Les bonnes raisons de faire un test d’intrusion
Faire un test d’intrusion, à quoi ça sert ? Comment est-il réalisé et par qui ? On vous explique tout.
Pourquoi faire un test d’intrusion ?
Communément appelé pentest (terme issu de de l’anglais « Penetration testing »), le test d’intrusion est un audit de cybersécurité dont l’objectif est de mettre à l’épreuve une application ou un système d’information (SI) face à des attaques réalistes.
L’exercice vise à identifier les scénarios d’intrusion les plus probables et de corriger les vulnérabilités pouvant présenter un impact important pour votre activité. Cette approche pragmatique permet d’évaluer rapidement le niveau de sécurité de l’environnement testé tout en limitant les coûts par rapport à des démarches d’audits plus complexes ou plus chronophages (audit d’architecture, revue de code source…).
À l’issue de ces tests, un rapport d’audit présente la synthèse des résultats, le détail des scénarios et des vulnérabilités découvertes ainsi qu’un plan d’action détaillé permettant de les corriger et de protéger votre système d’information.
Comment faire un test d’intrusion ?
Les pentests peuvent démarrer après une réunion de cadrage durant laquelle sont échangés les prérequis : adresses URL, adresses IP, fiche d’autorisation. Les auditeurs cherchent alors à identifier les vulnérabilités qui peuvent être exploitées par un hacker, notamment celles présentes dans le Top 10 de l’OWASP : injections (SQLi, XSS, XXE, RCE), défauts de contrôles d’accès, mots de passe faibles, problèmes de configuration…
Les tests d’intrusion sont généralement réalisés selon les approches :
– Boîte noire : à la manière d’un attaquant ne disposant d’aucune information préalable
– Boîte grise : dans ce scénario l’attaquant dispose d’informations complémentaires, généralement des comptes utilisateur (vol de compte suite à une attaque de phishing ou utilisateur malveillant).
Quels sont les supports ou réseaux visés par les tests d’intrusion ?
En fonction des risques et des scénarios redoutés, les tests d’intrusion peuvent cibler un périmètre exposé sur Internet ou des ressources du réseau interne.
Les ressources Internet les plus exposées aux attaques sont généralement :
– les sites institutionnels : atteinte à l’image de marque, à la réputation
– E-commerce : fraude, vol d’informations personnelles…
– VPN, bureaux à distance RDS ou Citrix : intrusion sur le système d’information interne
– les messageries : fraude, phishing, intrusion sur le système d’information interne
Ou des ressources internes :
– Active Directory (on-premise ou hybride cloud Azure)
– ERP et CRM (SAP, Dynamics, Salesforce)
– les solutions Métier (SAGE, GLPI…)
– les bases de données (MS-SQL, Oracle, MySQL, MariaDB, PostgreSQL)
– les réseaux Wi-Fi
Enfin, les tests d’intrusion RedTeam permettent de simuler une attaque très réaliste, à large spectre, en ciblant l’entreprise par tous les moyens susceptibles d’être mis en œuvre par un hacker : social engineering, phishing, intrusions physiques et logiques.
Qui réalise les tests d’intrusion ?
Digitemis dispose d’une équipe d’experts en intrusion informatique réalisant quotidiennement des tests d’intrusion sur tous les types de périmètres et de technologies.
Tous nos projets de tests d’intrusion sont réalisés par une équipe composée d’au moins 2 consultants expérimentés, qui partagent leur temps entre ces missions d’intrusion et des travaux de R&D au sein de notre laboratoire cybersécurité RedDive.
L’équipe Pentest/laboratoire RedDive de Digitemis c’est :
– plus de 150 missions par an
– 98% de satisfaction client
– 45% des tests d’intrusion réalisés sur des environnements exposés sur Internet donnent lieu à la découverte de vulnérabilités critiques ou majeures
– 88% des tests d’intrusion réalisés pour la première fois sur des réseaux d’entreprise aboutissent à la prise de contrôle totale du système d’information
Vous souhaitez réaliser un test d’intrusion ou un audit de cybersécurité ? Retrouvez toutes nos offres :
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?