Les 5 principaux types de tests de pénétration

L’escalade de la menace des pirates informatiques devient chaque jour plus sérieuse. Une enquête de TechRepublic auprès de plus de 400 professionnels de la sécurité informatique a révélé que 71 % d’entre eux avaient constaté une augmentation des menaces ou des attaques de sécurité depuis le début de l’épidémie de COVID-19. Si un pirate réussit à percer vos défenses, les dommages – sur votre réputation, vos résultats et vos capacités opérationnelles – pourraient être catastrophiques.Pour jauger vos défenses de cybersécurité et repérer les vulnérabilités de vos systèmes informatiques critiques, vous devez envisager différents types de tests de pénétration.

Que sont les tests de pénétration ? Et lequel est nécessaire pour votre entreprise ?

Faisons le point.

Qu’est-ce qu’un test de pénétration ?

Un test de pénétration, également appelé pen test, implique généralement une équipe de professionnels de la sécurité, travaillant pour pénétrer les réseaux ou les serveurs de votre entreprise. Ils y parviennent en identifiant les vulnérabilités, puis en les exploitant. Pour cette raison, les pen tests sont souvent considérés comme un type de piratage éthique.

Les pen tests sont un mécanisme de défense efficace car ils imitent les attaques du monde réel. Ils vous permettent de voir les points faibles de votre périmètre de cybersécurité – qu’il s’agisse de portes dérobées dans le système d’exploitation, de défauts de conception involontaires dans le code ou de configurations logicielles inappropriées.

Les avantages d’effectuer des tests sur une base périodique comprennent :

  • Révèle les expositions dans vos configurations d’applications et votre infrastructure réseau
  • Protège la propriété intellectuelle ainsi que les données sensibles et privées
  • Met en évidence les risques réels qu’un pirate réel réussisse à percer vos défenses
  • Mesure vos capacités de cyberdéfense – votre capacité à détecter les attaques puis à y répondre en temps opportun
  • .

  • Assure que votre réseau et vos opérations fonctionnent sans problème 24 heures sur 24 et 7 jours sur 7 et ne subissent pas de temps d’arrêt inattendu
  • Maintient la conformité avec les réglementations et les certifications telles que PCI ou ISO
  • Fournit un avis objectif d’un tiers sur l’efficacité de vos efforts de cybersécurité

Les tests de pénétration sont conçus pour être intenses et invasifs. L’objectif est de tester l’intégralité de votre périmètre pour obtenir le plus d’informations exploitables possible. Per SC Magazine

Les tests de pénétration peuvent être menés sur des composants matériels, logiciels ou micrologiciels et peuvent appliquer des contrôles de sécurité physiques et techniques. Il suit souvent une séquence d’une analyse préliminaire basée sur le système cible, puis une identification pré-test des vulnérabilités potentielles basée sur les analyses précédentes. Une fois cela terminé, un prétest peut aider à déterminer l’exploitation des vulnérabilités identifiées.

Les deux parties doivent accepter l’ensemble des règles avant de lancer les tests. Ensuite, les tests doivent être appliqués à l’ensemble de votre réseau.

Besoin d’un test de pénétration ? Apprenez-en davantage.

Les trois formes de tests de pénétration

Il existe trois principales façons de réaliser un test de pénétration :

  • Test boîte noire
  • Test boîte blanche
  • Test boîte grise

Test boîte noire

Le test boîte noire, également appelé test de pénétration externe, simule une attaque provenant de l’extérieur de votre organisation.

