Des préoccupations grandissantes en matière de cybersécurité justifient d’envisager des tests de pénétration
En matière de cybersécurité, la situation est hautement volatile depuis les dernières années, sans doute plus qu’à l’accoutumée en raison de la pandémie mondiale. La COVID-19 a engendré des difficultés sans précédent qui affligent les entreprises de divers secteurs et industries. De nos jours, nombre de ces enjeux demeurent des sources de frustration, particulièrement au sein d’une main-d’œuvre géographiquement dispersée. Selon une étude d’envergure mondiale menée par Splunk et le Enterprise Strategy Group, les organisations prennent toujours en charge le double du nombre d’employés travaillant à distance par rapport aux standards prépandémiques, dont le retour est loin d’être garanti. En outre, le rapport McKinsey souligne que le travail à distance perdurera probablement au-delà de la pandémie étant donné que de 20 à 25 % de la main-d’œuvre est en mesure de travailler à domicile entre trois et cinq jours par semaine sans que sa productivité en souffre.
De nombreuses organisations adoptant des modèles de travail à distance et hybrides, le travail à domicile est devenu la brèche dans laquelle s’engouffrent les criminels informatiques en vue d’explorer de nouvelles formes de vol de données. En effet, une étude réalisée par Deloitte révèle que 25 % de tous les employés ont remarqué une augmentation du nombre de courriels frauduleux, de pourriels et de tentatives d’hameçonnage parmi les courriels d’entreprise depuis le début de la pandémie. Conjuguée aux résultats de recherche indiquant que les organisations canadiennes accusent un retard en matière d’investissement en cybersécurité par rapport à leurs homologues mondiaux, cette situation peut présenter des cyberrisques aux entreprises dont l’infrastructure technologique est médiocre et dont la cybersécurité et la sécurité des données sont inadéquates1.
Par conséquent, étant donné la persistance prévue d’un certain niveau de travail à distance dans un avenir rapproché, les organisations devront prendre en charge les enjeux opérationnels, notamment en sécurisant l’accès au réseau d’entreprise et aux actifs infonuagiques et en veillant à la configuration sécuritaire des appareils1. Les tests de pénétration représentent une façon optimale de disposer d’un bon aperçu des secteurs qui représentent une menace plus importante pour votre entreprise.
Qu’est-ce qu’un test de pénétration?
Aussi couramment appelé test d’intrusion ou piratage contrôlé, un test de pénétration consiste en un exercice de sécurité dans lequel un expert en cybersécurité réalise délibérément une tentative de cyberattaque de votre réseau ou de vos systèmes en vue d’en découvrir les vulnérabilités. Les éléments relevés par le test de pénétration peuvent servir à résoudre ces vulnérabilités et à améliorer les politiques relatives à la sécurité de votre organisation.
Cela s’apparente par exemple à une institution financière qui embauche une personne pour jouer le rôle de « voleur » et cambrioler son établissement. Dans cette analogie, le voleur correspond à l’expert ou au responsable des essais en cybersécurité. Si le voleur parvient à pirater le dépôt ou la chambre de l’institution financière, cette dernière obtient de précieux renseignements sur la façon dont elle peut renforcer ou améliorer ses protocoles de sécurité.
Le test de pénétration par rapport à l’analyse de vulnérabilité
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) exige à la fois la réalisation de tests de pénétration et d’analyses de vulnérabilité; on croit souvent qu’il s’agit d’un même service, mais ces tests comportent toutefois d’importantes différences2.
Une analyse de vulnérabilité consiste habituellement en un processus automatisé qui repère, catégorise et signale les vulnérabilités potentielles qui, si elles sont exploitées, peuvent compromettre la sécurité ou le système de votre organisation. Elle est généralement réalisée par le biais d’outils automatisés, en combinaison avec une vérification manuelle des problèmes signalés2.
Un test de pénétration simule une cyberattaque et vise à exploiter les vulnérabilités en vue de contourner et d’infiltrer les systèmes et les dispositifs de sécurité de votre organisation. Ce test prend la forme d’un processus manuel par lequel les experts en cybersécurité recherchent les vulnérabilités présentes au sein de votre organisation et tentent de démontrer que ces problèmes peuvent être exploités. Les tests de pénétration peuvent faire appel à des analyses de vulnérabilité et à d’autres outils automatisés, ce qui donne lieu à un résultat et à un rapport plus complets2.
