L'objectif de ce document est de définir le cadre de réalisation d'un test d'intrusion d'un réseau externe (internet) vers un réseau interne privé. Il s'agit principalement de transformer l'image d'un tel test réalisé par un " bidouilleur averti " et de prendre conscience de l'intérêt d'une telle opération dans un cadre contractuel.

Dans un premier temps, il est important de comprendre les limitations d'un test d'intrusion. En effet, il est fréquent d'imaginer qu'au travers de cette technique, les différents problèmes de sécurité seront systématiquement révélés et par conséquent corrigés. Il n'en est rien !

Pas d'identification exhaustive ni d'assurance... Un test d'intrusion n'apporte aucune preuve sur la sécurité d'un système informatique. Il permet de détecter un certain nombre de failles, mais il se limite à des éléments le plus souvent connus ou à des éléments pouvant être détectés dans les conditions où le test d'intrusion est réalisé. Un auditeur aura tendance à ne tester que la première couche de protection, la plus proche de la connexion externe. Il s'arrêtera dès qu'il aura découvert une faille majeure sans forcément chercher d'autres problèmes.

Il est à noter que le test d'intrusion ne s'applique qu'à des éléments techniques. Il est pour autant très important d'analyser les faiblesses d'ordre organisationnel et procédural.

Pour obtenir un niveau de confiance suffisant sur la sécurité du SI, la réalisation d'un audit de sécurité est encore plus efficace si un test d'intrusion est réalisé en même temps.

Des objectifs clairs...

Définir un niveau de sécurité et qualifier sa résistance tout en sensibilisant les acteurs au sein de l'entreprise. Un test d'intrusion permet de quantifier son niveau de protection, de manière identique à des méthodes de qualification du monde industriel (endurance d'un moteur par exemple). La durée du test tout comme son périmètre sont des facteurs très importants lors de la réalisation du contrat.

Les résultats d'un test d'intrusion sont aussi un argument de poids pour les acteurs de l'entreprise afin de faire prendre conscience de l'importance de la sécurité au sein de leur SI. Il permet parfois de faire prendre conscience de l'inadéquation de la multiplication de certaines protections, celles-ci s'annulant ou se complétant dans le mauvais sens.

Pour autant, dans le cas où le test d'intrusion n'est pas concluant, le pouvoir de sensibilisation devient nul. Pire, il procure fréquemment un faux sentiment de sécurité difficile à combattre.

Une méthodologie...

Un test d'intrusion comporte trois phases principales lorsqu'il est réalisé à l'aveugle depuis internet.

intrusion

  • La découverte initiale : Il s'agit de découvrir le périmètre de l'étude sans aucune information préalable.
  • La recherche d'informations et de vulnérabilités : Il s'agit de découvrir les services disponibles sur les machines identifiées à la première étape. Cette énumération permet de mettre à jour un certain nombre de problèmes de sécurité relatifs à la configuration de la machine.
  • L'exploitation des vulnérabilités et intrusion : Au regard des éléments collectés précédemment, il s'agit d'exploiter concrètement les failles de sécurité afin de " pénétrer " au sein de la société. Il est recommandé de ne pas exploiter les failles trop importantes découvertes lors de l'étape 2 et d'en informer immédiatement la société afin qu'elle puisse réagir au plus vite.

Autres Actualités