Skip to main content

Un test d’intrusion permet d’identifier les vulnérabilités en simulant une attaque par des hackers. Outils, types de pentests, scope, visibilité, on vous dit tout.

Il est difficile de parler de la cybersécurité sans aborder le test d’intrusion, ou penetration testing. C’est l’une des techniques de détection des vulnérabilités les plus utilisées par les organisations.

Penetration Testing as a Service logo

Un pentest, c’est quoi ?

Le test d’intrusion est une technique qui vise à simuler une attaque informatique pour éprouver la sécurité d’un actif numérique – applications, sites web, objets connectés, systèmes d’information complets (SI), etc. Autrement dit, avec un pentest, une organisation fait appel à des pentesters ou des hackers éthiques (white hats) pour qu’ils se mettent dans la peau de hackers mal intentionnés (black hats) afin de tester la sécurité de ses assets. Tout comme le bug bounty, il s’agit là d’une approche active de la sécurité numérique.

Pentest et audit de sécurité, deux approches différentes

Le pentest ne doit pas être confondu avec l’audit de sécurité, même s’il est communément admis qu’un pentest est lui-même une forme d’audit. L’audit de sécurité est un diagnostic, là où le pentest est une mise en situation.

Un audit recense les forces et les faiblesses d’un système informatique. C’est une étude systémique du niveau de sécurité du SI grâce à des tests,des échanges avec les équipes internes ou l’analyse des documentations techniques. Un audit de sécurité peut mettre en lumière des vulnérabilités et des dysfonctionnements, mais il ne cherche pas à les exploiter pour en prouver la dangerosité.

À l’inverse, lors d’un test d’intrusion, on se met dans la peau d’un hacker mal intentionné pour identifier les vulnérabilités exploitables, celles qui constituent des menaces bien réelles. L’objectif est de trier les vulnérabilités par criticité, afin de prioriser les actions correctives.

Définir le scope, une première étape du pentest

L’une des premières étapes d’un pentest est de définir avec précision son scope, son périmètre. Ce dernier pose un cadre au pentesting, en délimitant quels domaines de l’écosystème visé doivent être testés ou non. L’entreprise peut ainsi exclure tout ou partie de certains assets qu’elle estime trop sensibles, ou dont elle connaît déjà la fragilité des périmètres. Le scope peut également exclure des vulnérabilités du pentest, en interdisant par exemple les attaques DDoS ou par force brute.

C’est également à cette étape du processus de pentest qu’il faut poser un cadre légal sur l’activité. Un contrat doit être signé entre l’entreprise qui désire le test d’intrusion et la ou les personnes qui le réaliseront. Ledit contrat intègre généralement des clauses de non-divulgation (NDA, Non-Disclosure Agreement) pour assurer la confidentialité des données sensibles qui pourraient être utilisées.

Black, Grey et White Box : trois conditions de visibilité pour un test d’intrusion

Une fois que le scope a été clairement établi, il faut décider de la visibilité de départ du pentest. Il peut être lancé avec plus ou moins d’opacité. Les pentesters peuvent avoir plus ou moins d’informations sur leur cible, ainsi que différents droits d’accès. On distingue classiquement trois approches :

  • Le pentest Black Box, ou le test de la boîte noire
  • Le pentest White Box, ou le test de la boîte blanche
  • Le pentest Grey Box, ou le test de la boîte grise

Le pentest Black Box

Le pentester est en situation réelle. Il ne dispose d’aucune information particulière sur l’organisation et les écosystèmes ciblés. Ce test simule l’attaque d’un hacker extérieur à l’entreprise, qui n’aurait aucun élément sur lequel appuyer son offensive. La phase de reconnaissance et de collecte d’informations peut être laborieuse.

Le pentest White Box

L’exact opposé de l’approche Black Box. Le pentester travaille main dans la main avec la DSI de l’entreprise, et il a accès à une pléthore d’informations sur sa cible – le code source, des accès d’authentification, etc. Cette approche ressemble en de nombreux points à un audit traditionnel, mais permet d’éprouver les niveaux de sécurité les plus profonds d’un écosystème.

Le pentest Grey Box

Une technique à mi-chemin entre les deux précédentes. Le pentester ne part pas de zéro et débute son intrusion avec quelques éléments à disposition. Il peut par exemple avoir accès à un identifiant et un mot de passe pour simuler une attaque venant de l’intérieur – un collaborateur, un prestataire de sa chaîne d’approvisionnement, etc.

La Red Team, une stratégie à ne pas confondre avec le pentest

Le concept de la Red Team est parfois présenté comme étant une approche du pentesting. Bien que similaires en de nombreux points, ce sont là deux choses bien distinctes.

