Glossaire relatif à la confidentialité

Test d’intrusion

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce qu’un test d’intrusion?

Le test d’intrusion est un processus qui audite la sécurité d’un système ou d’un réseau en simulant une cyberattaque. L’objectif d’un test d’intrusion est d’identifier légalement et en toute sécurité les points de vulnérabilité potentiels d’un système. Cela permet de corriger les faiblesses avant qu’elles ne soient exploitées par de vrais attaquants. Les testeurs d’intrusion utilisent souvent les mêmes outils et approches que les attaquants. Ils testent tous les aspects du système, comme le matériel, les logiciels, la sécurité physique, ainsi que la formation et l’activité du personnel.

Aussi appelé pen testing, ce type d’audit peut s’appliquer à n’importe quel aspect d’un système ou réseau conçu pour être sécurisé. Le pen testing peut rechercher des vulnérabilités exploitables dans le matériel (comme les serveurs, routeurs, ordinateurs portables et appareils mobiles), les réseaux, l’utilisation de l’informatique en nuage et du stockage, les configurations logicielles et les applications Web (comme les interfaces de l’Internet des objets), l’interaction des données via APIs et les identifiants des individus. La sensibilisation à la sécurité des employés peut également être évaluée en testant les activités physiques et virtuelles; des choses comme la manière dont une tentative de hameçonnage (phishing) est gérée, ou s’il est possible de passer outre la sécurité pour entrer dans le bâtiment ou une salle sécurisée.

Pourquoi le test d’intrusion est-il important ?

L’objectif des tests d’intrusion est de trouver les faiblesses d’un système face aux attaques extérieures, aux tentatives internes de dépasser les niveaux d’accès autorisés ou aux erreurs simples des employés. Les « vraies » attaques peuvent conduire à des violations de données, des rançongiciels (ransomware) ou des perturbations générales de l’activité d’une organisation. Les tests d’intrusion visent à donner à une organisation une meilleure image des vulnérabilités non atténuées et une idée de la manière de les prioriser. Sans test d’intrusion, une organisation risque de découvrir une vulnérabilité seulement après qu’elle ait été exploitée.

Bien que certains tests d’intrusion soient volontaires, une organisation peut être soumise à des règlements exigeant une preuve que les données sensibles sont sécurisées. Le RGPD et le HIPAA contiennent tous deux des exigences selon lesquelles tout système contenant des données sensibles doit être régulièrement testé et évalué pour assurer une sécurité adéquate. Les tests d’intrusion sont reconnus comme un excellent moyen de répondre à ces exigences. PCI DSS, une norme mondiale qui s’applique à toute organisation traitant des données de carte de crédit, exige spécifiquement des tests d’intrusion réguliers.

Outils utilisés dans les tests d’intrusion

Les tests d’intrusion sont plus efficaces lorsqu’ils sont exhaustifs et complets. Cela peut être particulièrement difficile avec des systèmes complexes ou de grande taille. Pour aider dans des situations de test d’intrusion à grande échelle, des packages logiciels sont disponibles pour aider à effectuer des tests bien documentés ou répétitifs. Les packages logiciels sont souvent combinés avec une bibliothèque d’exploits connus utilisés par le passé par les attaquants et des méthodes pour les tester. Notamment, ces packages sont utilisés à la fois par les testeurs pour tester un système et par les pirates pour attaquer un système.

Certains tests d’intrusion peuvent être effectués par des non-spécialistes, en utilisant une partie de ces mêmes packages logiciels. Les tests d’intrusion plus complexes sont généralement effectués par des experts indépendants. Ils peuvent utiliser ces outils comme aides, mais ne s’y fient généralement pas exclusivement. Les testeurs d’intrusion indépendants sont souvent un meilleur choix que le personnel interne, car ils ne sont pas influencés par des connaissances internes ou un faux sentiment de confiance dans le système.

Types de tests d’intrusion

Un test d’intrusion peut être l’un de plusieurs scénarios, chacun se distinguant par la quantité d’informations que le testeur d’intrusion possède initialement sur le système testé :

  • Test boîte blanche (aussi appelé test transparent ou ouvert) : Les testeurs d’intrusion reçoivent des informations sur le système testé avant de commencer le test. Dans un test boîte blanche, le testeur d’intrusion peut créer un plan de test qui répond aux objectifs de test, qu’il s’agisse d’une couverture complète ou d’un test ciblé sur un aspect particulier du système. Avoir une connaissance avancée du système peut accélérer la tâche. Cela permet de gagner du temps dans le projet qui serait autrement consacré à l’investigation d’un système inconnu.
  • Tests de la boîte noire (appelés aussi tests opaques ou fermés) : Les testeurs d’intrusion ne reçoivent aucune information préalable sur le système. Les tests de la boîte noire simulent plus fidèlement une attaque réelle et peuvent fournir de meilleures informations sur la manière dont un hacker pourrait aborder le système.
  • Tests de la boîte grise (appelés aussi tests semi-transparents) : Le testeur d’intrusion dispose d’une quantité limitée d’informations sur le système. Par exemple, le testeur peut recevoir des identifiants de connexion de base pour accéder à la première couche de protection du système. Cela leur permet de concentrer leurs efforts sur les couches plus profondes, peut-être plus sensibles, du système.

