LMi-MAG 12 mars - Flipbook - Page 53
© Gorodenkoff - iStock
Les premiers testeurs d’intrusion avaient
souvent commencé comme pirates
malveillants avant d’agir dans un cadre
légitime, mais c’est moins le cas aujourd’hui.
être convenus à l’avance entre les testeurs et l’entreprise
cible. Un test d’intrusion qui réussit à pénétrer dans les
systèmes ou les données sensibles d’une entreprise peut
provoquer beaucoup de ressentiment ou d’embarras
parmi les responsables IT ou de la sécurité de cette entreprise, et il n’est pas rare que les entreprises cibles se
plaignent que les pentesteurs ont outrepassé leurs limites
ou se sont introduits dans des systèmes contenant des
données de grande valeur qu’ils n’étaient pas autorisés à
tester - et les menacent de poursuites judiciaires. Établir
à l’avance les règles de base sur le périmètre couvert par
un test de pénétration particulier joue un rôle important
dans le choix du test et son modus operandi.
qui l’oblige à s’appuyer sur des informations accessibles
au public ou qu’il peut glaner grâce à ses propres compétences;
- le test en double aveugle : il simule une attaque réelle
du côté de l’entreprise cible, mais dans ce type d’engagement, le test d’intrusion est réalisé sans informer le
personnel IT et de sécurité afin de garantir que la posture
de sécurité typique de l’entreprise sera testée;
- le test ciblé, parfois appelé « test d’allumage » : il
implique que les pentesteurs et le service IT de la cible
jouent un « jeu de guerre » simulé dans un scénario spécifique portant sur un aspect particulier de l’infrastructure
du réseau. Un test ciblé nécessite généralement moins de
temps ou d’efforts que les autres options, mais ne fournit
pas une image aussi complète.
L’entreprise de sécurité informatique Synopsis propose
une autre approche des différents types de tests, basée
sur la connaissance préliminaire de l’entreprise cible
dont disposent les testeurs avant de commencer leur
travail. Dans un test de type « boîte noire », l’équipe de
pirates éthiques ne sait rien sur ses cibles, la facilité ou la
difficulté relative d’en apprendre davantage sur les systèmes de l’entreprise cible étant l’un des éléments testés.
Dans un test de « boîte blanche », les pentesteurs auront
accès à toutes sortes d’artefacts du système, y compris
le code source, les binaires, les conteneurs et parfois
même les serveurs qui exécutent le système ; le but est
de déterminer le degré de résistance des systèmes cibles
face à un initié vraiment bien informé qui chercherait à
augmenter son niveau de permissions pour obtenir des
données précieuses. [Lire l’intégralité de l’article sur
lemondeinformatique.fr]
Types de tests de pénétration
Plusieurs décisions clés vont déterminer la modalité du
test d’intrusion. L’entreprise de sécurité informatique
Contrast Security répartit les types de tests en plusieurs
catégories :
- le test d’intrusion externe : il simule ce que l’on pourrait
appeler un scénario de piratage typique, avec une personne extérieure qui sonde le périmètre de défense de
l’entreprise cible pour essayer de trouver des faiblesses
à exploiter;
- le test d’intrusion interne : il montre ce qu’un attaquant
qui se trouve déjà à l’intérieur du réseau - un employé
mécontent, un entrepreneur malintentionné ou un pirate
superstar qui parvient à franchir le périmètre - serait
capable de faire;
- le test en aveugle : il simule une attaque « réelle » du
côté de l’attaquant. Le pentesteur ne reçoit aucune information sur le réseau ou les systèmes de l’entreprise, ce
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/podcast-hackers-ethiques
LIRE EN LIGNE
Article
cutt.ly/article-hackers-ethiques
53