Un pentest, c'est quoi ?

Un test d'intrusion, ou encore pentest, est une méthode qui consiste à analyser une cible en se mettant dans la peau d'un attaquant (connu aussi sous le nom de hacker malveillant ou pirate). Cette cible peut être :

  • une IP
  • une application
  • un serveur web
  • un réseau complet

Pourquoi faire des tests d'intrusion ?

Les objectifs sont clairs :

  • identifier les vulnérabilités de son SI ou de son application
  • évaluer le degré de risque de chaque faille identifiée
  • proposer des correctifs de manière priorisée

Grâce au test d'intrusion, nous pouvons qualifier :

  • la sévérité de la vulnérabilité,
  • la complexité de la correction,
  • et l'ordre de priorité qu'il faut donner aux corrections.

Caractéristiques du test d'intrusion

  • Durée du test : Généralement entre 5 et 15 jours ouvrables (selon la cible, le contexte et le périmètre)
  • Conditions du test :
    • Boîte noire : le pentesteur n'a aucune information sur le réseau cible au début du test et ne connaît aucun nom d'utilisateur ni mot de passe
    • Boîte grise : en général, le testeur dispose uniquement d'un couple identifiant / mot de passe que l'entreprise cible lui a fourni avant de démarrer la phase de test.
    • Boîte blanche : le pentesteur peut être en possession de nombreuses informations (les schémas d'architecture, un compte utilisateur permettant de s'authentifier, le code source de l'application)
  • Lieu de la prestation : Le test d'intrusion s'effectue :
    • En externe : sur ce type d'intrusion, le pentesteur est placé sur Internet (dans les locaux de NoHackMe). Il est donc dans la situation où un pirate tenterait de pénétrer dans l'entreprise à partir de l'extérieur. L'adresse IP publique de la connexion internet du pentesteur et l'adresse IP publique de la connexion internet de l'entreprise sont utilisées dans ce scénario.
    • En interne : le pentesteur est sur le réseau interne de l'entreprise si la cible du test n'est accessible que depuis le réseau interne.
  • Horaires : Les tests d'intrusion sont réalisés en journée (de 9h à 17h30) et exceptionnellement la nuit et le weekend (en option)

Le rapport de test d'intrusion

Le rapport d'audit complet sera livré au format PDF, en français. Ce document est confidentiel et comprend :

  • Un sommaire : pour une meilleure appréhension de la structure et faciliter sa lecture
  • Le contexte et le périmètre : un rappel de la raison pour laquelle le test a été effectué, et le périmètre du test d'intrusion, par exemple les adresses IP qui ont été testées
  • Les conditions du test : boîte noire, boîte grise, boîte blanche
  • La méthodologie : il existe de nombreuses méthodologies de test d'intrusion (OWASP, Penetration Testing Execution Standard, etc…)
  • Les axes d'évaluation : rappel des 3 axes d'évaluation utilisés pour qualifier les vulnérabilités
  • Les résultats du test : la plupart du temps sous forme de tableau, il est présenté comme un listing des vulnérabilités trouvées, avec les différentes informations les qualifiantes.
  • Une synthèse : pour les lecteurs qui veulent juste avoir un aperçu de la sécurité sans lire l'intégralité du rapport

Les différentes étapes

1 Prise de contact (par mail)
2 Echange téléphonique pour définir le cadre du projet
3 Rédaction d'une proposition commerciale
4 Réunion d'initialisation (par téléphone ou sur site)
5 Réalisation du test d'intrusion (à distance ou sur site)
6 Remontée immédiate des vunérabilités (critique ou majeure)
7 Livraison du rapport

Le re-test

Une fois la livraison du rapport effectuée, un plan d'action pour corriger les vulnérabilités éventuelles devra être mis en place. Pour s'assurer que toutes les corrections ont été apportées, il est conseillé d'effectuer un deuxième test de vulnérabilité que l'on appelle couramment un "re-test". Celui-ci sera plus rapide et n'a pour but qu'une vérification des corrections. Mais attention, si le délai est trop long (plus de 6 mois) entre le premier test et le re-test, il est conseillé d'effectuer un test complet.

Quelle fréquence entre chaque test ?

Il est recommandé d'effectuer des tests de manière annuelle. Cela permet de vous assurer de la bonne santé de votre système d'information. Cependant, pour certains secteurs sensibles (type "bancaires"), la réglementation est plus drastique et ces établissements sont soumis aux règles PCI DSS (Payment Card Industry Data Securité Standard).

Pour toute question ou information supplémentaire, n'hésitez-pas à nous contacter via notre formulaire de contact.