Qu'est-ce qu'un pen test ?
Un pen test, parfois appelé pen test ou piratage éthique, simule une cyberattaque observée dans le monde réel afin de tester les capacités de cybersécurité d'une entreprise et d'en exposer les vulnérabilités. Si certains considèrent ces tests uniquement comme une case à cocher sur une liste d'exigences de conformité, ils représentent en fait bien plus.
Le but d'un pen test n'est pas uniquement d'analyser les vulnérabilités de votre environnement, mais aussi d'éprouver vos utilisateurs et vos processus par rapport aux menaces qui pèsent sur votre entreprise. Si vous savez quels cyberadversaires sont les plus susceptibles de cibler votre entreprise, le pen test pourra imiter leurs tactiques, techniques et procédures spécifiques (TTP). Vous vous ferez ainsi une idée beaucoup plus réaliste de la façon dont une compromission de vos systèmes pourrait se produire.
Étapes d'un pen test
En règle générale, un pen test suit les étapes décrites dans le cadre MITRE ATT&CK. Pour ceux et celles qui ne connaissent pas ce cadre, il s'agit d'une base de connaissances des TTP connues utilisées par les cyberadversaires au fil des différentes phases du cycle de vie d'une compromission.
En suivant ce cadre, les testeurs d'intrusion peuvent créer un modèle du comportement d'un cyberadversaire spécifique, ce qui leur permet ensuite de simuler son éventuelle attaque de façon précise. Le cadre MITRE ATT&CK pour les entreprises décrit actuellement douze tactiques :
- La tactique d'accès initial se réfère aux vecteurs que les cyberattaquants exploitent pour accéder à un environnement.
- L'exécution se réfère aux techniques utilisées par le cyberadversaire pour exécuter son code une fois qu'il a accédé à l'environnement.
- Les tactiques de persistance sont les actions qui permettent aux cyberattaquants de maintenir leur présence dans un réseau.
- L'élévation des privilèges se réfère aux actions entreprises par un cyberadversaire pour obtenir un niveau d'accès plus élevé à un système.
- Les tactiques de contournement des défenses sont les techniques utilisées par les intrus pour ne pas être détectés par les dispositifs de défense du système.
- L'accès aux identifiants se réfère aux techniques utilisées pour obtenir les identifiants d'utilisateurs ou d'administrateurs.
- La découverte se réfère au processus d'apprentissage qui permet aux cyberadversaires de mieux comprendre le système et le niveau d'accès qu'ils possèdent actuellement.
- Les déplacements latéraux sont utilisés par les cyberadversaires pour obtenir un accès et un contrôle distants sur le système.
- Les tactiques de collecte sont utilisées par les cyberattaquants pour rassembler les données qu'ils ciblent.
- Les tactiques de commande et de contrôle servent à établir une communication entre le réseau compromis et le système contrôlé.
- L'exfiltration couvre les actions entreprises par les cyberadversaires pour exfiltrer des données sensibles d'un système.
- Les tactiques d'impact sont conçues pour affecter les opérations d'une entreprise.
Il est important de noter que les tactiques décrites ci-dessus sont utilisées dans un pen test en fonction de celles employées par le cyberadversaire imité.
Cependant, de manière générale, un pen test comprend les étapes suivantes : planification, reconnaissance, obtention/maintien de l'accès, analyse et correction.
Types de tests d'intrusion
Lorsque vous envisagez de réaliser un pen test, rappelez-vous qu'il n'existe pas de modèle universel. En effet, les environnements, les risques sectoriels et les cyberadversaires diffèrent d'une entreprise à l'autre. De même, aucun type de pen test ne peut satisfaire à lui seul tous les besoins d'une entreprise.
Plusieurs types de tests d'intrusion sont conçus pour répondre aux objectifs et au profil de menace spécifiques d'une entreprise. En voici quelques-uns parmi les plus courants.
1. pen test interne
Ce test évalue les systèmes internes d'une entreprise pour déterminer la façon dont un cyberattaquant peut se déplacer latéralement dans un réseau. Il comprend l'identification du système, l'énumération, la découverte des vulnérabilités, l'exploitation, l'élévation des privilèges, les déplacements latéraux et les objectifs.