Le pen tester commence sur les mêmes bases qu’un vrai hacker. Cela signifie qu’il commence avec peu ou pas d’informations sur l’infrastructure informatique et les défenses de sécurité. Ils ne connaissent pas le fonctionnement interne de :

  • Les applications web
  • L’architecture logicielle
  • Le code source

Cette forme de test vous donne une idée de ce qu’un étranger devrait faire pour violer vos défenses. Mais le test ne s’arrête pas là. Il y a plus à apprendre. Un testeur veut aussi voir quels dommages il pourrait éventuellement infliger une fois qu’il est dans le système. Selon Infosec Institute:

Le test de pénétration en boîte noire repose sur l’analyse dynamique des programmes et systèmes en cours d’exécution dans le réseau cible. Un testeur de pénétration en boîte noire doit être familier avec les outils d’analyse automatisés et les méthodologies de test de pénétration manuel. Les testeurs de pénétration en boîte noire doivent également être capables de créer leur propre carte d’un réseau cible en fonction de leurs observations puisqu’aucun diagramme de ce type ne leur est fourni.

Typiquement, un testeur passe d’Internet au routeur, cherchant à contourner les défenses du pare-feu. Pour ce faire, il lance une attaque tous azimuts, par force brute, contre l’infrastructure informatique. Il effectue une sorte d’approche par essais et erreurs, dans laquelle des processus automatisés recherchent sans discernement les vulnérabilités exploitables.

Un test en boîte noire peut prendre jusqu’à six semaines pour être mené à bien de manière approfondie, bien qu’il puisse durer encore plus longtemps selon l’ampleur du projet et la rigueur des tests.

Test en boîte blanche

Parfois appelé test en boîte claire ou test interne, ce type de pen test donne au testeur l’accès au code source et à l’architecture du logiciel dès le départ. Il imite l’attaque d’un employé ou d’un pirate qui a déjà obtenu l’accès au système.

Le pen tester commence avec les mêmes privilèges qu’un utilisateur autorisé. À partir de là, il essaie d’exploiter les faiblesses de sécurité et de configuration au niveau du système. L’objectif de ce test est d’effectuer un audit approfondi des différents systèmes et de répondre à deux questions clés :

  1. À quelle profondeur un attaquant pourrait-il aller via une escalade de privilèges ?
  2. Quel dommage une attaque pourrait-elle causer ?

Un test interne peut prendre deux à trois semaines pour être terminé.

Test de pénétration en boîte grise

Comme son nom l’indique, le test en boîte grise est le moyen terme entre un test interne et un test externe. Le testeur simule une attaque de l’extérieur, sauf que dans ce cas, le pirate a les niveaux de connaissance partiels d’un utilisateur.

Il a pour but de rechercher des défauts dans la structure du code ou de l’application, en utilisant un mélange de méthodologies boîte blanche et boîte noire. Le test hybride mesure les entrées de l’utilisateur pour voir quelles sorties le logiciel produit en réponse. Généralement, le test sera effectué via une combinaison de processus manuels et de programmes automatisés.

Les scénarios courants auxquels un test boîte grise est destiné comprennent :

  • Le pirate dispose de comptes utilisateurs ou administrateurs avec lesquels il peut se connecter
  • Le pirate a une compréhension approfondie du flux de données et de l’architecture de l’application
  • Le pirate a accès à des parties du code source

Parce qu’elle utilise un mélange des deux méthodologies, certains considèrent qu’il s’agit du meilleur retour sur investissement pour votre temps et vos ressources. Il offre bon nombre des avantages d’un test interne et externe. Cela dit, un test de boîte grise ne fournit qu’une couverture limitée de l’application et du code source. Pour compliquer les choses, les tests ne sont pas faciles à concevoir.

Les 5 types de Pen Testing

Maintenant que nous avons couvert les principales façons dont un test de pénétration peut être effectué, il est possible de se plonger dans les types de tests les plus courants. La plupart d’entre eux utiliseront une combinaison de méthodologies de test en boîte blanche et en boîte noire. Ils comprennent :

Test de pénétration de service réseau

Un test de pénétration de réseau est utilisé pour identifier les faiblesses exploitables dans votre :

  • Réseaux
  • Systèmes
  • Hôtes
  • Dispositifs de réseau

Votre mission est de les trouver puis de les combler avant qu’un pirate ne puisse en profiter. Lorsqu’il est effectué correctement, ce processus peut démontrer les vulnérabilités du monde réel qu’un pirate pourrait exploiter pour accéder à des données sensibles ou prendre le contrôle du système. Le processus de découverte permet à votre équipe de trouver de meilleures façons de protéger les données privées et d’empêcher les prises de contrôle du système.

