5 questions sur le pentest


Le pentest permet de connaître le niveau de sécurité d’une entité. Ce test est effectué en conditions réelles d’attaque, les experts reproduisant les techniques des hackers. Décrytage en cinq points clés.

1. Ethical Hacking : pourquoi « éthique » ?

Le hacker éthique ou pentester n’est pas un cyberattaquant : même s’il a recours aux mêmes techniques, il n’a pour autant aucune intention criminelle. D’un point de vue purement légal, cela veut aussi dire qu’il n’agit que sous contrat, mandaté par une entreprise qui donne son accord pour être « hackée ». Le périmètre d’attaque est toujours défini par cette dernière et n’est jamais franchi.

Le but d’un pentester est d’aider une entité à améliorer ses capacités de défense face à un potentiel attaquant. L’adjectif « éthique » vient aussi souligner sa volonté de favoriser la montée en compétences des équipes de défense de l’entreprise qui le missionne.

2. Quelles différences entre pentest et scan de vulnérabilités ?

Pour Gartner[1], les tests d’intrusion, plus communément appelés « penetration tests » ou « pentests » « vont au-delà des scans de vulnérabilités, utilisent une approche en plusieurs étapes, basée sur des scénarios d’attaques multi-vectoriels, qui, en premier lieu, trouvent des vulnérabilités puis tentent de les exploiter pour s’introduire au sein des infrastructures d’une entreprise ». 

En d’autres mots, les scans de vulnérabilités ne sont qu’une composante des pentests. Ils énumèrent les failles trouvées à un instant T sans pour autant les analyser, ni s’assurer qu’elles sont exploitables.

x

x

Focus sur : les audits de sécurité
Les audits de sécurité peuvent être organisationnels ou techniques. Lorsqu’ils ne testent pas l’exploitabilité des vulnérabilités trouvées, on ne peut pas parler de pentest.

3. Pentest : pourquoi parle-t-on de boîte noire, grise et blanche ?

Les pentests peuvent être réalisés avec, comme point de départ, différents niveaux d’information. Pour ceux de type « boîte noire », les pentesters n’en ont aucune, à part le nom de leur cible ou des informations techniques basiques (URL, adresses IP…). Ils doivent trouver un moyen d’outrepasser les protections mises en place par l’entreprise.

En « boîte grise », les auditeurs techniques disposent d’un nombre limité d’informations, comme un identifiant et un mot de passe par exemple.

Pour la dernière option, le pentest de type « boîte blanche », l’expert dispose d’un grand nombre de données : code source, schémas d’architecture d’une application…

Ces trois manières de procéder dépendent en réalité de l’objectif visé par l’entreprise.

4. Quelles sont les spécificités du Red Team ?

Le Red Team est une technique plus élaborée du pentest. En plus de la détection des vulnérabilités et de l’analyse de leur capacité d’exploitation, elle permet de monter des schémas d’attaque réalistes, très proches de celles conduites par de véritables cybercriminels. Ainsi, le Red Team propose de créer des liens entre les failles exploitables trouvées, et ce, pour tracer un chemin d’intrusion menant jusqu’à l’objectif souhaité.

En d’autres termes, il s’agit d’une cyberattaque réaliste avec une focalisation sur la ou les cibles définies.

Les tests Red Team ont une limite de temps et de périmètre plus grande et peuvent démarrer avec pour seule information le nom de l’entreprise (black box).

x

x

x

Focus sur : Purple Team
« Purple Team«  est le nom donné à la collaboration entre les équipes de pentesters (Red Team) et celles de défense de l’entreprise (Blue Team). L’idée est d’évaluer la capacité de la Blue Team à détecter et bloquer les attaques menées par la Red team, tout en réalisant un bilan approfondi à l’issue de cette attaque. Le but ? Améliorer ses capacités de défense. Il s’agit d’une vraie transmission de savoirs du hacker éthique vers l’entreprise qui le missionne.

5. Entreprises : quand avoir recours à un pentest ?

Les moments les plus propices sont les suivants :

  • Avant le lancement d’un produit, comme une nouvelle application ou un site web par exemple : cela permet de tester le niveau de sécurité au plus tôt et ainsi corriger les vulnérabilités avant qu’elles ne portent préjudice à l’entreprise.
  • Durant la phase d’utilisation, à intervalles réguliers : un pentest est comme une photographie prise à un instant T. Avec le temps, de nouvelles failles et techniques d’attaque sont découvertes. Ainsi, tester son organisation ponctuellement fait partie des processus d’amélioration continue nécessaires à la sécurité.
  • Après une cyberattaque, plus précisément à la suite des actions de remédiation, pour s’assurer que l’entité est à l’abri d’une nouvelle attaque.

x

x

x

x

x

x

x

x

Focus sur : la définition du périmètre du pentest

C’est à l’entreprise de définir le périmètre d’intervention de l’équipe Ethical Hacking qu’elle missionne. Pour cela, il est conseillé de répondre principalement à ces questions, la liste n’étant pas exhaustive[1] :

  • Quels périmètres seront audités ?
  • S’agit-il des serveurs, des réseaux, de l’infrastructure… ?
  • Quels accès seront interdits aux pentesters?
  • Cette interdiction est-elle limitée dans le temps ? Quelles sont les périodes durant lesquelles les auditeurs techniques peuvent agir ? Certaines entreprises privilégient les moments où les collaborateurs sont présents, d’autres ceux où ils ne sont pas là.
  • Lorsque les pentesters passent en mode Red Team, jusqu’où peuvent-ils aller ?
  • Quelle réponse à incident est mise en place pour remédier à ce genre d’attaque afin de ne pas paralyser l’activité de l’entreprise ?
  • Les techniques de social engineering (contact avec les collaborateurs) sont-elles autorisées ? Les pentesters peuvent-ils avoir accès aux locaux ?
  • Quel est le niveau d’autonomie que l’entreprise laisse aux pentesters ? Plus celui-ci sera grand, plus les résultats seront pertinents.  

Notes

[1]Gartner, How to select a penetration testing provider, février 2019.