Tests d'intrusion
Tests d'intrusion ou audit ?
Il convient de ne pas confondre les tests d'intrusion et les audits de sécurité. Exécuter un test d'intrusion signifie se placer dans la même situation qu'un attaquant, à quelques détails près, et tenter de déterminer ce qu'il est possible de faire sur le périmètre sur lequel porte le test. Il s'agit donc d'une opération à livres fermés, ou boîte noire. Les auditeurs disposent des éléments initiaux de détermination du système à tester, sans informations supplémentaires.
Les tests d'intrusion se déroulent en plusieurs phases :
- identification de la cible,
- collecte d'informations,
- tentatives d'attaques sur la cible
- analyse du comportement de la cible
- raffinement des attaques
Ces cinq étapes (tout particulièrement les étapes 3 à 5) sont répétées de manière itérative.
Un test d'intrusion se déroule en collaboration avec l'entreprise gérant le système testé, afin de pouvoir réagir à toute éventualité. Les auditeurs exercent la plus grande prudence lors des attaques, pour minimiser les perturbations sur le système visé. Si certaines attaques peuvent se révéler invalidantes, elles ne sont exécutées qu'après l'accord explicite du client et vérification qu'il est possible de revenir rapidement dans une situation stable, sans perte de données, de capacité d'exploitation ou autre.
Afin que les tests soient représentatifs d'une situation réelle d'attaque, les équipes de gestion de la sécurité du client ne sont pas toujours informées du déroulement ou même de l'existence d'un projet de tests d'intrusion. Dans une telle situation, il devient possible de contrôler la capacité de détection et de réaction du service sécurité.
B&A Consultants réalise tout au long de l'année de nombreux tests d'intrusion. Nous apportons à nos clients plusieurs dizaines d'années cumulées d'expérience sur ce domaine très évolutif.
Les limites des tests d'intrusion
Se faisant en aveugle, les tests d'intrusion ne doivent pas servir à définir le niveau de sécurité du périmètre testé mais seulement à vérifier qu'un niveau de sécurité prédéfini est (ou n'est pas) atteint. Lors de tests en aveugle, il est courant de passer à côté de vulnérabilités, ne serait-ce que parce que la durée du test n'est pas illimitée. Une recherche exhaustive est impossible, l'espace à explorer étant infini.
Un test d'intrusion n'a donc de signification que si vous disposez d'une politique et d'un référentiel de sécurité. Si ce n'est pas le cas, vous perdez votre temps (et votre argent).
Si vous souhaitez identifier les vulnérabilités d'un système, vous devez faire procéder à un audit de sécurité, pas à un test d'intrusion.
Un test d'intrusion se termine par la remise de rapports sur les attaques réalisées et leurs résultats. Ces rapports sont exclusivement techniques et ne visent pas à être exploités par des non-informaticiens. Un rapport conclusif, non technique, résume le niveau de sécurité du système testé par rapport au référentiel de l'entreprise et au niveau attendu.