La base de connaissances de départ n’est pas le seul variable dans un scénario de test d’intrusion. Un autre variable est si l’équipe interne de sécurité est prévenue qu’un événement de test d’intrusion se produit. L’équipe de sécurité interne peut ne pas être informée à l’avance, ce qui permet de tester en conditions réelles les réactions de l’équipe face à une menace de sécurité. Dans certaines situations, le testeur d’intrusion et l’équipe de sécurité interne peuvent travailler ensemble dans une simulation, appelée Équipe Rouge contre Équipe Bleue. Cela permet des réactions en temps réel et crée des opportunités d’apprentissage pour l’équipe de sécurité interne.

Étapes des tests d’intrusion

Les tests d’intrusion complets peuvent être assez complexes et nécessitent un certain niveau d’organisation pour être efficaces. Les étapes typiques d’un test d’intrusion peuvent ressembler à ceci :

  • Planification : Le point de départ où le testeur d’intrusion obtient une idée de l’apparence du système et décide de ce qui doit être testé. Un test de la boîte blanche fournira beaucoup de ce matériel, tandis qu’un test de la boîte noire nécessitera une reconnaissance indépendante de la part du testeur.
  • Scan : À ce stade, le testeur d’intrusion observe le système, apprend comment il fonctionne et identifie les vulnérabilités possibles qui peuvent permettre de pénétrer dans le système.
  • Obtenir l’accès : Ensuite, le testeur d’intrusion utilise ce qu’il a appris lors de l’étape de scan pour lancer des attaques sur les vulnérabilités potentielles identifiées et essaie d’accéder au système.
  • Maintenir l’accès : Si le testeur réussit à obtenir l’accès, l’objectif suivant est de voir combien de temps il peut maintenir cet accès. Dans une véritable attaque, un hacker voudra prendre pied dans le système pour pouvoir faire plus de dégâts, progresser vers des zones plus sécurisées ou voler des données sur une période prolongée. Le testeur d’intrusion tentera ces mêmes tâches pour mieux comprendre ce qu’un hacker pourrait accomplir.
  • Analyse et rapport : Le testeur d’intrusion prépare un rapport pour l’organisation détaillant les vulnérabilités exposées et les remédiations possibles. Le testeur devra également nettoyer tout code qu’il pourrait avoir inséré ou les connexions créées dans le cadre de ses activités d’infiltration.

Quand sont effectués les tests d’intrusion ?

Les systèmes évoluent toujours : de nouvelles vulnérabilités peuvent être introduites avec de nouveaux matériels, des mises à jour logicielles, l’ajout de nouveaux utilisateurs ou la modification des autorisations des utilisateurs existants, et bien plus encore. De nouvelles menaces apparaissent également lorsque de nouvelles vulnérabilités sont découvertes dans le code existant, ou que des hackers développent de nouveaux outils pour attaquer les systèmes. La valeur des tests d’intrusion réside dans leur capacité à identifier les vulnérabilités et à créer une voie vers la remédiation, avant qu’un hacker ne les trouve et ne cause des problèmes beaucoup plus importants.

En réponse à cet environnement de menaces en constante évolution, les tests d’intrusion doivent être réalisés régulièrement, leur fréquence étant basée sur les besoins et le budget de l’organisation. Certaines réglementations exigent des tests d’intrusion aussi fréquemment que trimestriellement. Les tests d’intrusion sont également utiles de manière ponctuelle dès qu’il y a un changement significatif dans l’environnement cybernétique; interne ou externe. Un petit test d’intrusion peut être exécuté pour se concentrer sur une nouvelle menace particulière.

Les tests d’intrusion me protègent-ils ?

Bien que les tests d’intrusion soient effectués au niveau organisationnel, ils protègent également les individus. Les sites web, applications et bases de données des entreprises qui effectuent fréquemment des tests d’intrusion sont généralement mieux protégés contre les menaces des hackers. Cela signifie que vos données et votre activité en ligne sont elles aussi mieux protégées. En choisissant d’utiliser et de soutenir des entreprises qui effectuent fréquemment des tests de pénétration (ou qui doivent respecter certaines normes de tests), et en combinant cela avec d’autres mesures personnelles de confidentialité comme un VPN et un navigateur de confidentialité comme Brave, vous pouvez contribuer à améliorer votre sécurité en ligne.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.