Tests de pénétration

Les tests de pénétration, ou « pen tests » sont des violations de la sécurité simulées. Ils imitent des pirates informatiques malveillants qui obtiennent un accès non autorisé aux systèmes de l’entreprise. Bien entendu, ils ne causent aucun préjudice réel. Ils utilisent les résultats de leurs tests pour aider l’entreprise à se défendre contre de vrais cybercriminels.

Ces tests se déroulent en trois étapes :

1. Reconnaissance

Au cours de la phase de reconnaissance, ils recueillent des informations sur les ordinateurs, les appareils mobiles, les applications Web, les serveurs Web et d’autres actifs du réseau de l’entreprise. Cette étape est parfois appelée « footprinting » parce qu’ils cartographient l’ensemble de l’empreinte du réseau.

Ils utilisent des méthodes manuelles et automatisées pour effectuer cette reconnaissance. Ils peuvent analyser les profils sur les réseaux sociaux des employés et les pages GitHub à la recherche d'indices. Ils peuvent utiliser des outils comme Nmap pour rechercher des ports ouverts et des outils tels que Wireshark pour inspecter le trafic réseau. Si la société le permet, ils peuvent utiliser des tactiques d'ingénierie sociale pour inciter les employés à partager des informations sensibles.

2. Mettre en scène l'attaque

Une fois qu’ils ont compris les limites du réseau, et les vulnérabilités qu’ils peuvent exploiter, ils piratent le système. Ils peuvent employer une variété d’attaques en fonction de la portée du test. Voici quelques-unes des attaques les plus fréquemment testées :

– Injections SQL : ils tentent de faire en sorte qu'une page web ou une application divulgue des données sensibles en introduisant un code malveillant dans les champs de saisie.

— Cross-site scripting : ils essaient d'insérer du code malveillant sur le site Web d'une entreprise.

– Attaques par déni de service : ils tentent de déconnecter des serveurs, des applications et d’autres ressources réseau en les inondant de trafic.

— Ingénierie sociale : ils ont recours aux attaques par phishing, au baiting, à certains prétextes ou à d'autres tactiques pour inciter les employés à compromettre la sécurité du réseau.

Au cours de l'attaque, ils explorent la manière dont les pirates malveillants pourraient exploiter les vulnérabilités existantes et comment ils pourraient se déplacer dans le réseau une fois à l'intérieur. Ils découvrent à quels types de données et d'actifs les pirates informatiques peuvent accéder. Ils testent également si les mesures de sécurité existantes peuvent détecter ou empêcher leurs activités.

À la fin de l'attaque, ils couvrent leurs traces. Cela répond à deux objectifs. Tout d'abord, ils illustrent comment les cybercriminels peuvent se cacher dans un réseau. Deuxièmement, ils empêchent les pirates malveillants de les suivre secrètement dans le système.

3. Rapports

Les pirates éthiques documentent toutes leurs activités pendant le piratage. Ils présentent ensuite à l’équipe chargée de la sécurité de l’information un rapport décrivant les vulnérabilités qu’ils ont exploitées, les actifs et les données auxquels ils ont eu accès et la manière dont ils ont contourné les systèmes de sécurité. Ils formulent également des recommandations pour prioriser et résoudre ces problèmes.

Evaluation des vulnérabilités

L’évaluation des vulnérabilités est comme un test de pénétration, mais elle ne va pas jusqu’à exploiter les vulnérabilités. Au lieu de cela, les pirates éthiques utilisent des méthodes manuelles et automatisées pour trouver, catégoriser et hiérarchiser les vulnérabilités d’un système. Ensuite, ils partagent leurs découvertes avec l’entreprise.

Analyse des logiciels malveillants

Certains pirates éthiques se spécialisent dans l'analyse des souches de ransomware et de logiciels malveillants. Ils étudient les nouvelles versions de logiciels malveillants pour comprendre leur fonctionnement et partagent leurs conclusions avec les entreprises et la communauté de la sécurité de l'information dans son ensemble.

Gestion des risques

Les pirates informatiques peuvent également contribuer à la gestion des risques stratégiques de haut niveau. Ils peuvent identifier les menaces nouvelles et émergentes, analyser l’impact de ces menaces sur la posture de sécurité de l’entreprise et aider cette dernière à élaborer des mesures de prévention.