Les tests d'intrusion font appel aux services de pirates éthiques qui lancent des attaques contre l'infrastructure de sécurité d'une entreprise afin d'identifier les vulnérabilités de sécurité devant être corrigées. Les tests d'intrusion s'inscrivent dans le cadre d'une stratégie holistique de sécurité.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité des applications web
Qu'est-ce que le TLS ?
Attaque de l'homme du milieu
Attaque par force brute
Attaque par débordement de tampon (buffer overflow)
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le test de pénétration (ou pen test) est un exercice de sécurité dans lequel un expert en cybersécurité tente de trouver et d'exploiter les vulnérabilités d'un système informatique. L'objectif de cette simulation est d'identifier les points faibles dans la défense d'un système dont les pirates pourraient tirer profit.
C'est un peu comme une banque qui engage quelqu'un pour se déguiser en cambrioleur et essayer de pénétrer dans son bâtiment et d'accéder à la chambre forte. Si le "cambrioleur" réussit à pénétrer dans la banque ou la chambre forte, la banque obtiendra des informations précieuses sur la manière dont elle doit renforcer ses mesures de sécurité.
Les tests de pénétration permettent à une entreprise d'identifier, dans ses systèmes, des vulnérabilités et des failles qu'elle n'aurait peut-être pas pu identifier autrement. Cette approche peut contribuer à arrêter les attaques avant même qu'elles ne commencent, car les entreprises peuvent remédier à ces vulnérabilités une fois qu'elles ont été identifiées.
Les tests de pénétration peuvent aider les entreprises à se conformer aux réglementations en matière de sécurité et de confidentialité des données, en identifiant de quelles manières des données sensibles sont susceptibles d'être exposées. Ils permettent ainsi de préserver la sécurité et le caractère privé des données, en veillant à ce qu'aucun utilisateur ne puisse consulter des données sensibles s'il n'est pas dûment autorisé à le faire.
Les tests de pénétration sont également exigés par certaines réglementations relatives aux données. Par exemple, la norme PCI DSS version 4.0, section 11.4, exige des entreprises qu'elles recourent aux tests de pénétration.
Il est préférable de faire réaliser un test d'intrusion par une personne possédant des connaissances préalables limitées de la sécurisation du système, car cette personne pourrait être en mesure d'exposer des points faibles ayant échappé à l'attention des développeurs qui ont conçu le système. C'est pourquoi l'exécution des tests d'intrusion est généralement confiée à des sous-traitants extérieurs. Ces sous-traitants sont souvent surnommés « pirates éthiques », car ils sont recrutés pour s'introduire dans un système avec une autorisation, dans le but d'en renforcer la sécurité.
De nombreux pirates éthiques sont des développeurs expérimentés, titulaires de diplômes supérieurs et d'une certification pour les tests de pénétration. D'autre part, certains des meilleurs pirates éthiques sont autodidactes. En fait, certains sont des pirates criminels réformés qui utilisent désormais leur expertise pour aider à réparer les failles de sécurité plutôt que de les exploiter. Le meilleur candidat pour effectuer un test de pénétration peut varier considérablement selon l'entreprise cible et le type de test de pénétration qu'elle souhaite lancer.
Les tests de pénétration commencent par une phase de reconnaissance, au cours de laquelle un pirate éthique passe du temps à recueillir des données et des informations qu'il utilisera pour planifier son attaque simulée. Ensuite, il se focalise sur l'obtention et le maintien de l'accès au système cible, ce qui nécessite un large éventail d'outils.
Les outils d'attaque comprennent des logiciels conçus pour produire des attaques par force brute ou des injections SQL. Il existe également du matériel spécialement conçu pour le test de pénétration, comme de petites boîtes discrètes qui peuvent être branchées sur un ordinateur du réseau pour permettre au pirate d'accéder à distance à ce réseau. En outre, un pirate éthique peut utiliser des techniques d'ingénierie sociale pour trouver des vulnérabilités. Par exemple, il peut envoyer des courriels de phishing aux employés de l'entreprise, ou même se déguiser en livreurs pour accéder physiquement au bâtiment.
Le pirate informatique termine le test en effaçant ses traces, ce qui signifie qu'il doit retirer tout le matériel intégré et faire tout ce qu'il peut pour éviter d'être détecté et laisser le système cible exactement comme il l'a trouvé.
Après avoir effectué un test d'intrusion, le pirate éthique partagera ses conclusions avec l'équipe de sécurité de la société cible. Ces informations peuvent ensuite être utilisées pour mettre en œuvre des mises à jour de sécurité afin de combler les failles découvertes pendant le test.
Pour les applications web, ces mises à niveau peuvent inclure le contrôle du volume des requêtes, de nouvelles règles de pare-feu WAF et l'atténuation des attaques DDoS, ainsi que des procédures plus strictes de validation de formulaires et d'assainissement des données. Pour les réseaux internes, ces mises à niveau peuvent inclure une passerelle web sécurisée (Secure Web Gateway, SWG) ou l'adoption d'un modèle de sécurité Zero Trust. Si un pirate éthique a eu recours à des tactiques d'ingénierie sociale pour s'introduire dans le système, l'entreprise peut envisager de mieux former son personnel ou d'examiner et d'améliorer ses systèmes de contrôle des accès afin d'empêcher les mouvements latéraux.
Cloudflare sécurise les applications, les réseaux et le personnel des entreprises en associant des solutions de sécurité des applications web et une plateforme de sécurité Zero Trust.