Qu'est-ce que le pentesting en cybersécurité ?

Le pentesting est plus qu'un audit de sécurité qui en est d'ailleurs une composante. Il diffère de l'audit, car ce dernier permet uniquement d'avoir une vue d'ensemble de la sécurité du système d'information (SI).

Par contre, le test d'intrusion sert à évaluer l'exploitabilité de chacune des vulnérabilités qu'aurait détecté un audit de sécurité ou un scan de vulnérabilité. Cela s'avère essentiel pour renforcer la sécurité informatique d'une société face aux attaques. C'est pour cette raison que les pentesters (auditeurs) ont particulièrement la cote et sont recherchés dans les entreprises.

Pentesting : principe et origines

Les attaques informatiques constituent de véritables dangers pour les entreprises. Elles permettent à leurs auteurs de voler et de détourner des informations afin d'escroquer leurs victimes ou de détruire leurs SI. Les techniques d'attaque des hackers sont de plus en plus sophistiquées. D'après le rapport X-Force Threat Intelligence Index 2020 d'IBM, 60% des cyberattaques font usage de données d'identification volées ou des vulnérabilités logicielles détectées en amont. Le pentesting permet de se prémunir contre les différentes sortes d'intrusion dans un SI.

En cybersécurité, le test de pénétration est une activité d'une importance capitale, car il permet d'éviter les vols de données. En fait, les pirates surfent sur les entrées et sorties de données afin de s'introduire dans un SI. Le pentesting a pour objectif de simuler l'action de l'attaquant afin de savoir à quels niveaux se situent les défaillances et comment y remédier. Les professionnels de la cybersécurité qui maîtrisent le pentesting sont très demandés par les industries, les multinationales, les grands groupes, etc.

Depuis plusieurs décennies, le test d'intrusion s'est révélé comme indispensable pour sécuriser les systèmes d'information. Les origines de cette technique remontent à une conférence organisée par la société américaine de logiciels, System Development Corporation (SDC), en juin 1965. Cette conférence fut convoquée pour traiter de la crise informatique qui était en cours aux États-Unis. En marge de cette rencontre, un agent du SDC a effectué une intrusion dans le système de la société.

Le simulateur a contourné la structure, la protection de l'ordinateur AN/FSQ-32 (construit par IBM) ainsi que toutes les protections de sécurité supplémentaires. À l'époque, il n'y avait que deux modèles de cet ordinateur et l'un était utilisé par la Central Intelligence Agency. L'impact de cette intrusion informatique fut donc sans appel. En 1967, le mot "penetration" a été choisi pour définir la violation d'un système de sécurité. Le gouvernement américain s'est impliqué dans le travail des professionnels de l'informatique et a formé des équipes pour étudier les pénétrations. Plus tard, dans les années 1970, le mot "pentesting" a été créé pour désigner la pénétration des ordinateurs.

‍

Les différents types de pentesting

Le test d'intrusion s'effectue sur différentes cibles. Il est ainsi classé en plusieurs types. Il y a notamment les tests :

• de services réseau
• d'applications web
• d'ingénierie sociale
• de réseaux sans fil

Le pentesting sur les services réseau consiste à effectuer une étude de filtrage appelée Stafeful afin d'analyser la configuration du pare-feu. Son but est de détecter les vulnérabilités des services réseau qui fragilisent la sécurité du système. Quant au test d'applications web, cela permet de savoir si une page d'un site web est attaquée et d'en identifier la cause, le cas échéant. En ce qui concerne le pentesting d'ingénierie sociale, c'est une analyse qui consiste à déterminer tous les points d'accès au système et à les renforcer contre les intrusions.

Pour sa part, le test de pénétration de réseaux sans fil permet d'analyser en profondeur ces derniers. Cette analyse consiste à étudier les protocoles réseau et leurs points d'accès ainsi que les autorisations pour la gestion des actifs. Il existe d'autres types de pentesting comme celui relatif à l'analyse des logiciels, des navigateurs web des contenus de sites.

Avec une formation en pentesting, il est possible d'acquérir les compétences nécessaires pour réaliser tous les principaux types de tests. Cibles des attaques des hackers, les entreprises d'une certaine envergure ont généralement besoin de professionnels maîtrisant à la lettre le test d'intrusion. Les personnes ayant reçu une bonne formation sur cette technique ont donc de nombreuses opportunités d'emploi.

