond à la configuration inverse : il s’agit de simuler une attaque depuis l’un des réseaux internes à la société afin de mesurer le risque de compromission par un employé, prestataire ou partenaire malveillant par exemple.

 Quels sont les avantages pour votre société ?

Grâce à cette approche, l’entreprise identifie un maximum de vulnérabilités susceptibles d’être exploitées ainsi que les scénarios probables menant à une compromission du système d’information.

 Le rapport de test d’intrusion fournit l’ensemble des détails requis pour reproduire les situations à risques, l’analyse du risque établie par le consultant ainsi que l’ensemble des recommandations nécessaires à la mise en place d’un plan d’action. Il s’inscrit donc directement dans le processus de gestion du risque et encourage les contre-mesures efficaces et pragmatiques afin d’abaisser rapidement le risque à un niveau acceptable par le client ou la réglementation.

Selon les experts qui réalisent un audit d’intrusion « Pentest », la forme du document changera, mais vous retrouvez en général ces informations :

  • Une Synthèse et une introduction
  • Une explication sur le déroulement de l’audit. Son périmètre, son contexte et la méthodologie.
Listing des vulnérabilité
exemple de listing de vulnérabilités
  • Vous trouverez un listing des risques et une matrice des risques
  • Un listing des vulnérabilités et un listing des recommandations
exemple de matrice des risques
Exemple de matrice des risques
  • Enfin un récapitulatif des recommandations et vulnérabilités
  • Un schéma des attaques peut-être aussi être proposé sous forme de tableau ou de carte heuristique
Exemple d'arbre d'attaque
Exemple d’arbre d’attaque
  • Une conclusion

Analyse des vulnérabilités (un exemple sur une dizaine de résultats)

audit de pentest
Audit de Pentest

Vous pouvez avoir aussi :

– Le directory listing est autorisé

– Tokens CSRF non invalidés après usage

– Manque de protection contre le bruteforce

Et bien d’autres points rendant vulnérable votre système d’information et donc votre entreprise au cyberattaques.

Toutes ces informations sont transmises avec des recommandations voir des propositions d’action corrective et de formation.

Remerciements

Nous remercions Florent, un Hacker « éthique » inscrit sur www.vigie.online pour ces informations qui nous ont permis de réaliser cette petite note de synthèse

Retrouvez Florent un Hacker Éthique, inscrit sur VIGIE il vous en dira plus…

Nos notes de synthèse sont accessibles à tous, elles ont pour objectifs de simplifier la compréhension aux différents métiers et techniques de l’Intelligence Economique et Stratégique.

Si vous voulez en savoir plus, contactez-nous sur contact@vigie.online

Christophe Amande