Les « Pentest » en Cybersec
A - Préambule
1 – Introduction
1.1 Définition des tests d’intrusion :
Un test d’intrusion, ou pentest, est un test évaluant la solidité de tous les contrôles de sécurité du système informatique. Les tests d’intrusion évaluent les contrôles procéduraux et opérationnels, ainsi que les contrôles technologiques.
1.2 Qui a besoin de Pentest ? :
– Banques/institutions financières, organismes gouvernementaux, fournisseurs en ligne ou toute organisation traitant et stockant des informations privées.
– Developpeurs de sites web.
– La plupart des certifications exigent ou recommandent la réalisation régulière de tests d’intrusion afin de garantir la sécurité du système.
– La section 11.3 de la norme de sécurité des données PCI exige que les organisations effectuent des tests d’application et d’intrusion au moins une fois par an.
– La section 8 des mesures de protection administratives de la règle de sécurité HIPAA exige des audits des processus de sécurité, des analyses périodiques des vulnérabilités et des tests d’intrusion.
1.3 Les différents points de vue pour les tests d’intrusion :
– Externe vs. Interne : les tests d’intrusion peuvent être effectués du point de vue d’un attaquant externe ou d’un employé malveillant.
– Ouvert vs. Secret : les tests d’intrusion peuvent être effectués à l’insu ou non du service informatique de l’entreprise testée.
1.4 Étapes des tests d’intrusion :
1.4.1 – Reconnaissance et collecte d’informations :
Objectif : Découvrir un maximum d’informations sur une cible (individu ou organisation) sans avoir à la contacter.
Méthodes : Découverte d’informations sur l’organisation via WHOIS :
Analyse des sous domaines
Recherche Google
Navigation sur le site web
Au cours de la phase de reconnaissance, un attaquant tente de rassembler le plus d’informations possible sur une cible avant de lancer son attaque. La plage « cible » de reconnaissance peut inclure des employés, des réseaux, des systèmes et même des tiers. Parfois, les informations disponibles en ligne sur une cible peuvent révéler des points d’entrée faibles, en fonction de ce que l’attaquant trouve. Un attaquant peut utiliser deux techniques de reconnaissance différentes : la reconnaissance passive et la reconnaissance active.
La reconnaissance passive implique de récupérer des informations sans interagir directement avec la cible. Par exemple, la recherche dans les archives publiques (piratage Google), le dumpster diving (la « plongée dans les poubelles »), les communiqués de presse et les offres d’emploi.
En revanche, la reconnaissance active implique une interaction directe avec la cible. Par exemple, contacter un employé et poser des questions sur l’entreprise ou utiliser des techniques d’analyse de réseau non intrusives.
Pour lire la suite, ouvrir ou télécharger le fichier ci-dessous.