Une Red Team est une équipe chargée de traverser les défenses d’une entreprise ou d’un actif numérique, sans limite de périmètre et sur une période de temps beaucoup plus longue qu’un pentest – souvent plusieurs mois. Tout comme avec un pentest, une Red Team simule une offensive de hackers mal intentionnés qui tentent d’exploiter des vulnérabilités. Pourtant, même s’ils utilisent des outils communs, les red teamers ont un arsenal (TTP, pour Tactiques, Techniques & Procédures) bien plus vaste que les pentesters. Contrairement à un pentest, une stratégie Red Team peut avoir recours à :

  • l’attaque des infrastructures physiques, comme le serveur web utilisé par l’entreprise ;
  • l’intrusion physique, en s’introduisant par exemple dans les bureaux de l’entreprise ou en subtilisant du matériel ;
  • des méthodes d’ingénierie sociale (social engineering), en manipulant des collaborateurs, des prestataires ou des fournisseurs.

En cela, la stratégie Red Team présente des similitudes avec le pentest mais aussi avec le bug bounty – notamment en ce qui concerne la durée de la recherche.

E-Book: Bug Bounty, le guide ultime pour un programme réussi

Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.

TÉLÉCHARGEZ L'E-BOOK !

Quels sont les outils utilisés pour faire un test d’intrusion ?

Les pentesters utilisent des logiciels et environnements propres à leur profession. Les outils de pentest sont nombreux et variés, à l’image de leurs besoins. L’objectif de ces quelques lignes n’est pas de recenser tous les outils qui peuvent être utilisés lors d’un test d’intrusion, mais simplement d’en donner un aperçu :

  • Kali Linux : une distribution GNU/Linux basée sur Debian qui propose nativement différents outils de tests de sécurité ;
  • Burp Suite : le scanner de vulnérabilités professionnel bien connu des hackers. Il existe des logiciels concurrents payants comme Nessus, ou gratuits comme OpenVas, Zed Attack Proxy (ZAP) et Nikto ;
  • Maltego : un logiciel qui permet de collecter des informations sur une personne ou une organisation, bien utile pour faire de l’ingénierie sociale ;
  • aircrack-ng : un outil de crack de réseaux WiFi ;
  • Nmap (Network Mapper) : un scanner de ports en open-source ;
  • sqlmap : un outil d’injection SQL open-source.

Qui réalise le test d’intrusion ?

Les tests d’intrusion sont menés par des experts en cybersécurité. Ils sont la plupart du temps autodidactes ou issus d’une formation d’ingénieur ou en informatique. Ces derniers peuvent exercer pour un cabinet de conseil en sécurité informatique, ou à leurs comptes en tant que pentesteurs ou bug hunters.

Il est trop souvent admis que faire appel à une société de penetration testing est la meilleure solution pour les entreprises, si ce n’est la seule. Pourtant, ce n’est là que la forme la plus traditionnelle du pentest.

Les 3 types de pentests

  • Le pentest en interne : l’entreprise décide de ne faire appel à aucun tiers et mène un test d’intrusion en interne. Ce modèle est relativement rare puisqu’il demande d’avoir en interne un savoir-faire et des ressources humaines conséquentes, ce qui n’est souvent pas le cas des petites et moyennes organisations.
  • Le pentest traditionnel : l’entreprise fait appel à un cabinet de conseil en sécurité informatique. Les deux parties signent un contrat, puis le prestataire conduit un pentest sur une période choisie – souvent une semaine ou deux. À l’issue du test, l’entreprise reçoit une rapport qui liste les conclusions du pentest, les vulnérabilités identifiées et un plan de remédiation – parfois facturé en sus.
  • Le Penetration Testing as a Service (PtaaS), ou pentest crowdsourcé : l’entreprise mobilise un ou plusieurs hackers éthiques aux compétences diverses et variées, comme ceux de la Yogosha Strike Force. Ce type de programme est plus rapide et plus flexible qu’un pentest traditionnel.
Yogosha Strike Force Emblem - Red

Le Penetration Testing as a Service, une approche plus moderne du test d’intrusion

Le Pentest as a Service est une nouvelle forme de pentest qui présente de nombreux avantages comparé à son homologue traditionnel :

  • Un lancement du programme autrement plus rapide : moins d’une semaine pour un PtaaS, contre 3 à 6 semaines pour un pentest classique ;
  • Une communication permanente avec les chercheurs en sécurité tout au long du programme, là où un test d’intrusion classique permet des échanges avec le chef de projet mais pas nécessairement avec les pentesters ;
  • Une diversité des compétences ; Si les menaces informatiques sont légion, les talents des hackers éthiques le sont tout autant. Chaque profil a ses propres spécificités, et les pentests collaboratifs permettent donc de multiplier les compétences là où les pentests traditionnels reposent sur des équipes plus réduites et moins éclectiques ;
  • Une maîtrise plus agile du programme et du budget alloué au pentest.

Ce n’est là qu’un rapide tour d’horizon des avantages du Pentest as a Service. Pour en savoir plus :