Test d’intrusion : dans la peau d’un pirate

Sécurité
Blog proposé par Dell EMC

Le test d’intrusion consiste à endosser le rôle du pirate pour tester la solidité de la sécurité réseau. Une procédure classique, mais dont certains points sont parfois négligés.

Sur le papier, le plan est parfait. Mais comment être certain que les mesures de sécurité déployées sur votre SI sont réellement efficaces face à une menace réelle ? L’une des méthodes les plus évidentes est de se mettre dans la peau du pirate et d’essayer de les contourner. Mais pour qu’il soit révélateur et engendre les bons enseignements, le test d’intrusion implique le respect de quelques bonnes pratiques.

Planifier et communiquer

Un test d’intrusion est un projet IT à part entière. À ce titre, il doit être soigneusement planifié et des moyens humains et financiers doivent lui être alloués. Les responsables métier seront également impliqués afin d’identifier les cibles les plus critiques et d’aligner les objectifs du test avec les attentes business.

Penser technologie et processus

Le test d’intrusion n’est pas qu’une vérification technique. C’est également l’occasion d’observer toute la chaîne de réaction. Au fur et à mesure de l’avancée du test, il sera primordial d’observer et de documenter les comportements des systèmes et des équipes concernées, afin d’ajuster par la suite le processus de réponse à incident et de prévoir les mises à jour et formations adéquates.

Prévoir l’ennemi intérieur

Beaucoup d’entreprises se contentent de simuler une attaque extérieure pour mettre leur défense périmétrique à l’épreuve. Mais la menace vient souvent de l’intérieur. Un scénario classique de phishing par exemple verra l’attaquant cibler en premier lieu un simple utilisateur pour remonter ensuite jusqu’à des informations plus sensibles en exploitant les vulnérabilités internes.

Bilan : comprendre…

Une fois le test réalisé, les chiffres doivent être correctement interprétés. Il est pour cela nécessaire de connaître en détail l’environnement IT de l’organisation au moment du test. Une hausse du nombre de vulnérabilités d’une année sur l’autre par exemple, peut ne pas être un indicateur significatif si le nombre d’appareils scannés a augmenté dans les mêmes proportions.

… et faire comprendre

Inutile ensuite de fournir aux dirigeants un rapport technique détaillé sur les vulnérabilités. Ces informations seront réservées aux spécialistes IT. Pour l’encadrement métier, mieux vaut mettre en avant les risques encourus pour l’activité et les mesures concrètes à prendre.

Élargir le spectre

Le test d’intrusion peut être une bonne occasion de revoir plus largement la sécurité de la société. Le test de sécurité réseau peut par exemple être associé à un test de sécurité physique du bâtiment, avec un pirate qui pénètrerait sans autorisation dans un bureau pour accéder à un PC par exemple.