2. pen test externe
Ce test évalue vos systèmes Internet afin de déterminer si des vulnérabilités exploitables exposent des données ou des accès non autorisés vers le monde extérieur. Il comprend l'identification du système, l'énumération, la découverte des vulnérabilités et l'exploitation.
3. pen test d'application web
Ce test évalue votre application web au moyen d'un processus en trois phases : tout d'abord la reconnaissance, au cours de laquelle l'équipe découvre différentes informations telles que le système d'exploitation, les services et les ressources utilisés. Ensuite, la phase de découverte, durant laquelle l'équipe tente d'identifier les vulnérabilités. Et enfin, la phase d'exploitation, pendant laquelle l'équipe exploite les vulnérabilités découvertes pour obtenir un accès non autorisé aux données sensibles.
4. pen test de menace interne
Ce test identifie les risques et les vulnérabilités susceptibles d'exposer vos ressources internes sensibles à des utilisateurs non autorisés. L'équipe évalue des failles telles que les attaques de désauthentification, les erreurs de configuration, la réutilisation de sessions et les terminaux sans fil non autorisés.
5. pen test sans fil
Ce test identifie les risques et vulnérabilités associés à votre réseau sans fil. L'équipe évalue des failles telles que les attaques de désauthentification, les erreurs de configuration, la réutilisation de sessions et les terminaux sans fil non autorisés.
6. pen test physique
Ce test identifie les risques et les vulnérabilités de votre sécurité physique qui visent à obtenir l'accès à un système informatique d'entreprise. L'équipe évalue des failles telles que l'ingénierie sociale, le talonnage ou « tailgating », le clonage de badges et d'autres tactiques de violation de la sécurité physique.
Quand faut-il réaliser un pen test ?
Idéalement, un pen test doit être réalisé avant qu'une compromission survienne. Trop d'entreprises traînent et prennent ce type d'initiative après une attaque, une fois qu'elles ont perdu des données ou des éléments de propriété intellectuelle et que leur réputation a été mise à mal. Cependant, si vous avez vécu cette expérience, menez un pen test post-attaque afin de vérifier l'efficacité de vos mesures correctives.
Il est recommandé de réaliser un pen test soit lorsque le système est en développement, soit lorsqu'il est installé, et en tout cas juste avant sa mise en production. Le problème lorsque le pen test est effectué trop tard est que les éventuelles mises à jour du code coûtent généralement plus cher et doivent être effectuées dans des délais serrés.
Un pen test n'est pas une opération ponctuelle. Vous devriez en réaliser un dès lors que vous modifiez vos systèmes et/ou au moins une fois par an. Différents facteurs influent sur la fréquence appropriée, notamment la taille de l'entreprise, son infrastructure, le budget à disposition, les exigences réglementaires et les menaces émergentes.
À quelle fréquence faut-il réaliser des tests d'intrusion ?
Nous recommandons de réaliser un pen test complet au moins une fois par an. Cela permet non seulement de déployer régulièrement les mises à niveau et correctifs de sécurité, mais aussi d'assurer la conformité avec différentes normes de sécurité des données, par exemple la norme PCI DSS (Payment Cardholder Industry Data Security Standard).
Cependant, des tests bi-annuels, voire trimestriels, peuvent révéler des risques de sécurité potentiels à une fréquence accrue, avant qu'ils se transforment en compromissions, ce qui vous donne une vue d'ensemble plus complète de l'état de votre sécurité.
Les tests d'intrusion visent à mettre en évidence les vulnérabilités spécifiques d'un système ou d'un réseau. Dans l'idéal, vous devriez donc effectuer un pen test dès qu'un nouvel élément est ajouté à votre infrastructure réseau ou chaque fois que vos applications stratégiques sont réorganisées. Ce sont en effet des situations où votre environnement est le plus vulnérable et où ses failles ont le plus de risque d'être exposées.
Qui doit effectuer les tests d'intrusion ?
De nombreux experts en cybersécurité et fournisseurs indépendants proposent des tests d'intrusion dans leur offre de services. Ces tests peuvent également être réalisés en interne, éventuellement avec l'aide d'un cyberpirate éthique externe, qui ne connaît pas votre système et pourra vous offrir un regard neuf sur celui-ci.
