Saviez-vous que 60% des cyberattaques exploitent des vulnérabilités logicielles connues ? C’est en tout cas ce qu’a révélé le rapport X-Force Threat Intelligence Index de IBM. A cela, il faut ajouter le fait que les entreprises sont tenues légalement de sécuriser leur SI, une obligation renforcée par la loi RGPD. Dans un tel contexte, le pentest s’impose comme la réponse logique aux cyber-risques auxquels sont exposées les organisations.
Pentest : c’est quoi ?
Également appelé test de pénétration, test d’intrusion et hacking éthique, un pentest peut être défini comme une technique de cybersécurité que les entreprises ou organisations utilisent pour identifier, tester et signaler les vulnérabilités de leur système informatique. Si on l’appelle « hacking éthique », c’est parce que le pentest est souvent réalisé par des hackers… éthiques. Ces derniers peuvent faire partie des équipes internes de l’organisation concernée, ou être des tiers externes qui interviennent à titre ponctuel. Leur but ? Imiter les stratégies et les actions d’un hacker malveillant afin d’évaluer la possibilité de pirater les systèmes informatiques, le réseau ou les applications web d’une organisation. Les entreprises ou organismes publics peuvent également utiliser le pentesting pour évaluer leur niveau de conformité avec les règlements en vigueur.
Il existe trois grandes stratégies de pentesting, chacune offrant aux pentesters un certain niveau d’informations dont ils ont besoin pour mener à bien leur attaque. Par exemple, le white box test fournit au pentester tous les détails concernant le système d’une organisation ou le réseau cible. En revanche, le black box testing ne fournit au hacker éthique aucune connaissance du système. A mi-chemin entre les deux, le gray box penetrating fournit au pentester une connaissance partielle du système de l’organisation.
Pour en savoir plus nous vous conseillons cette très bonne présentation sur le pentest.
Qu’est-ce qu’un hacker éthique ?
Les hackers éthiques sont des experts en technologies de l’information qui, nous vous le disions, utilisent des méthodes de piratage pour aider les entreprises à identifier les points d’entrée possibles dans leur infrastructure. En utilisant différentes méthodologies, outils et approches, les entreprises peuvent réaliser des cyberattaques simulées pour tester les forces et les faiblesses de leurs systèmes de sécurité existants. La pénétration, dans ce cas, fait référence au degré auquel un potentiel hacker peut pénétrer les mesures et protocoles de cybersécurité d’une organisation.
Pentest, une mesure de sécurité proactive
Le test d’intrusion est considéré comme une mesure de cybersécurité proactive car il implique des améliorations constantes et auto-initiées sur la base des rapports générés par le test. Cette approche diffère des approches non proactives, qui manquent de prévoyance pour améliorer les faiblesses dès qu’elles apparaissent. Pour vous aider à y voir plus clair, sachez qu’une approche non proactive de la cybersécurité consisterait pour une entreprise, par exemple, à mettre à jour son pare-feu après une violation de données. L’objectif des mesures proactives comme le pentesting, est de minimiser le nombre de mises à jour rétroactives et de maximiser la sécurité d’une organisation.
Pentest VS Audit de sécurité : quelle différence ?
Le pentest ne doit surtout pas être confondu avec un audit de sécurité, bien que les deux soient souvent réalisés ensemble. Alors qu’un audit de sécurité fournit une liste hiérarchisée des faiblesses de sécurité et de la manière de les corriger, un pentest est le plus souvent mené dans l’un objectif des 3 objectifs suivants : identifier les systèmes « piratables », tenter de hacker un système spécifique et/ou identifier une brèche de données. Par exemple, si l’objectif d’un pentest est de déterminer la facilité à laquelle un hacker peut pénétrer dans la base de données de l’entreprise, les hackers éthiques auront pour instruction d’essayer de tenter une brèche de données. A la différence d’un audit de sécurité, un pentest ne se contente pas de mesurer la force des protocoles de cybersécurité actuels d’une organisation, il présente également les méthodes de hacking qui peuvent être utilisées pour pénétrer les systèmes de l’organisation. Autrement dit, si l’audit de sécurité identifie les failles potentielles du système de sécurité, il ne permet pas de dire si elles sont réellement exploitables. Cela veut dire que l’organisation ne sera pas en mesure d’anticiper un scénario d’attaque et d’adapter sa politique de cybersécurité en conséquence.
Pentest Red Team et pentest Purple Team
Le pentest Red Team est un test d’intrusion en conditions réelles. Concrètement, il s’agit d’une réelle mise à l’épreuve du système de sécurité informatique d’une organisation, par le biais d’évaluations et de tests rigoureux des mesures de protection : antivirus, plans de sécurité informatique, chiffrement des données… Pour dire les choses simplement, le pentest Red Team prend la forme d’une véritable attaque de pirates, ce qui permet de tester plusieurs scénarios, sans limite. En bref, le pentest Red Team est une méthode qui a fait ses preuves en termes d’évaluation du niveau de sécurité d’un SI et d’application des mesures correctives nécessaires. En confrontant l’entreprise à une attaque « réelle », il permet d’évaluer la capacité de réaction et de défense des équipes.
Allant bien au-delà de la simple tentative d’intrusion, un pentest Red Team permet de tester de nombreux aspects liés à la sécurité informatique, notamment au niveau physique. Par exemple, un test de pénétration Red Team peut inclure des scénarios d’intrusion physique de personnes extérieures à l’organisation (prestataires, fournisseurs…) pour accéder à des outils informatiques. Dans le même ordre d’idées, le pentest Red Team peut aussi s’atteler à tester la vulnérabilité des infrastructures physiques comme l’accessibilité des serveurs par exemple. Il peut également recourir à des procédés d’ingénierie sociale : tentatives de manipulation des collaborateurs, e-mails frauduleux pour récupérer des informations…
Par opposition au Red Team, le pentest en mode Purple Team repose sur un modèle collaboratif. Il s’agit, vous l’aurez compris, d’une stratégie à l’opposé du Red Team, en cela qu’elle ne met pas en perspective une équipe d’attaquants et une autre de défense. Le mode Purple Team consiste, au contraire, à faire collaborer les auditeurs et les acteurs internes de la sécurité informatique de l’organisation, l’idée étant de créer une seule équipe. Pour arriver à un niveau de collaboration satisfaisant et pour déterminer la réactivité du service informatique et des collaborateurs, une Purple Team va solliciter divers leviers comme les groupes de travail, les ateliers, les formations… Souvent, la Purple Team est préférée à la Red Team, surtout dans le cas des organisations dont le niveau de sécurité informatique laisse à désirer. Ainsi, avant d’envisager une méthodologie basée sur une mise en situation réelle et qui nécessite un haut niveau d’implication de l’organisation, il est généralement recommandé de commencer par un pentest Purple Team, voire un audit de sécurité.