La méthodologie du pentesting

Le test d'intrusion est une technique qui se déroule suivant une méthodologie qui n'est pas figée, mais dont les points principaux font l'unanimité dans le rang des professionnels. La méthodologie se déroule en plusieurs étapes.

La reconnaissance

La première étape d'un pentesting consiste à collecter des données sur la cible. En fonction de la nature du test, les sources d'informations peuvent varier. Selon le cas, les sources externes accessibles à tous les utilisateurs (moteurs de recherche, réseaux sociaux, Domain Name Service) peuvent être utilisées. L'entreprise soumise au test peut elle-même fournir des informations à l'auditeur ou pentester.

La cartographie

L'étape de la cartographie permet d'effectuer un inventaire des actifs du système d'information ciblé. Au cours de cette phase, le pentester détermine les ports ouverts et identifie les services publiés. La cartographie permet de déterminer et de se focaliser sur les éléments critiques.

La recherche de vulnérabilités

La troisième étape d'un projet de pentesting consiste à analyser les faiblesses des systèmes, sites et applications à partir des données recueillies. Le but est de trouver les vulnérabilités du SI. Le professionnel chargé du pentesting choisit l'outil à utiliser en fonction de la cible. Après détection des vulnérabilités, il est recommandé de les analyser de façon manuelle.

L'exploitation

Les étapes précédentes permettent au pentester de baliser le terrain pour opérer l'intrusion proprement dite. L'auditeur essaie une pénétration du système à travers chaque vulnérabilité détectée. Il adapte les exploits ou POC (Proof Of Concept) à l'infrastructure de l'entreprise cliente.

L'élévation de privilèges

Suite à l'exploitation des défaillances, le professionnel a le privilège de se substituer à l'administrateur du système. Il peut ainsi effectuer toutes sortes de tâches qui sont habituellement du ressort de l'administrateur. Il a, par exemple, la possibilité d'accéder à des dossiers et données sensibles. Pour une opération de red team ou de purpleteam, il doit maintenir ses privilèges et en obtenir d'autres. Dans ce cadre, il doit se montrer prudent et effacer, après la tâche, toute trace de son passage. Pour se reconnecter facilement en tant qu'administrateur sans être remarqué, il est nécessaire de passer par une porte dérobée (backdoor). Il parviendra ainsi à créer des accès à l'équipe du test de pénétration.

La propagation

L'étape de propagation permet de déterminer la portée d'une intrusion. L'opération consiste à étendre la compromission d'un ordinateur aux autres appareils et serveurs du parc informatique. Cela permet d'explorer toutes les possibilités d'accès aux données sensibles de l'entreprise lors d'une éventuelle attaque.

Le nettoyage

Un travail de nettoyage doit être fait après un pentesting afin de rendre au client le SI dans son état d'origine. Le pentester doit effacer les preuves de son action sur le SI. Il ne s'agit pas des traces dans les journaux de log, mais plutôt des portes dérobées, codes encoquillés (webshell) et comptes de privilèges.

Le reporting

La dernière étape d'un pentesting est la présentation d'un rapport détaillé par le professionnel au client. Le document écrit retrace la méthodologie utilisée, les failles du SI découvertes ainsi qu'un plan d'action. Les recommandations indiquées dans le plan d'action doivent être accompagnées d'un planning. Le plan d'action doit tenir compte du retour sur investissement sur le plan sécuritaire. Pour cela, le pentester évalue l'ampleur de la vulnérabilité et le coût de la solution pour l'éviter. L'application de la méthodologie s'apprend lors d'une formation pentesting donnée par des organismes spécialistes.

Les bonnes raisons de faire du pentesting dans son entreprise

Le pentesting est une pratique qui peut paraître risquée pour une entreprise puisqu'elle consiste à attaquer son SI. Cependant, ses avantages sont indéniables et constituent de bonnes raisons d'y recourir.

Corriger les failles

Les cyberpirates ne cessent de perfectionner leurs techniques d'attaques. Il est donc difficile pour une entreprise d'être certaine de la sécurité de son système de façon définitive. Un test de pénétration effectué de temps en temps permettra ainsi de mettre la sécurité du SI à jour et de renforcer les protections. La détection des vulnérabilités de l'entreprise sur le plan informatique permet de les corriger pour faire face au mieux au hacking. La simulation des pénétrations via le pentesting est utile pour avoir une idée des effets d'une intrusion malveillante et des solutions pour l'éviter.

