Planifier un pentest et l’exécuter
Les tests de pénétration (aussi appelés tests d’intrusion ou pentests) sont des moyens efficaces pour évaluer la sécurité de votre réseau et de vos applications. Ils permettent de découvrir les vulnérabilités potentielles et de les corriger avant qu’elles ne soient exploitées par des cybercriminels. Cependant, pour que le pentest soit efficace, il est important de planifier et d’exécuter le test de manière appropriée.
Étape 1: Définir les objectifs de sécurité
Avant de planifier le pentest, il est important de définir les objectifs de sécurité que vous voulez atteindre. Cela peut inclure la protection des données sensibles, la prévention des attaques malveillantes, etc. Les objectifs de sécurité détermineront les types de tests à effectuer et les ressources nécessaires pour les exécuter. Il est également possible que le pentest soit un moyen efficace de prouver que votre solution est sécurisée notamment dans le cadre de normes ou de certifications externes.
Étape 2: Évaluer les systèmes et les applications cibles
Avant de commencer le pentest, il est important d’évaluer les systèmes et les applications cibles. Cela peut inclure la collecte d’informations sur les systèmes, les applications, les bases de données, les réseaux, etc. Les informations collectées seront utilisées pour planifier les tests de manière appropriée.
Lors de cette première phase, il sera défini le périmètre avec les différentes informations associées . Par exemple : le nombre d’IP actives dans le périmètre de tests , le type d’environnements présents (postes utilisateurs, serveurs Linux, équipements industriels …),la présence d’équipements atypiques/legacy (MainFrames, AS400 …), les mesures de sécurité en place (FW / IPS / Equipe SOC …) ainsi que les moyens de connexions.
En fonction du périmètre, il existe plusieurs types de pentest adaptés à chaque situation.
Étape 3: Sélectionner les outils et les techniques de test
Une fois que vous avez évalué les systèmes et les applications cibles, il est important de sélectionner les outils et les techniques de test appropriés. Cela peut inclure la sélection de logiciels de test de pénétration ou encore la sélection de méthodes manuelles. Les outils et les techniques sélectionnés dépendent de vos objectifs de sécurité et de l’environnement cible.
Étape 4: Planifier les tests
Maintenant que vous avez défini vos objectifs pour conduire le pentest adapté en évaluant les systèmes et les applications cible, il est temps de planifier le test d’intrusion. Seront pris en compte les dates de début et de fin, la définition des ressources nécessaires pour exécuter les pentests, la définition des autorisations requises, etc…
Étape 5: Exécution des tests
Une fois que vous avez planifié votre test d’intrusion, il est temps de l’exécuter en utilisant les outils et les techniques pour détecter les vulnérabilités. Il est important de suivre les protocoles de sécurité appropriés pour garantir que les tests de pénétration se déroulent en toute sécurité.
Cette étape est constituée de vérifications automatisées puis manuelles. La réalisation suit les principes clés suivants :
- Etudes des processus d’authentifications et d’autorisation
- Manipulation des codes clients pour valider la bonne résistance des contrôles de sécurité contre les injections de code malicieux ou les erreurs de saisies
- Manipulation des états maintenant les sessions pour vérifier le bon cloisonnement des processus d’autorisation (séparation des rôles, résistances à l’élévation de privilège…)
- Estimation des menaces appliquées aux données lors des échanges d’information sur le ou les réseaux (interception, modification et rejets)
- Enumération et étude détaillée des interactions entre les applications et ces modules, entre l’application et le système.
Étape 6: Analyse des résultats
Après l’exécution d’un pentest, il est temps d’analyser les résultats. L’analyse inclut la classification des vulnérabilités en fonction de leur gravité, la priorité de correction et la recommandation de correctifs. Il est important d’impliquer les équipes informatiques et de sécurité pour évaluer les résultats et prendre les mesures nécessaires pour corriger les vulnérabilités détectées.
Étape 7: Correction des vulnérabilités
Une fois les vulnérabilités détectées, il est important de les corriger pour renforcer la sécurité de votre système. Cela peut inclure la mise en œuvre de correctifs logiciels, la modification des configurations, la mise en œuvre de politiques de sécurité, etc. Il est important de vérifier les correctifs pour s’assurer qu’ils fonctionnent correctement.
Conclusion :
En conclusion, les phases de plannification et d’exécution d’un pentest sont essentielles pour garantir la sécurité de votre système. En suivant les étapes décrites ci-dessus, vous pouvez planifier et exécuter un test d’intrusion de manière efficace pour détecter les vulnérabilités et renforcer la sécurité de votre système. N’oubliez pas d’impliquer toutes les équipes informatiques et de sécurité pour évaluer les résultats et prendre les mesures nécessaires pour corriger les vulnérabilités détectées.
Author
Antoine Labbe
Antoine, CTO d'Intuity, spécialisé dans les tests d'intrusion (certifié OSCP) intervient régulièrement pour assurer la sécurité de grands groupes en tant qu'expert cybersécurité.