Lors d’un Pentest, en anglais « Pentration Test » et en francais « test d’intrusion », les systèmes ou les rĂ©seaux informatiques sont soumis Ă un test complet visant Ă dĂ©terminer la sensibilitĂ© aux attaques. Un pentest utilise des mĂ©thodes et techniques utilisĂ©es par de vrais attaquants ou pirates.
Ă€ l’aide d’un test de pĂ©nĂ©tration, souvent appelĂ© pentest, les experts en informatique utilisent des attaques ciblĂ©es pour dĂ©tecter la sensibilitĂ© des rĂ©seaux ou des systèmes informatiques aux tentatives de cambriolage et de manipulation. Ils utilisent des mĂ©thodes et techniques similaires Ă celles utilisĂ©es par les pirates informatiques ou les pirates pour pĂ©nĂ©trer dans un système sans autorisation.
Un pentest peut ĂŞtre utilisĂ© pour dĂ©couvrir des faiblesses et mieux Ă©valuer les risques potentiels. Au cours du test de pĂ©nĂ©tration complet, un enregistrement dĂ©taillĂ© de toutes les mesures mises en Ĺ“uvre est effectuĂ©. Un rapport final identifie les vulnĂ©rabilitĂ©s identifiĂ©es et les solutions pour amĂ©liorer les niveaux de sĂ©curitĂ© informatique. L’Ă©limination des vulnĂ©rabilitĂ©s et l’exĂ©cution de mesures de renforcement informatique ne font pas partie du test d’intrusion. La portĂ©e des tests est basĂ©e sur le potentiel de risque respectif d’un système, d’une application ou d’un rĂ©seau. Les systèmes exposĂ©s Ă des risques Ă©levĂ©s, tels que les serveurs Web accessibles au public, sont gĂ©nĂ©ralement soumis Ă des tests plus approfondis que les applications internes sans grande pertinence systĂ©mique.
Les objectifs d’un test d’intrusion
L’objectif principal du pentest est d’identifier les vulnĂ©rabilitĂ©s des rĂ©seaux et des ordinateurs au niveau technique et organisationnel et de les documenter dans un rapport dĂ©taillĂ©. Toutefois, la correction des points faibles constatĂ©s incombe au client ou Ă l’exploitant des systèmes informatiques examinĂ©s. La mise en Ĺ“uvre des mesures recommandĂ©es pour remĂ©dier aux vulnĂ©rabilitĂ©s identifiĂ©es amĂ©liorera la sĂ©curitĂ© des systèmes sous enquĂŞte. Les actions correctives possibles peuvent inclure la formation du personnel, la dotation en personnel, la fermeture d’un système ou l’installation de corrections et de mises Ă jour. Dans la mesure oĂą un test d’intrusion n’est pas une surveillance continue du système informatique, il peut ĂŞtre compris comme une sorte d’instantanĂ© de l’Ă©tat de la sĂ©curitĂ©. Les tests de pĂ©nĂ©tration d’ingĂ©nierie sociale font souvent partie des tests effectuĂ©s. On tente d’accĂ©der Ă des informations ou Ă des possibilitĂ©s d’accès avec l’aide du personnel interne d’ingĂ©nierie sociale. L’objectif des tests est de dĂ©tecter les faiblesses internes de l’entreprise, auxquelles il est possible de remĂ©dier en informant et en informant les employĂ©s, par exemple.
Aspects lĂ©gaux des tests d’intrusion
Â
Avant d’effectuer des tests d’intrusion, l’organisation effectuant le test doit avoir le consentement de l’organisation testĂ©e. Sans un tel accord, les pentests sont illĂ©gaux et peuvent constituer une infraction pĂ©nale. Dans le cas d’une dĂ©claration de consentement, le test ne peut concerner que des objets relevant de la compĂ©tence rĂ©elle de l’organisation testĂ©e. Aucun système informatique ou rĂ©seau tiers ne peut ĂŞtre testĂ©. Le client doit prĂ©ciser avant le test de pĂ©nĂ©tration quels composants sont concernĂ©s. DiffĂ©rents services informatiques utilisĂ©s, diffĂ©rents services cloud et diverses relations contractuelles relatives Ă l’utilisation de matĂ©riel et de logiciels peuvent rendre cette clarification plus difficile.
Délimitation des termes analyse de vulnérabilité, analyse de vulnérabilité ou de sécurité et test de pénétration
L’analyse de vulnĂ©rabilitĂ© est un terme gĂ©nĂ©rique et peut inclure des analyses de vulnĂ©rabilitĂ© ou de sĂ©curitĂ©, ainsi que des tests d’intrusion. Contrairement aux tests de pĂ©nĂ©tration, la mise en Ĺ“uvre d’analyses de vulnĂ©rabilitĂ© ou de sĂ©curitĂ© est automatisĂ©e. Les systèmes sont vĂ©rifiĂ©s en exĂ©cutant automatiquement des programmes contre les problèmes connus et les vulnĂ©rabilitĂ©s de sĂ©curité .
En revanche, les tests de pĂ©nĂ©tration ne sont guère automatisĂ©s et ont lieu après une collecte d’informations importante, souvent manuelle. Il est personnalisĂ© et adaptĂ© au système testĂ©. La planification, la mise en Ĺ“uvre et la sĂ©lection des outils Ă utiliser sont beaucoup plus compliquĂ©es dans un test. Cela permet d’identifier une vulnĂ©rabilitĂ© de sĂ©curitĂ© auparavant inconnue au moyen d’un test d’intrusion. Des outils de piratage spĂ©ciaux et des mĂ©thodes d’attaque exĂ©cutĂ©es manuellement sont utilisĂ©s. Un test de pĂ©nĂ©tration doit ĂŞtre compris comme une partie empirique d’une analyse de vulnĂ©rabilitĂ© gĂ©nĂ©rale.