Qu’est-ce que c’est qu’un Pentest ? (test d’intrusion) ?

Article

Pour commencer il y a plusieurs notions à ne pas mélanger : un test d’intrusion est bien différent d’un audit de sécurité qui n’est pas la même chose qu’un scan de vulnérabilité. Mais rassurez-vous si vous lisez notre blog régulièrement et que vous vous abonnez à notre newsletter, tous ces concepts n’auront bientôt plus aucun secret pour vous. 😉

Commençons par définir ce qu’est un pentest (test d’intrusion)

Pour commencer il y a plusieurs notions à ne pas mélanger : un test d’intrusion est bien différent d’un audit de sécurité qui n’est pas la même chose qu’un scan de vulnérabilité.

Un test d’intrusion est un concept qui va venir étudier et examiner une cible en se mettant à la place d’une personne malveillante, un attaquant, souvent dénommé un hacker aux mauvaises intentions ou bien un pirate informatique. La cible identifiée à atteindre peut prendre différentes formes telles que :

  • Un réseau entier.
  • Un serveur web.
  • Une application web.
  • Une application mobile.
  • Une adresse IP.
  • Etc.

Le scan de vulnérabilité évoqué plus haut, fait partie, quant à lui, du processus d’un test d’intrusion. Le scan a pour objectif de scruter la cible pour en extraire toutes les faiblesses dans une liste.

Il arrive souvent que les personnes fassent l’amalgame entre un test de pénétration (test d’intrusion) et un audit de sécurité, qui sont deux choses bien distinctes.

Si on revient à l’audit de sécurité, en quelques mots, nous tenterions de vous l’expliquer en disant que l’audit sert à peindre une cartographie de la sécurité d’une cible : un système d’information, une application, un logiciel etc. Durant l’audit, aucune phase de test à proprement parler n’est prévue. Durant un audit de sécurité, les faiblesses d’une application web ne sont donc pas mis à l’épreuve directement.

Le test d’intrusion est plus concret dans le sens où il va mettre le doigt sur des failles réelles et existantes à un moment donné.

Pourquoi faire un test d’intrusion de son application informatique ?

Les cyberattaques ☠, sont à notre grand désespoir, devenus monnaie courante. Plus personne ne s’étonne d’entendre dire qu’un grand groupe est victime d’une attaque informatique. Grands comptes, PME, TPE, sites institutionnels et même les particuliers sont la cible d’attaques.

Rien qu’une 2020, les plaintes pour rançongiciels ont augmenté de 20%. Une rançongiciel est une technique qui fait pénétrer un logiciel malveillant chez une personne (emails de phishing, via un site web, une clé USB etc.). Ce logiciel va chiffrer les données de la personne et lui extorquer de l’argent en échange de récupérer ses données grâce une clé de déchiffrement.

Autre constat effarant, 150 00 données de cartes bancaire ont été retrouvées en vente sur le darkweb. Les actions à mauvaises intentions se multiplient.

De l’autre côté de ce tableau noir nous pouvons quand même constater que les actions et techniques pour se protéger, se défendre et se prémunir de ces attaques fleurissent aussi.

Mettez en place des tests d'intrusion dans votre entreprise
Mettez en place des tests d’intrusion dans votre entreprise

C’est pour cela que les entreprises se doivent désormais d’être sensibles à ces sujets et de déployer les actions de sécurités adéquates.

Les objectifs d’un test d’intrusion (pentest) :

Le test d’intrusion répond à plusieurs ambitions.

  • La première c’est que le pentest va venir détecter de façon précise toutes les faiblesses du système d’information ou de l’application web, mobile ou encore du logiciel.

  • Le deuxième but du test de pénétration est d’estimer le degré de risque de chaque vulnérabilité ou faille qui aura été observée. A quel degré de risque suis-je exposé si je laisse cette faille dans mon SI ?

  • Le troisième dessein est évidemment d’apporter des recommandations pour corriger de manière appropriée et selon les urgences, les failles détectées.

Le test d’intrusion est à mettre en place sur votre application si vous vous posez les questions suivantes :

  • Mon application est-elle bien protégée ? Sinon à quels types de dangers, de problèmes je m’expose ? Quel est le degré de gravité de mes vulnérabilités ?

  • Comment corriger les failles dans mon système ? Quelles actions dois-je mettre en place ?

  • Par quelle corrections dois-je commencer ? Comment prioriser mon plan de correction ?

Quel est le bon moment pour faire un pentest de mon logiciel ?

Afin que la pratique des tests d’intrusion rentre dans les mœurs et deviennent des habitudes bien ancrées autant que la conception d’une charte graphique ou la mise en place du référencement naturel sur un site web, il est tout à fait légitime de vous demander : quel est le meilleur moment pour songer à faire un pentest de mon logiciel ?

Voici quelques périodes clés dans la vie d’un logiciel informatiques où il est opportun d’intégrer dans le cahier des charges le déploiement d’un test d’intrusion :

  • Au tout début d’un projet lors de la phase de conception. Quand vous imaginez l’arborescence de votre site, les fonctionnalités qu’il va contenir, la charte graphique, c’est le meilleur moment pour intégrer un test d’intrusion. Pourquoi ? Car dès le départ dans la conception originelle de votre application vous aurez pris en compte dans les développements les bonnes pratiques qui vont réduire au maximum les failles de vulnérabilités de votre logiciel. Vous réduisez par conséquent très fortement les risques d’attaques potentielles.
  • Durant toute la durée d’exploitation (d’utilisation) de votre logiciel. A l’instar d’un contrôle technique effectué tous les ans chez votre garagiste pour votre véhicule, prenez la bonne habitude de faire appel à un expert pour lancer un test de pénétration annuel sur votre site, pour être sûr que vous avez en main le « carnet de santé » de ce qui va et de ce qui ne va pas en termes de sécurité informatique.
  • Enfin, et nous espérons que vous n’en arriverez jamais là : si vous avez essuyez une cyberattaque, c’est le moment de faire un test d’intrusion pour évaluer les dégâts et éviter à tout prix une autre attaque.

Le test d’intrusion peut être effectué soit à l’extérieur depuis une simple connexion internet, soit à l’intérieur du réseau, en se connectant directement au réseau interne de l’entreprise.

A qui confier son test d’intrusion (pentest) ?

Mettez le test de pénétration entre les mains d’une entreprise qui possède une forte maîtrise dans ce domaine. Un prestataire professionnel et de confiance qui a connaissance des différents matériels et technologies du marché et qui a surtout de l’expérience en la matière. Nous vous recommandons la SSII Maltem Consulting Group.

Merci de nous avoir lu jusqu’ici et nous espérons que cet article vous aura apporté des éléments de réponses aux questions que vous vous posiez sur le test d’intrusion. 😊

Visitez le Blog - tech, méthodes et dernières actus.