Sécurité informatique : comment réaliser un test d’intrusion informatique ?

L’univers numérique est en constante évolution avec, notamment l’essor de l’internet des objets et de l’intelligence artificielle. Les progrès du digital s’accompagnent d’une augmentation des risques : les pirates exploitent les nouvelles vulnérabilités, et lancent des attaques toujours plus sophistiquées. Pour protéger efficacement leur infrastructure informatique, les entreprises doivent se tenir au courant des tendances. Elles doivent également être proactives, et tester la capacité de leur SI à résister aux attaques internes et externes à l’aide de tests d’intrusion qui imitent le comportement d’individus malveillants. 

Test d’intrusion : qu’est-ce que c’est ? 

Un test d’intrusion consiste à tester un système informatique, une application ou un réseau pour mettre en lumière les éventuelles fragilités. La personne qui effectue le test se met dans la peau d’un hacker et simule une attaque réelle, avec deux missions : évaluer le risque de piratage, et identifier les moyens de réduire les dangers. 

Trois méthodes existent, reproduisant chacune des conditions de piratage particulières. Avec les tests d’intrusion en mode « black-box », on part du principe que le hacker n’a aucune information sur l’entreprise et le réseau, et qu’il lance son attaque à l’aveuglette. En mode « grey-box », le pirate infiltre le système par phishing, se servant du compte d’un utilisateur pour mener à bien son attaque. La troisième stratégie, qui est la plus redoutée, s’appelle « white-box » : dans ce cas, le hacker connaît parfaitement le système qu’il souhaite infiltrer, grâce à des informations transmises par un tiers ou par l’utilisation d’un logiciel d’espionnage. 

Pourquoi et comment réaliser un test d’intrusion ? 

En général, on réalise un test d’intrusion pour deux raisons : soit pour déceler les faiblesses d’un système, soit quand on souhaite le faire évoluer et que l’on s’interroge sur les stratégies de protection à utiliser. Le test d’intrusion est ainsi le complément indispensable de deux autres méthodes qui ont également pour but d’évaluer la sécurité d’un SI : l’audit de sécurité et le scanner de vulnérabilité. L’audit de sécurité s’appuie sur un référentiel, qu’il s’agisse de la politique de sécurité informatique de l’entreprise, des textes de loi ou des bonnes pratiques, alors que le test d’intrusion se base sur les pratiques réelles des pirates. Le scanner de vulnérabilité, quant à lui, est un processus automatisé qui consiste à analyser les ports ouverts sur une machine ou un réseau : il donne une image plus partielle des vulnérabilités possibles, et l’automatisation limite la découverte de failles insoupçonnées. 

Les cibles des tests d’intrusion

Les tests d’intrusion peuvent prendre plusieurs formes. Quand un prestataire informatique teste une plateforme web, il recherche les vulnérabilités des serveurs, comme les logiciels pas à jour ou les erreurs de configuration, et les failles applicatives. Les applications mobiles sont testées par une analyse statique, qui consiste à effectuer des tentatives de reverse engineering, et par une analyse dynamique, par laquelle on explore les vulnérabilités de l’application pendant qu’elle fonctionne sur un appareil. 

Si le test d’intrusion concerne l’ensemble d’une infrastructure interne d’entreprise, il se penche sur la configuration des services et l’architecture des systèmes d’exploitation, et cartographie le réseau pour rechercher les failles des postes de travail, serveurs, et autres périphériques. Les objets connectés sont également concernés par les tests d’intrusion, qui étudient l’ensemble de l’écosystème. Enfin, les tests d’intrusion portent sur le « facteur humain » et utilisent le phishing et les attaques téléphoniques pour tester la réaction des équipes. 

La méthodologie des tests d’intrusion

Côté méthodologie, les tests d’intrusion s’organisent en quatre phases : la Reconnaissance, ou recherche d’informations librement disponibles sur la cible du test (adresses IP, technologies utilisées, etc.), le Mapping, qui répertorient l’ensemble des fonctionnalités de la cible, la Discovery, ou phase d’attaque, et l’Exploitation, qui étudie les exploitations possibles des vulnérabilités identifiées. 

Réaliser un test d’intrusion

Avant de réaliser un test d’intrusion, il faut définir son paramètre : quand doit-il se dérouler ? Quelles sont les infrastructures ciblées ? Quelles sont les priorités ? Doit-il se dérouler en mode black-box, grey-box ou white-box ? Ensuite, le test est réalisé par le prestataire informatique dans des conditions réelles. Une fois le test effectué, le faux attaquant remet un rapport détaillé, qui contient la liste des vulnérabilités découvertes, leur probabilité d’occurrence et leur niveau de risque, leurs conséquences possibles, et des recommandations. 

À quelle fréquence réaliser des tests d’intrusion ? 

Si le test d’intrusion est extrêmement informatif, il est seulement capable de renseigner sur le niveau de sécurité à un instant T. Il faut donc en réaliser régulièrement. La fréquence des tests dépend de plusieurs facteurs : le niveau de risque auquel l’entreprise est exposée, les évolutions techniques de la cible, et les enjeux réglementaires. Dans la plupart des cas, un test par an suffit, mais certaines entreprises ont besoin d’en réaliser un par mois. 

IPE, votre expert en sécurité informatique 

Le test d’intrusion est un processus complexe. IPE possède l’expertise et les compétences nécessaires pour effectuer des tests efficaces, qui nous permettent de mener à bien notre mission de sécurité informatique auprès de nos clients. Nous adoptons une vision globale de l’expérience client : nous protégeons vos données, vous proposons des solutions de gestion puissantes et réalisons des audits informatiques.

Nos experts procèdent notamment à des tests d’intrusion qui évaluent la capacité de vos équipes à résister aux attaques par emails frauduleux, ou phishing. Ces campagnes sont réalisées sur mesure, après analyse du contexte technique de l’entreprise. Nous utilisons une méthodologie éprouvée, qui s’articule en quatre étapes. 

Tout d’abord, nos experts vérifient si certaines informations et comptes de l’entreprise sont disponibles dans le Dark Web. Cette phase exploratoire permet de cibler le type de test d’intrusion à réaliser. Ensuite, nous lançons une campagne d’attaques par email frauduleux. Les emails envoyés aux collaborateurs sont réalistes, et ressemblent à des emails envoyés par des entreprises dont vous êtes déjà client. Si les destinataires tombent dans le panneau, ils sont invités à suivre une courte formation ludique sur le phishing. Après cette phase de sensibilisation, nous vous communiquons un rapport régulier sur l’activité des utilisateurs. Il permet de savoir qui a ouvert l’email, qui a cliqué sur le lien compromis et fournit son mot de passe, et de connaître la durée écoulée entre la réception et la compromission. 

Nous utilisons une plateforme spécialisée dans la simulation de phishing qui respecte le RGPD et les standards de sécurité, et qui est connectée à votre environnement Microsoft Office 365. Nous proposons deux autres services aux entreprises qui souhaitent aller plus loin : la rédaction d’une charte informatique que les collaborateurs signent après en avoir pris connaissance, et  des formations spécifiques, dédiées par exemple aux risques de sécurité par type d’usage, à l’utilisation de machines personnelles, et aux campagnes de phishing par SMS et téléphone.