Qu’est-ce que cela implique ?

La plupart des tests de pénétration suivront les 7 étapes de la norme d’exécution des tests de pénétration (PTES) :

  • Interactions préalables à la mission – L’équipe interne et le partenaire de sécurité se rencontrent pour discuter et définir la portée de la mission.
  • Collecte de renseignements – Les testeurs cherchent à découvrir tous les systèmes accessibles et leurs différents services afin d’obtenir le plus d’informations possible.
  • Modélisation des menaces – Le testeur identifie les vulnérabilités exploitables au sein du système, via des tests manuels et des analyses automatisées.
  • Analyse des vulnérabilités – Le testeur documente et analyse les vulnérabilités les plus flagrantes afin de formuler un plan d’attaque.
  • Exploitation – Le testeur effectue réellement des tests pour tenter d’exploiter les vulnérabilités.
  • Post-exploitation – Le testeur tente de déterminer la valeur de la machine compromise et d’en garder le contrôle afin de pouvoir l’utiliser ultérieurement.
  • Rapport – Le testeur compile les résultats, en classant et en hiérarchisant les vulnérabilités, en fournissant des preuves et en recommandant des mesures réactives.

Test de pénétration des applications Web

L’expansion des applications Web a fait en sorte que de plus grandes ressources Internet doivent être consacrées au développement de logiciels et à la configuration des applications pour qu’elles fonctionnent correctement. Mais cela représente également un nouveau vecteur d’attaque important pour les pirates, d’autant plus que certaines applications web peuvent contenir des données sensibles.

Le test de pénétration d’applications web cherche à recueillir des informations sur le système cible, à trouver des vulnérabilités, puis à les exploiter. L’objectif final est de compromettre complètement l’application web.

Ce test est également connu sous le nom de test de pénétration d’application web (WAPT). Il est capable de tester les scénarios suivants :

  • Cross Site Scripting
  • Injection SQL
  • Casse de l’authentification et de la gestion des sessions
  • Fautes de téléchargement de fichiers
  • Attaques de serveurs cache
  • Mauvaises configurations de sécurité
  • Cross-.Site Request Forgery
  • Cracking de mots de passe

Souvent considéré comme un test de « plongée plus profonde », un WAPT est beaucoup plus approfondi et détaillé, notamment lorsqu’il s’agit d’identifier les vulnérabilités ou les faiblesses des applications web. Par conséquent, une quantité importante de temps et de ressources doit être consacrée pour tester adéquatement l’intégralité d’une application web.

Test de pénétration sans fil

Le test de pénétration sans fil vise à identifier puis à jauger les connexions entre tous les appareils connectés au réseau wifi de votre entreprise, notamment :

  • Laptops
  • Tablets
  • Mobile devices
  • IoT devices

Le test est réalisé sur site puisque le pen tester doit être à portée du réseau sans fil pour y accéder. Et l’objectif du test est relativement simple : trouver les vulnérabilités des points d’accès wifi.

Quelles sont les étapes à suivre ?

  • Reconnaissance sans fil – Les informations sont recueillies par wardriving – ce qui implique de conduire autour de l’emplacement physique pour voir si les signaux wifi surgissent.
  • Identifier les réseaux sans fil – Le testeur scanne et identifie les réseaux sans fil en utilisant la capture de paquets et la surveillance des cartes sans fil.
  • Recherche de vulnérabilités – Après que le testeur ait trouvé des points d’accès wifi, il essaie d’identifier les vulnérabilités sur ce point d’accès.
  • Exploitation – Le testeur tente d’exploiter les vulnérabilités de l’une des trois manières suivantes :
    • Désauthentification d’un client légitime
    • Capture d’une poignée de main initiale à 4 voies
    • Réalisation d’une attaque par dictionnaire hors ligne sur une clé de capture
  • Rapport – Le testeur documente chaque étape du processus, y compris les résultats détaillés et les recommandations d’atténuation.