Par exemple, une analyse de vulnérabilité s’apparente à un individu se dirigeant vers votre véhicule pour vérifier si ses portes sont déverrouillées, sans aller plus loin. Un test de pénétration vise toutefois à être plus exhaustif; ainsi, cet individu ne se limiterait pas à vérifier si les portes sont déverrouillées, mais il pénètrerait dans le véhicule et déterminerait ce qu’il pourrait y faire de plus.
Motifs de réalisation d’un test de pénétration
Êtes-vous au fait des vulnérabilités présentes au sein de votre infrastructure actuelle que les criminels informatiques pourraient exploiter? Comprenez-vous les plus récentes tactiques dont ils tirent parti? Faites-vous preuve de proactivité dans l’emploi de correctifs destinés à vos systèmes et à vos dispositifs de sécurité ?
En réalité, les criminels informatiques disposent d’une connaissance approfondie des vulnérabilités de diverses technologies et sont constamment à la recherche de nouvelles avenues visant à infiltrer et à exploiter vos systèmes et vos réseaux. Voici quelques raisons pour lesquelles vous devriez envisager la réalisation d’un test de pénétration :
- Pour mettre au jour et résoudre les vulnérabilités de sécurité en vue de protéger votre organisation des cyberattaques : Les tests de pénétration permettent d’obtenir des informations visant à aider votre organisation à mieux sécuriser ses données et à prévenir des infections de logiciels malveillants et des cyberattaques perturbatrices.
- Pour rester en conformité avec diverses normes : Selon l’industrie concernée, votre organisation peut devoir respecter différentes normes. La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), qui exige des tests de pénétration réalisés tous les ans et à la suite de changements importants, y compris la mise à niveau ou la modification d’infrastructure ou d’applications et l’installation de nouveaux éléments de système, en est un excellent exemple2.
- Pour soutenir la hiérarchisation des solutions : Même dans les grandes entreprises qui disposent d’un imposant groupe de travail consacré à la sécurité, les vulnérabilités sont inévitables; le défi consiste donc à atténuer les problèmes et à leur trouver des correctifs de façon continue. En tirant parti des cadres de travail couramment reconnus au sein de l’industrie, comme le Common Vulnerability Scoring System (CVSS, ou système de notation des vulnérabilités), un test de pénétration permet non seulement de repérer les caractéristiques et les impacts des vulnérabilités en matière de TI, mais il les catégorise également en fonction du niveau de risque2.
- Pour éviter de subir des pertes financières : Si investir en cybersécurité peut s’avérer coûteux, le risque de cyberattaque peut entraîner des pertes qui dépassent les frais d’un test de pénétration. IBM révèle que la violation de données moyenne a coûté 4,24 M$ US en 2021, et que le travail à distance et la transformation numérique découlant de la pandémie ont accru le coût total moyen d’une violation de données de 1,07 M$ US3.
Qui réalise les tests de pénétration?
Idéalement, le test de pénétration est réalisé par un professionnel qui connaît peu la façon dont vos technologies et vos systèmes sont sécurisés; il pourra ainsi exposer les vulnérabilités présentes dans les systèmes actuels. C’est pourquoi on fait généralement appel à des experts en cybersécurité ou à des hackers (ou chapeaux blancs) externes pour la réalisation de ce test. Toutefois, des ressources internes qualifiées peuvent également réaliser ce test, pourvu qu’elles soient indépendantes du point de vue organisationnel, c’est-à-dire qu’elles n’interviennent pas sur le plan de l’installation, de l’entretien ou de la prise en charge des systèmes visés par les tests et qu’elles n’y soient pas associées2.
Les individus qui réalisent les tests de pénétration sont habituellement des développeurs d’expérience, mais les certifications supplémentaires détenues par le testeur pourraient donner une meilleure idée du niveau de qualification et de compétence de cet individu. Voici quelques-unes des certifications relatives aux tests de pénétration que le testeur pourrait détenir2 :
- Certified Ethical Hacker (CEH, ou hacker éthique certifié)
- CREST Penetration Testing Certifications (certifications CREST en tests de pénétration)
- Offensive Security Certified Professional (OSCP, ou professionnel certifié en mesures sécuritaires offensives)
- Global Information Assurance Certification (GIAC, ou certification mondiale en assurance de l’information)
- Communication Electronic Security Group (CESG) IT Health Check Service (CHECK) certification (certification en service de vérification de la santé des TI [CHECK] du Communication Electronic Security Group [CESG])
Types de tests de pénétration
S’il existe différents types de tests de pénétration, dont chacun possède sa propre portée et son propre objectif, voici les catégories les
plus courantes2 :
- Test de la boîte noire ou test fonctionnel : Un test est réalisé sans connaissance préalable de la structure interne, de la conception, de la mise en œuvre du système ou de l’objet soumis au test.
