Hack in Paris

Tests d’intrusion

Objectifs

Le test d’intrusion est le cœur de métier et d’expertise de Sysdream. Contrairement à un audit, dont l’objectif est de valider la conformité à une politique, le test d’intrusion mesure le risque associé à un système d’information en simulant des conditions d’attaque réalistes.

La particularité du test d’intrusion réside dans son objectif premier : évaluer efficacement le risque associé à un système de traitement de l’information et identifier des pistes pour le réduire significativement. Dans cette optique, le consultant menant un test d’intrusion adopte temporairement la posture d’un attaquant réel et s’efforce de reproduire la démarche et les techniques d’un véritable individu malveillant. Grâce à cette approche, le test d’intrusion permet d’identifier un maximum de vulnérabilités susceptibles d’être exploitées ainsi que les scénarios probables menant à une compromission du système d’information.

Le rapport de test d’intrusion fournit l’ensemble des détails requis pour reproduire les situations à risque, l’analyse du risque établie par le consultant ainsi que l’ensemble des recommandations nécessaires à la mise en place d’un plan d’action. Il s’inscrit donc directement dans le processus de gestion du risque et encourage les contremesures efficaces et pragmatiques afin d’abaisser rapidement le risque à un niveau acceptable par le client ou la règlementation.

Connaissances initiales

Les connaissances initiales de chaque partie ont une importance considérable dans le déroulement du test d’intrusion : plus l’attaquant dispose d’informations, plus exhaustive est la recherche et moins réaliste est l’analyse du risque.

Le test d’intrusion boîte noire (black box) est le plus courant : le prestataire débute l’audit sans connaissance initiale, notamment sans information technique relative à la plateforme testée et sans identifiants. Seules des informations publiques comme les IP ou URL sont généralement fournies.

Le test d’intrusion boîte grise (grey box) est complémentaire du test boîte noire : le consultant dispose d’informations limitées et choisies afin de mesurer le risque dans une situation pertinente. Par exemple, des identifiants valides peuvent être fournis afin d’évaluer l’étendue du risque en cas d’usurpation de l’identité d’un utilisateur privilégié.

Position de l’attaquant

Les conditions simulées lors d’un test d’intrusion dépendent fortement de la position initiale adoptée par l’attaquant.

Le test d’intrusion externe est la prestation la plus courante et généralement la plus profitable : le consultant opère depuis nos locaux sur une connexion Internet ordinaire et simule des attaques provenant d’utilisateurs malveillants anonymes sur Internet.

Le test d’intrusion interne correspond à la configuration inverse : nous simulons une attaque depuis l’un des réseaux internes à la société afin de mesurer le risque de compromission par un employé, prestataire ou partenaire malveillant par exemple.

Déroulement de la prestation

La méthodologie mise en œuvre pour le test d’intrusion consiste en une succession d’étapes.

  • Mise en place (kick-off/validation du périmètre)
  • Découverte du périmètre
  • Prise d’informations
  • Recherche de vulnérabilités
  • Construction de scénarios d’attaque et compromission du SI
  • Compromission initiale, maintien d’accès et élévation de privilèges
  • Rédaction et livraison du rapport