Test de pénétration par ingénierie sociale

Le risque de sécurité le plus important pour votre organisation – sans exception – sont vos employés. Selon Security Magazine:

Les cybercriminels ciblent agressivement les personnes parce que l’envoi de courriels frauduleux, le vol d’identifiants et le téléchargement de pièces jointes malveillantes vers des applications en nuage sont plus faciles et beaucoup plus rentables que la création d’un exploit coûteux, qui prend du temps et qui a une forte probabilité d’échec. Plus de 99 % des cyberattaques reposent sur l’interaction humaine pour fonctionner, ce qui fait des utilisateurs individuels la dernière ligne de défense.

Si votre tentative d’améliorer votre sécurité n’inclut pas vos employés, alors tous vos efforts seront vains. Ils devraient être votre principale préoccupation.

Avec un test de pénétration par ingénierie sociale, le testeur tente de persuader ou de tromper les employés pour qu’ils fournissent des informations sensibles, comme un nom d’utilisateur ou un mot de passe.

Il existe une variété d’attaques de pénétration par ingénierie sociale, notamment :

  • Phishing
  • Vishing
  • Smishing
  • Impersonation
  • Tailgating
  • .

  • Dépôts de cartes USB
  • Puits d’eau
  • Ataque de phalange
  • Prétextes
  • Ataque de quid pro quo
  • .

  • Baiting
  • Dumperster diving

Améliorer la sensibilisation des employés et fournir une formation sur les attaques d’ingénierie sociale courantes est l’une des toutes meilleures façons d’empêcher une attaque de se produire ou de réussir.

Test de pénétration physique

Un test de pénétration physique simule la façon ancienne d’enfreindre la sécurité.

Le pen tester tente de franchir les barrières de sécurité physique et d’accéder à l’infrastructure de sécurité, aux bâtiments ou aux systèmes de votre entreprise. Il teste les différents contrôles physiques que vous avez mis en place, notamment :

  • Barrières
  • Caméras
  • Capteurs
  • Verrous
  • Alarmes
  • Gardes de sécurité

Bien que cela soit souvent considéré comme une réflexion après coup, si un pirate est capable de contourner physiquement votre sécurité et d’accéder à la salle des serveurs, il peut facilement prendre le contrôle de votre réseau. Il est donc essentiel que votre posture de sécurité physique soit tout aussi rigoureusement protégée que votre périmètre de cybersécurité.

RSI Security – The Pen Testing Experts

Le Pen testing est l’un des tout meilleurs moyens de mesurer l’efficacité de votre cybersécurité et de votre sécurité physique. Que vous utilisiez des méthodologies de type boîte blanche, boîte noire ou boîte grise, chaque pen test cherche à simuler une attaque réelle – mais sans les conséquences.

Aujourd’hui, il existe cinq types essentiels de tests de pénétration, notamment :

  1. Service réseau
  2. Application web
  3. Sans fil
  4. Ingénierie sociale
  5. Physique

En effectuant tous ces tests de façon périodique, vous pouvez vous assurer que vos cyberdéfenses sont solides.

Mais sur qui pouvez-vous compter pour effectuer adéquatement ces différents tests ?

RSI Security est l’expert en services de tests de pénétration. Grâce à nos décennies d’expérience, nous savons exactement ce qu’il faut pour évaluer vos défenses en matière de cybersécurité et ensuite remédier à vos faiblesses flagrantes.

Êtes-vous prêt à commencer ? Nous le sommes aussi.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.