Les tests de pénétration sont essentiels pour évaluer la sécurité des systèmes informatiques, et pour valider et vérifier systématiquement l’efficacité des contrôles de sécurité informatique.

Qu’est-ce qu’un test de pénétration (ou pen test) ?

L’objectif de ce type d’analyse est d’évaluer la sécurité d’une « application web », un logiciel qui interagit avec le réseau, et le test couvre l’ensemble du système informatique de l’organisation. Par exemple, l’analyse d’un portail web commence par un test des différentes fonctions, et se concentre sur l’interaction avec les mécanismes d’authentification et les bases de données. Il s’ensuit une analyse de la configuration du serveur correspondant et de tous les éléments du réseau environnant, et enfin de toutes les données et informations détenues par l’organisation. Le « PenTest » est la vérification nécessaire pour prouver que le système informatique répond aux exigences de sécurité des parties concernées. Pour un audit, conseil ou formation en matière de PenTest, cliquez ici et découvrez les offres et l’expertise d’Artecys, situé à 40 rue des Aciéries, BP 60786 42000 Saint-Étienne.

Fonctionnement et déroulement des tests de pénétration

Le processus implique une analyse active et passive du système afin d’identifier les faiblesses, les défauts techniques et les vulnérabilités. Ces problèmes peuvent provenir de la conception, de la mise en œuvre ou de la gestion du système, et peuvent être exploités pour compromettre le système et donc les objectifs de sécurité de l’entreprise. L’objectif est d’empêcher les attaquants malveillants (externes ou internes) ou l’instabilité du système d’affecter la confidentialité, l’intégrité et la disponibilité des ressources. Les problèmes de sécurité détectés sont présentés au propriétaire du système dans un rapport, accompagné d’une évaluation d’impact, d’une solution technique, ou lorsque cela n’est pas possible, d’une mesure d’atténuation. Pour effectuer des tests sur des systèmes qui n’appartiennent pas au propriétaire, il est nécessaire de démontrer le consentement et l’approbation de l’activité, et d’agir sur la base d’un contrat qui spécifie les objectifs, les délais, et surtout, les seules ressources impliquées.

Contrats de tests de pénétration et profession des testeurs

Le contrat doit inclure une clause de confidentialité, l’adresse IP à partir de laquelle le test sera initié, la personne responsable et l’opérateur pendant l’activité, et la possibilité de coopération avec l’opérateur et la direction interne. La personne qui effectue le test du système doit garantir que l’activité ou le processus ne sera pas interrompu, et qu’aucune donnée ou information du client ne sera modifiée ou perdue. Toute activité non réglementée par le contrat doit être considérée comme illégale. Comme indiqué plus haut, les objectifs et les buts doivent être clairement définis au moment de la signature du contrat. Le propriétaire du système doit décider quelles informations seront partagées avec les analystes.

Comment les tests de pénétration peuvent-ils être divisés ?

Tests de pénétration externes

L’objectif des tests de pénétration externes est de déterminer si des pirates peuvent pénétrer dans un système informatique (ou plus précisément, de l’extérieur), et à quelle profondeur ils peuvent pénétrer dans le système affecté. Dans le cadre de ces tests, tout ce qui est visible sur le réseau est recherché (par exemple à l’aide de Google dork) afin d’essayer de trouver des points d’accès « non découverts » qui permettent aux pirates de pénétrer dans le système.

Tests de pénétration internes

Les tests internes sont généralement effectués par une personne au sein de l’organisation. Par exemple, si un pirate informatique réussit à obtenir le mot de passe d’un employé ou d’autres données d’accès, il peut facilement accéder à de nombreux systèmes internes qui ne sont accessibles qu’aux employés de cette entreprise. Les tests de pénétration internes analysent précisément ces cas, et servent à trouver des failles et des lacunes dans les systèmes internes réservés aux employés.

Tests ciblés

Les tests de pénétration ciblés sont réalisés conjointement par le testeur de pénétration et le service informatique. Son principal objectif est de donner au département informatique de l’entreprise un aperçu du point de vue de ceux qui attaquent le système, en vue de rendre le système plus sûr, grâce à des développements futurs.