Qu'est-ce que le test de pénétration ? Qu'est-ce que le pen test ?

Les tests de pénétration impliquent que les pirates éthiques planifient des attaques contre l'infrastructure de sécurité d'une entreprise afin de déceler les vulnérabilités de sécurité qui doivent être corrigées. Le test de pénétration fait partie d'une stratégie holistique de sécurité des applications web.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le test de pénétration (pen test)
  • Décrire le processus d'un test de pénétration
  • Décrivez comment le test de pénétration est utilisé pour recommander de nouveaux dispositifs de sécurité

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'un test de pénétration ?

Le test de pénétration (ou pen test) est un exercice de sécurité dans lequel un expert en cybersécurité tente de trouver et d'exploiter les vulnérabilités d'un système informatique. L'objectif de cette simulation est d'identifier les points faibles dans la défense d'un système dont les pirates pourraient tirer profit.

C'est un peu comme une banque qui engage quelqu'un pour se déguiser en cambrioleur et essayer de pénétrer dans son bâtiment et d'accéder à la chambre forte. Si le "cambrioleur" réussit à pénétrer dans la banque ou la chambre forte, la banque obtiendra des informations précieuses sur la manière dont elle doit renforcer ses mesures de sécurité.

Qui effectue le test de pénétration ?

Il est préférable de faire effectuer un test de pénétration par une personne qui n'a que peu ou pas de connaissances préalables sur la manière dont le système est sécurisé, car elle pourrait être en mesure d'exposer les points faibles ignorés par les développeurs qui ont construit le système. C'est pourquoi on fait généralement appel à des contractants extérieurs pour effectuer les tests. Ces contractants sont souvent appelés "pirates éthiques" car ils sont engagés pour pirater un système avec une autorisation et dans le but d'accroître la sécurité.

De nombreux pirates éthiques sont des développeurs expérimentés, titulaires de diplômes supérieurs et d'une certification pour les tests de pénétration. D'autre part, certains des meilleurs pirates éthiques sont autodidactes. En fait, certains sont des pirates criminels réformés qui utilisent désormais leur expertise pour aider à réparer les failles de sécurité plutôt que de les exploiter. Le meilleur candidat pour effectuer un test de pénétration peut varier considérablement selon l'entreprise cible et le type de test de pénétration qu'elle souhaite lancer.

Quels sont les types de tests de pénétration ?

  • Test d'intrusion de la boîte ouverte - Dans le cadre d'un test de la boîte ouverte, le pirate reçoit à l'avance certaines informations concernant le système de sécurité de la société cible.
  • Test d'intrusion de la boîte fermée - Également appelé test "aveugle", il s'agit d'un test dans lequel le pirate informatique ne reçoit aucune autre information que le nom de la société cible.
  • Test d'intrusion secret - Également connu sous le nom de test de pénétration en « double aveugle », il s'agit d'une situation où presque personne dans l'entreprise ne sait que le test de pénétration a lieu, y compris les professionnels de l'informatique et de la sécurité qui vont répondre à l'attaque. Pour les tests secrets, il est particulièrement important que le pirate informatique dispose au préalable de la portée et des autres détails du test par écrit afin d'éviter tout problème avec les forces de l'ordre.
  • Test d'intrusion externe - Dans un test externe, le pirate éthique affronte la technologie externe de l'entreprise, telle que son site web et ses serveurs de réseau externes. Dans certains cas, le pirate peut même ne pas être autorisé à entrer dans le bâtiment de l'entreprise. Cela peut signifier qu'il mène l'attaque à distance ou qu'il effectue le test à partir d'un camion ou d'une camionnette garée à proximité.
  • Test d'intrusion interne - Dans un test interne, le pirate éthique effectue le test à partir du réseau interne de l'entreprise. Ce type de test est utile pour déterminer l'ampleur des dommages qu'un employé mécontent peut causer derrière le pare-feu de l'entreprise.

Comment se déroule un test de pénétration typique ?

Les tests de pénétration commencent par une phase de reconnaissance, au cours de laquelle un pirate éthique passe du temps à recueillir des données et des informations qu'il utilisera pour planifier son attaque simulée. Ensuite, il se focalise sur l'obtention et le maintien de l'accès au système cible, ce qui nécessite un large éventail d'outils.

Les outils d'attaque comprennent des logiciels conçus pour produire des attaques par force brute ou des injections SQL. Il existe également du matériel spécialement conçu pour le test de pénétration, comme de petites boîtes discrètes qui peuvent être branchées sur un ordinateur du réseau pour permettre au pirate d'accéder à distance à ce réseau. En outre, un pirate éthique peut utiliser des techniques d'ingénierie sociale pour trouver des vulnérabilités. Par exemple, il peut envoyer des courriels de phishing aux employés de l'entreprise, ou même se déguiser en livreurs pour accéder physiquement au bâtiment.

Le pirate informatique termine le test en effaçant ses traces, ce qui signifie qu'il doit retirer tout le matériel intégré et faire tout ce qu'il peut pour éviter d'être détecté et laisser le système cible exactement comme il l'a trouvé.

Que se passe-t-il à la suite d'un test de pénétration ?

Après avoir effectué un test d'intrusion, le pirate éthique partagera ses conclusions avec l'équipe de sécurité de la société cible. Ces informations peuvent ensuite être utilisées pour mettre en œuvre des mises à jour de sécurité afin de combler les failles découvertes pendant le test. Ces mises à jour peuvent inclure la limitation de débit, de nouvelles règles WAF et l'atténuation des DDoS, ainsi que des validations et des assainissements plus stricts des formulaires.