| |
|
 |
| Les tests d'intrusion |
|
|
| |
Les tests d'intrusion permettent de " mettre à
l'épreuve la sécurité d'un environnement et de qualifier
sa résistance à un certain niveau d'attaque " [source
: Clusif]. Cette prestation à forte composante technique, ponctuelle
ou récurrente, est réalisée après autorisation
explicite du client et se fonde sur un ensemble de moyens mis en œuvre
pour compromettre un système d'information (soit en se rendant
maître du cœur du système, soit en s'emparant du plus
grand nombre de ressources) en contournant les dispositifs de sécurité.
L'objectif d'un test d'intrusion n'est pas d'identifier de manière
exhaustive l'ensemble des vulnérabilités d'un système
ni d'apporter la preuve qu'un système est sécurisé
(dès lors qu'aucune vulnérabilité significative n'aurait
été mise en évidence lors du test). Le test d'intrusion
fige à un instant déterminé le niveau de sécurité
d'un système d'information en démontrant ce qu'un profil
d'attaquant particulier est capable de faire sur un point d'accès
déterminé. Réalisés de manière récurrente,
les tests d'intrusion permettent de valider périodiquement le niveau
de sécurité du système d'information et d'en mesurer
les variations.
|
|
|
| |
La démarche |
|
|
| |
La démarche suivie pour réaliser un test
d'intrusion s'articule autour de trois principes : |
|
| |
|
| |
 |
La convention : tout test d'intrusion
se limite à un périmètre défini (équipements,
serveurs, applications), est borné dans le temps (la durée
des tests étant dépendante du type de scénario,
du point d'accès et des ressources ciblées) et doit
être réalisé dans le respect des règles
de déontologie et d'éthique [1].
|
| |
|
Le type de scénario : |
| |
|
 |
les scénarii dits en aveugle (ou boîte
noire) sont réalisés sans connaissance préalable
et dans des conditions analogues à celles dont disposerait
un éventuel attaquant ; |
| |
|
|
les scénarii avec connaissance partielle
(ou boîte grise) sont réalisés avec des informations
communiquées par le client dans des conditions analogues
à celle dont disposent des partenaires, des prestataires,
etc.
|
|
|
Le point d'accès : qu'il soit
externe ou interne, le ou les points d'accès peuvent être
la connexion Internet du système d'information, l'infrastructure
Wi-Fi, l'infrastructure téléphonique, etc. |
|
|
|
| |
Le déroulement du test d'intrusion se décompose
en trois phases : |
|
| |
|
| |
|
la phase de collecte d'informations " publiques
" (ou phase passive) : cette phase consiste, sans interagir
avec l'environnement cible, à rassembler des informations
disponibles publiquement ; |
| |
|
la phase de cartographie de l'environnement cible
(ou approche active) : cette phase consiste à localiser
et caractériser les composants cibles (systèmes d'exploitation
et services applicatifs, positionnement des équipements les
uns par rapport aux autres, types de dispositifs de sécurité
mis en œuvre, etc.) |
|
|
les tentatives d'intrusion : cette phase, à
forte composante technique, consiste à exploiter les vulnérabilités
mises en évidence dans les phases précédentes
de façon à obtenir un accès " non autorisé
" aux ressources et/ou au cœur du système d'information. |
|
|
|
| |
Afin d'assurer le maintien en conditions opérationnelles
du périmètre testé, un contact permanent avec le
client est assuré et des points de suivi à intervalle régulier
sont accomplis tout au long du test d'intrusion. |
|
|
| |
Les résultats |
|
|
| |
Les tests d'intrusion donnent lieu à la rédaction
d'un rapport technique et d'une note de synthèse.
La note de synthèse, principalement destinée à
la direction informatique, présente un constat du niveau de sécurité
mesuré, les conséquences qui découlent des insuffisances
constatées et les préconisations dont la forte priorité
indique qu'elles sont à prendre en compte dans les plus brefs délais.
Le rapport technique expose un descriptif des actions ayant permis
d'identifier les failles, l'exploitation de ces failles, les conséquences
de ces exploitations et l'ensemble des recommandations à prendre
en compte pour améliorer le niveau de sécurité du
système d'information.
|
|
| |
|
|
|
| |
|
[1] Lynx Technologies, membre du CLUSIF, adhère
au code éthique des métiers de la sécurité
des Systèmes d'Information et applique, pour les audits de vulnérabilités,
un cadre réglementaire très strict décrit dans son
code de déontologie. |
 |
| |
|
|
|