Cependant, de par leur nature, ces tests d'intrusion peuvent s'avérer très compliqués. Les considérations légales qui entourent le piratage informatique impliquent de mener les tests d'intrusion avec un soin extrême. Jusqu'à présent, les tests d'intrusion régis par le droit américain n'ont fait l'objet d'aucune surveillance. Toutefois, différentes lois fédérales et étatiques veillent à garantir leur utilisation éthique et conforme.
Aux États-Unis, la loi oblige les entreprises à signer un formulaire de consentement qui détaille avec précision la portée des tests. Sans ce formulaire, le pen test sera considéré comme un acte de piratage non autorisé, une pratique interdite et sanctionnée dans de nombreux États.
Dès lors, assurez-vous que vos tests d'intrusion répondent aux exigences légales et que vous avez rempli de manière précise et complète tous les documents juridiques demandés. En outre, il est important de vérifier les antécédents et les références du cyberpirate éthique auquel vous envisagez d'avoir recours. Par exemple, les accréditations CREST et NCSC sont des certifications sectorielles reconnues, qui attestent du sérieux des sociétés agréées proposant des tests d'intrusion.
Que faire après un pen test ?
La finalité d'un pen test est de développer et de renforcer votre stratégie de sécurité à long terme, en corrigeant des vulnérabilités réelles et testées.
Après avoir reçu les résultats d'un test, il est crucial de prendre des mesures rapides pour éviter les perturbations et les temps d'arrêt associés aux compromissions de cybersécurité, ainsi que les amendes élevées qui découlent du non-respect des réglementations relatives à la protection des données.
Voici ce que vous devez faire après un pen test :
- Consultez le rapport final et examinez les conclusions avec l'équipe externe chargée du test et votre équipe de cybersécurité interne.
- Élaborez une stratégie de cybersécurité complète et un plan de résolution des incidents qui tiennent compte des conclusions du test.
- Effectuez des tests réguliers et des analyses de vulnérabilités pour suivre les performances de vos correctifs et mises à niveau à long terme.
Les tests d'intrusion sont complets de par leur conception. Ils fournissent des informations détaillées sur la portée et la gravité des éventuelles failles de votre environnement. En bref, ils vous apporteront pléthore de résultats sur lesquels agir pour renforcer toujours plus votre sécurité.
Qu'est-ce que le « teaming » ?
Le « teaming » est une méthode de pen test que les entreprises utilisent pour organiser et améliorer leurs accréditations de cybersécurité. Les participants à ces tests sont répartis en deux équipes, Red et Blue. L'une d'elles est chargée de rechercher activement et de tester les vulnérabilités, tandis que l'autre tente de corriger ces risques et d'éviter une compromission.
Il ne s'agit pas tant d'exposer le plus grand nombre de vulnérabilités possible, mais de mesurer l'efficacité de la réponse face aux menaces et aux failles. Ces exercices visent à améliorer la capacité d'une entreprise à se protéger rapidement et efficacement contre les nombreux risques du cyberspace.
Trois types d'équipes peuvent participer à ces exercices :
- Red Team : en règle générale, il s'agit d'une équipe externe, qui doit vérifier l'efficacité de l'infrastructure de sécurité d'une entreprise. La Red Team réalise des tests similaires à un pen test, mais en ciblant des problèmes isolés plutôt que l'intégralité de l'environnement.
- Blue Team : il s'agit de l'équipe de sécurité interne de l'entreprise. Ces collaborateurs, chargés de renforcer la sécurité, sont mis à l'épreuve par la Red Team, qui leur envoie des alertes afin de vérifier si leurs réactions face à des menaces soudaines sont rapides et pertinentes.
- Purple Team : cette équipe est formée lorsque la Red Team et la Blue Team collaborent pour former une unité cohérente. La Purple Team a pour but d'améliorer les réactions face aux incidents de cybersécurité en fournissant davantage d'informations et de retours sur les menaces potentielles. Son rôle est également d'examiner et d'évaluer les enseignements tirés des exercices de test.