Lors d’un Pentest, en anglais « Pentration Test » et en francais « test d’intrusion », les systèmes ou les réseaux informatiques sont soumis à un test complet visant à déterminer la sensibilité aux attaques. Un pentest utilise des méthodes et techniques utilisées par de vrais attaquants ou pirates.
À l’aide d’un test de pénétration, souvent appelé pentest, les experts en informatique utilisent des attaques ciblées pour détecter la sensibilité des réseaux ou des systèmes informatiques aux tentatives de cambriolage et de manipulation. Ils utilisent des méthodes et techniques similaires à celles utilisées par les pirates informatiques ou les pirates pour pénétrer dans un système sans autorisation.
Un pentest peut être utilisé pour découvrir des faiblesses et mieux évaluer les risques potentiels. Au cours du test de pénétration complet, un enregistrement détaillé de toutes les mesures mises en œuvre est effectué. Un rapport final identifie les vulnérabilités identifiées et les solutions pour améliorer les niveaux de sécurité informatique. L’élimination des vulnérabilités et l’exécution de mesures de renforcement informatique ne font pas partie du test d’intrusion. La portée des tests est basée sur le potentiel de risque respectif d’un système, d’une application ou d’un réseau. Les systèmes exposés à des risques élevés, tels que les serveurs Web accessibles au public, sont généralement soumis à des tests plus approfondis que les applications internes sans grande pertinence systémique.
Les objectifs d’un test d’intrusion
L’objectif principal du pentest est d’identifier les vulnérabilités des réseaux et des ordinateurs au niveau technique et organisationnel et de les documenter dans un rapport détaillé. Toutefois, la correction des points faibles constatés incombe au client ou à l’exploitant des systèmes informatiques examinés. La mise en œuvre des mesures recommandées pour remédier aux vulnérabilités identifiées améliorera la sécurité des systèmes sous enquête. Les actions correctives possibles peuvent inclure la formation du personnel, la dotation en personnel, la fermeture d’un système ou l’installation de corrections et de mises à jour. Dans la mesure où un test d’intrusion n’est pas une surveillance continue du système informatique, il peut être compris comme une sorte d’instantané de l’état de la sécurité. Les tests de pénétration d’ingénierie sociale font souvent partie des tests effectués. On tente d’accéder à des informations ou à des possibilités d’accès avec l’aide du personnel interne d’ingénierie sociale. L’objectif des tests est de détecter les faiblesses internes de l’entreprise, auxquelles il est possible de remédier en informant et en informant les employés, par exemple.
Aspects légaux des tests d’intrusion
Avant d’effectuer des tests d’intrusion, l’organisation effectuant le test doit avoir le consentement de l’organisation testée. Sans un tel accord, les pentests sont illégaux et peuvent constituer une infraction pénale. Dans le cas d’une déclaration de consentement, le test ne peut concerner que des objets relevant de la compétence réelle de l’organisation testée. Aucun système informatique ou réseau tiers ne peut être testé. Le client doit préciser avant le test de pénétration quels composants sont concernés. Différents services informatiques utilisés, différents services cloud et diverses relations contractuelles relatives à l’utilisation de matériel et de logiciels peuvent rendre cette clarification plus difficile.
Délimitation des termes analyse de vulnérabilité, analyse de vulnérabilité ou de sécurité et test de pénétration
L’analyse de vulnérabilité est un terme générique et peut inclure des analyses de vulnérabilité ou de sécurité, ainsi que des tests d’intrusion. Contrairement aux tests de pénétration, la mise en œuvre d’analyses de vulnérabilité ou de sécurité est automatisée. Les systèmes sont vérifiés en exécutant automatiquement des programmes contre les problèmes connus et les vulnérabilités de sécurité .
En revanche, les tests de pénétration ne sont guère automatisés et ont lieu après une collecte d’informations importante, souvent manuelle. Il est personnalisé et adapté au système testé. La planification, la mise en œuvre et la sélection des outils à utiliser sont beaucoup plus compliquées dans un test. Cela permet d’identifier une vulnérabilité de sécurité auparavant inconnue au moyen d’un test d’intrusion. Des outils de piratage spéciaux et des méthodes d’attaque exécutées manuellement sont utilisés. Un test de pénétration doit être compris comme une partie empirique d’une analyse de vulnérabilité générale.
