Les pentests : la méthode ultime en SSI
Chez SRC Solution, notre pôle SSI (Cybersécurité) propose des accompagnements orientés gouvernance, mais également plus technique et terrain afin d’assurer la sécurité de vos SI, avec notamment la réalisation de pentest. Une réelle méthodologie d’évaluation de risque, basée sur la mise à l’épreuve réelle de votre système d’information.
Dans cet article, nous vous présenterons le principe, leur intérêt et pourquoi en faire.
La théorie vs la réalité : quel est l’intérêt des pentests ?
Le pentest (penetration test) est une évaluation technique encadrée, qui consiste à simuler des scénarios d’attaque réalistes afin d’identifier les vulnérabilités exploitables de votre système d’information. Plusieurs contextes sont possibles :
- Sans aucune information, aussi appeler “Black box”
- Avec peu d’information, peut-être l’accès à un compte interne ou la connaissance du fonctionnement, aussi appeler ‘Grey box »
- Avec toutes les informations possibles, appeler “White box”
Ces 3 configurations permettent de couvrir la majorité des situations possibles, mais dans quels objectifs ? :
- Identifier les vulnérabilités (Humaines, techniques, financières …)
- Prioriser les remédiations
Les pentests sont un ensemble de tests techniques réalisable dans plusieurs environnements possibles. Les plus standards sont :
- Interne
- Environnement active directory
- Serveur Win/Linux, environnements embarqués
- Lan/Wifi
- Serveur web (intra-extra net, CMS)
- Externe
En plus de ces tests, différentes composantes peuvent être ajoutées afin de préciser les résultats. On peut retrouver par exemple des cartographies de surface ou encore des campagnes de social engineering (ex : simulations de phishing) peuvent être réalisées afin d’évaluer le facteur humain.
Le testeur va passer par différentes étapes durant le déroulé du test menant finalement au rapport rédigé, montrant les tentatives et le chemin utilisé pour arriver à la dernière position que le testeur a pu atteindre. Ce rapport est accompagné d’une notation des vulnérabilités afin de juger et de piloter les actions correctives par ordre de priorité.
| Planification et cadrage | Définir les objectifs et obtenir les autorisations |
| Reconnaissance et cartographie | Collecter les informations sur la cible (ex : mission OSINT, audit de surface externe…) |
| Analyse technique et identifications des vulnérabilités | Identifier les vulnérabilités via des tests manuels et automatisés basés sur des référentiels reconnus (ex : OWASP pour app web) |
| Exploitation contrôlée | Explorer et récolter et mesurer l’impact réel |
| Post exploitation et élévation de privilèges | Evaluation de la capacité à se déplacer dans le réseau ou accéder à des données sensibles |
| Rapport et remédiations | Documenter les résultats et proposer des correctifs |
| Clôture | Valider les conclusions, améliorer la sécurité, obtenir la confirmation de non-dommages et accord sur les résultats |
Les vraies bonnes raisons
Le coût de l’ignorance : Identifier une faille menant à sa correction via un pentest coûte quelques heures de travail, cependant, une attaque menant que ce soit à une fuite de donnée, un arrêt de vos processus ou plus grave, peut vous coûter plus chère que ce soit financièrement directement ou par répercussion.
La conformité n’est plus une option de nos jours, que l’on parle de norme ISO ou encore du RGPD, la résistance réelle de votre système d’information n’est plus une option ou une simple question de conformité. Vos plus gros clients regarderont et se verront rassurer de travailler avec une entreprise soucieuse de sa sécurité.
Alors n’attendez plus et ne mettez plus en danger votre activité en nous contactant ici.
