Qu’est-ce qu’un test d’intrusion (pentest) ?
Un test d’intrusion est une simulation d’attaque planifiée contre un environnement informatique afin d’y identifier des vulnérabilités potentielles.
Le pentesting a pour objectif de découvrir des vulnérabilités en utilisant des «pirates éthiques» et de les corriger avant que des hackers «blackhat» (= criminels) ne les trouvent et les exploitent.
L’activité de pentest, au sens large, peut viser plusieurs cibles:
- Site Web (application Web): comme un site Web d’entreprise, une application ERP, une application RH, ..
- Une API (intégration application to application)
- Un app mobile (Android, IOS, ..)
- Datacenters: appelée également une “analyse de vulnérabilités” – l’objectif est de scanner les serveurs du datacenter et d’y trouver des vulnérabilités
- Partie infrastructure spécifique (comme la station de travail, infrastructure sans fil, environnement de téléphonie, la ségrégation entre 2 réseaux..)
Il existe d’autres types de services qui sont liées de manière générale à l’activité de test d’intrusion “pentest”:
- Audit des règles de pare-feu: assurez-vous que les pare-feu sont bien configurés
- Audit des serveurs: assurez-vous que les serveurs sont bien configurés
- Audits basés sur ISO27001: regardez la sécurité en général, non seulement l’infrastructure (technique), mais aussi tous les processus (par exemple, vérifiez les antécédents lorsque quelqu’un est embauché, assurez-vous que les employés signalent les incidents, assurez-vous qu’il existe une solution pour bloquer le vol) smartphones ..)
- Red teaming
- Blue teaming (avec en autre de la relecture de code source « Secure code review »)
Quelles industries ou clients font-ils le plus souvent appel aux service de pentesting ?
Banques et organismes financiers
Les organismes financiers sont généralement fortement incités à réaliser des pentests en vue des
1) Politiques internes, polices de sécurité (ISMS)
2) Règlements et « compliance »
Les banques gèrent de l’argent. Ils sont fréquemment la cible de cyberattaques.
Les banques ont un environnement difficile; mélange d’anciennes et de nouvelles technologies
La plupart des banques tentent de tester tous les actifs critiques et toutes les applications accessibles depuis l’Internet.
Compagnie d’assurance
Les compagnies d’assurance font généralement des pentests de toutes les applications Internet.
Éditeurs de logiciels
Toutes les entreprises qui écrivent des logiciels planifient la plupart des temps un pentest annuel.
Nous travaillons avec des entreprises de toutes tailles: de gros éditeurs logiciels comme des plus petits acteurs où le développement logiciel représente une activité accessoire.
Cette activité a pour but d’améliorer la sécurité de leurs propres produits. De plus, c’est fréquent demandé par les clients (rapports annuels) ou comme exigence dans la réponse à des marchés publics ou privés (‘Tender »).
Sociétés sous-traitantes de groupes importants et de multinationales
Nous avons reçu des demandes de la part de sociétés comptables, d’armement, de traduction, d’agences publicitaires,… Toutes ces entreprises travaillent avec de grands acteurs (des multinationales, des gouvernements). Ces grands acteurs obligent leurs partenaires à sécuriser leurs données.
En cas d’incident (par exemple « data leak » suite à des failles logicielles) de la part du sous-traitant en manipulant les données de ses clients, cela aura également un impact sur les données des grands acteurs.
De plus, dans le cadre du GDPR, une part de responsabilité est imputable au « controller ». Ce dernier doit donc veiller que son sous-traitant met en place des mesures de sécurité proportionnelles aux risques. L’activité de pentest et surtout le rapport du pentest joue un rôle important dans la protection « en bon père de famille » de l’environnement IT.
Dans le cadre de NIS2, la société est tenue de vérifier le niveau de cybersécurité de ces sous-traitants, ceci fait partie de la « supply chain cybersecurity ». Un rapport pentest est couramment utilisé à cette fin. Ce rapport inclut habituellement l’infrastructure et/ou la partie web (surtout pour les SaaS, extranet, intégration ou échanges de de données via API,..).