- Test de la boîte grise : Un test est réalisé avec une connaissance partielle ou restreinte de la structure interne, de la conception, de la mise en œuvre du système ou de l’objet soumis au test.
- Test de la boîte blanche ou de la boîte ouverte : Un test est réalisé avec la connaissance de la structure interne, de la conception, de la mise en œuvre du système ou de l’objet soumis au test.
- Test de couche réseau : Un test comprenant habituellement les tests externes et internes des réseaux, comme les réseaux locaux (RL) ou les réseaux VLAN, entre des systèmes interconnectés et des réseaux sans fil.
- Test de pénétration externe : Un test des systèmes de l’organisation qui sont connectés à l’infrastructure d’un réseau public ou par lequel on y accède, y compris, entre autres, son site Web et les serveurs de son réseau externe.
- Test de pénétration interne : Un test du réseau d’une organisation, y compris, entre autres, la couche application, la couche réseau et les systèmes essentiels – comme tenter de contourner les contrôles d’accès internes destinés à prévenir l’accès non autorisé à des systèmes aux personnes qui n’en ont pas la permission.
Étapes d’un test de pénétration
Afin de s’assurer qu’un test est réalisé avec succès, divers processus et activités sont à considérer. La procédure de test peut être divisée en trois étapes principales : le pré-engagement, l’engagement et le post-engagement2.
Le pré-engagement
Avant d’entreprendre le test, il est recommandé que toutes les parties concernées, comme l’organisation et l’individu qui réalisera le test, soient informées du type de test à réaliser, de la façon dont il sera exécuté et du système visé. Les parties concernées devront clarifier la portée du travail, fournir de la documentation détaillée afin d’éviter tout oubli de composantes critiques, stipuler des règles d’engagement claires, établir un critère de réussite et passer en revue les menaces et les vulnérabilités antérieures auxquelles l’organisation a fait face au cours des 12 derniers mois, comme requis par la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Un pré-engagement exhaustif permettra de réduire les erreurs et les omissions qui pourraient nécessiter la réalisation d’un nouveau test2.
L’engagement
C’est également l’étape à laquelle le test de pénétration a lieu. Étant donné les aspects uniques de l’organisation sur le plan des technologies et de la sécurité, l’individu qui réalise le test de pénétration devra établir l’approche et les outils les plus appropriés qui sont nécessaires à la réalisation du test.
Un test de pénétration est une opération manuelle par laquelle le responsable des essais peut être amené à utiliser des outils destinés à optimiser ou à limiter les tâches répétitives, mais on doit faire preuve de bon jugement pour choisir les outils appropriés et pour identifier les vecteurs d’attaque à exploiter.
Ce test doit également être réalisé à partir d’un emplacement approprié, sans inhibition des ports ou des services imposée par le fournisseur d’accès Internet. Le testeur pourrait utiliser la connexion Internet destinée aux consommateurs et aux résidences, dont les protocoles SMTP, SNMP et SMB, ainsi que d’autres ports, pourraient être limités par le fournisseur Internet afin de réduire les effets de logiciels malveillants et de virus. Si une ressource interne de l’organisation réalise le test, elle devra utiliser une connexion Internet neutre afin d’éviter l’impact des contrôles d’accès éventuellement présents au sein de l’environnement de l’entreprise ou de soutien2.
Le post-engagement
Une fois le test terminé, ses résultats sont habituellement consignés dans un rapport détaillé qui peut comprendre des indications sur les vulnérabilités particulières qui ont été exploitées, le type de données auxquelles on a accédé et la période durant laquelle le testeur est resté infiltré dans le système sans être détecté. Ainsi, l’organisation peut tirer parti de ces découvertes afin de remédier aux faiblesses de ses systèmes et tester de nouveau les vulnérabilités repérées afin de se protéger contre les futures attaques.
Pour en apprendre davantage sur les tests de pénétration et sur la façon dont Grand & Toy peut vous aider, contactez-nous dès aujourd’hui. Notre équipe de vente de produits technologiques certifiée mettra à profit ses années d’expertise pour bien orienter la croissance technologique de votre organisation et pourra vous aider à réduire le risque de cyberattaque par le biais de simulations de piratage contrôlé.
Courriel : technologie@grandandtoy.com
Appelez le : 1 833 740-4867
Sources :
1 https://www.splunk.com/en_us/pdfs/resources/e-book/state-of-security-2022.pdf
2 https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf
3 https://www.ibm.com/security/data-breach