Protéger son entreprise des attaques informatiques

Les attaques via des malwares n'épargnent aucune entreprise. Même des organisations de grande importance ayant un système de sécurité performant en font parfois les frais. Par exemple, en janvier 2015, des pirates ont détourné les comptes Twitter et YouTube du commandement militaire américain au Moyen-Orient. De même, en mai 2017, le monde informatique a été secoué par l'attaque d'environ 300 000 ordinateurs dans 150 pays par WannaCry, un rançongiciel (logiciel malveillant utilisé pour rançonner). Parmi les victimes, il y avait une usine de Renault, la multinationale de télécommunications espagnole Telefónica et l'ensemble du système de santé britannique.

Pour contrer les cyberattaques, il faut effectuer une veille constante. Dans le but d'empêcher tout accès frauduleux à leurs données, les sociétés intègrent donc le pentesting à leur stratégie globale de sécurité. En France, les banques telles que la Société Générale et le Crédit Agricole font partie des clients des professionnels des tests d'intrusion. Il y a également les compagnies d'assurance, les opérateurs de télécommunications, les fournisseurs d'énergie, les sociétés de construction, les entreprises de l'industrie cosmétique, etc. Le pentesting est un moyen de prévention des attaques informatiques, ce qui permet d'éviter leurs fâcheuses conséquences.

Éviter les pertes financières

Un test de pénétration représente un certain coût qui dépend essentiellement de la taille de l'infrastructure ciblée. Cependant, ce coût est négligeable par rapport aux pertes financières que peut induire une intrusion malveillante. D'après une étude d'IBM, une cyberattaque coûte en moyenne 1,42 million de dollars (soit 1,19 million d'euros) à l'entreprise victime. Pour corriger les défaillances après une attaque informatique, il faut dépenser en moyenne 13 millions de dollars selon le géant de l'informatique américain.

Par ailleurs, de nombreuses entreprises comme Wood Ranch Medical ont dû cesser leur activité suite à des cyberattaques. Les pentests constituent un investissement rentable sur le court et le long terme pour une entreprise. Particulièrement utiles, vous ne ferez plus face à de lourdes dépenses en cas d'attaque. C'est le meilleur moyen de sécuriser le SI de son entreprise à moindre coût.

Se mettre aux normes

La loi sur le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis le 25 mai 2018. Elle fait obligation aux entreprises de garantir la sécurité de leurs SI dans le but de réduire les risques de fuite de données personnelles. Si une entreprise est victime d'un hacking, elle doit faire des déclarations sur la perte de données personnelles des clients, partenaires ou collaborateurs.

En cas de tentatives d'attaque, les entreprises doivent mener de toute urgence des actions pour renforcer la sécurité de leurs SI. Le pentesting se présente comme la solution pour respecter les normes en matière de protection des données personnelles. Consistant à simuler une attaque, cette technique permet à toute entreprise de prendre les décisions qui s'imposent afin de renforcer la sécurité de son infrastructure.

L'intérêt de suivre une formation sur la cybersécurité

La cybersécurité est un enjeu capital pour toutes les entreprises. Les professionnels des métiers relatifs à la sécurité informatique sont prisés sur le marché du travail. Les pentesters sont recrutés par de grands groupes, des multinationales, des institutions nationales comme internationales. Ils ne manquent pas d'opportunités d'emploi et sont très bien payés. De façon générale, le domaine de la cybersécurité est considéré à tort comme l'apanage des geeks. Il n'est nullement nécessaire d'être un génie en informatique pour devenir un pentester. Beaucoup de personnes se sont d'ailleurs spécialisées en tests d'intrusion en autodidactes. Une formation sur la cybersécurité rend les compétences dans ce secteur à la portée de tout le monde.

Le suivi de cette formation offre d'énormes chances au candidat dans le monde de l'emploi. C'est d'ailleurs une opportunité pour les personnes qui aspirent à une reconversion professionnelle. Avec un programme d'une quarantaine d'heures à temps partiel ou à temps plein, il est possible de changer rapidement de métier et d'avoir de très solides bases en Cybersécurité.

Si vous souhaitez acquérir les compétences en cybersécurité, n'hésitez pas à regarder la formation en Cybersécurité que Jedha Bootcamp propose.