5 octobre 2021
Des tests d’intrusions pour prévenir les cyberattaques
Auteur : FJ Hubert
Rédacteur Technique
Vumetric
fjhubert@vumetric.com
Selon l’Autorité Canadienne pour les enregistrements Internet (CIRA), 45 % des entreprises canadiennes ont effectué un test d’intrusion en 2020 dans le but de prévenir de futures cyberattaques. De plus en plus d’organisations introduisent désormais les tests d’intrusions dans leur stratégie annuelle de gestion de risque, puisqu’ils permettent à celle-ci de corriger les vulnérabilités inhérentes à leurs technologies. De plus, certains standards exigent la réalisation annuelle de tests d’intrusions spécifiques afin de maintenir le certificat de conformité à la norme.
Un test d’intrusion, également connu sous le nom de « Pentest », est une analyse spécialisée dont le but est d’identifier et de valider la présence de faiblesses et de vulnérabilités de sécurité au sein des systèmes informatiques et des composantes d’une organisation. Dépendamment des technologies utilisées par une entreprise, différents types de tests d’intrusions peuvent être utilisés afin de la sécuriser adéquatement contre les pirates informatiques.
Principaux types de tests d’intrusion
Les tests d’intrusions existent sous différentes formes, mais visent tous le même objectif précis : répliquer une véritable cyberattaque en utilisant les mêmes techniques que les pirates afin de fournir des recommandations concrètes pour prévenir les incidents. Certains types sont priorisés, puisqu’ils offrent un meilleur retour sur l’investissement et permettent de prévenir les attaques les plus communes. Voici les tests les plus couramment utilisés en 2021 :
Test d’Intrusion Externe
Un test d’intrusion externe cible toutes les composantes réseau d’une entreprise qui sont accessibles de l’internet public, tel que le serveur utilisé par votre site web. Puisque les attaquants ont accès à de puissants outils qui permettent de balayer continuellement les systèmes d’entreprises à travers le web, la majorité des organisations priorisent ce test pour corriger les risques les plus importants d’être atteint par une cyberattaque. Les menaces externes représentent près de 30 % de tous les cyberrisques auxquels les organisations sont confrontées.
Effectuer un test externe sur une base annuelle est également requis pour se conformer à diverses normes, telles que PCI-DSS[i] ou SOC 2[ii].
[i] Norme de sécurité des données de l'industrie des cartes de paiement : https://fr.pcisecuritystandards.org/minisite/env2/ [ii] System and Organization Controls (contrôles des systèmes et des organisations). Processus de certification créé par l’American Institute of Certified Public Accountants (AICPA)
Test d’Intrusion Interne
Un test d’intrusion interne cible toutes les composantes réseau d’une entreprise uniquement accessible de l’interne, tel que le réseau utilisé par votre bureau corporatif. Il reproduit une attaque provenant, par exemple, d’un employé mal intentionné qui tente de s’infiltrer dans votre infrastructure interne sans autorisation. Les tests internes sont particulièrement utiles pour les entreprises ayant une stratégie plus évoluée en matière de cybersécurité et qui effectuent déjà des évaluations externes sur une base régulière.
Normalement, ce type de test doit obligatoirement être réalisé sur place, car les réseaux internes ne peuvent être accédés autrement, ce qui peut générer des frais supplémentaires. Un enjeu qui a été résolu par notre équipe avec la mise en œuvre d’un appareil de test d’intrusion interne à distance. Réaliser un test interne est également une exigence de divers standards, tels que PCI-DSS.
Test d’Intrusion Applicatif
Un test d’intrusion applicatif cible les sites web, les applications mobiles (iOS et Android) ainsi que les applications web et les APIs. Ce type d’évaluation tente de manipuler chaque action pouvant être effectuée dans une application afin de contourner les mécanismes d’autorisation et de sécurité. Ces tests sont basés sur le standard de l’OWASP qui fournit plus de 60 contrôles spécifiques à tester, permettant d’identifier les risques de sécurité dans toute fonctionnalité comprise dans les applications modernes. La réalisation de ce type de test est également requise par la norme PCI pour toute application traitant des données de carte de crédit qui désire stocker l’information à l’interne.
Audit de cybersécurité
Les audits de cybersécurité s’intéressent à l’organisation de manière globale afin d’identifier les principales lacunes de cybersécurité, tous domaines confondus. Ils permettent aux entreprises de bonifier leur posture en sécurité de manière plus efficace en analysant les différentes mises en œuvre de leurs technologies et de leurs mesures de sécurité. Ils se distinguent des tests d’intrusions, puisque leur approche offre un meilleur retour sur l’investissement, mais visent le même objectif : identifier et corriger les failles de sécurité. Plutôt que de tester vos systèmes du point de vue d’un pirate en simulant une attaque, les audits de sécurité sont généralement effectués avec un accès direct aux technologies et leurs configurations, permettant de vérifier si elles sont conformes aux bonnes pratiques de sécurité. Il s’agit d’une solution particulièrement rentable pour les entreprises désirant sécuriser leurs systèmes avec une meilleure efficacité.
Test d’hameçonnage
Un test d’hameçonnage, également connu sous le nom de « Phishing » ou d’ingénierie sociale, cible le facteur humain dans une organisation. L’hameçonnage est souvent envoyé sous la forme de courriels frauduleux distribués en masse par les pirates avec objectif de convaincre leur destinataire d’effectuer une action précise. Ils reproduisent généralement une source connue et fiable pour l’interlocuteur afin d’être le plus convaincants possible. Par exemple, au début de la pandémie, des courriels d’hameçonnage répliquant l’organisation mondial de la santé invitaient les utilisateurs à s’inscrire à un essai clinique de vaccin en téléchargeant une pièce jointe qui dissimulait un rançongiciel (ransomware). Le virus se distribuait ainsi à l’ensemble des autres postes de travail disponibles sur le réseau corporatif afin de les chiffrer et d’exiger une rançon. Selon un rapport récemment publié, l’hameçonnage serait à la source d’environ 91 % de toutes les cyberattaques.
Les tests d’hameçonnage sont particulièrement efficaces pour prévenir l’ingénierie sociale dans une organisation, puisqu’ils permettent de simuler un réel scénario d’hameçonnage pour identifier les employés plus susceptibles d’être convaincus par ces courriels. De cette manière, vous obtiendrez des statistiques sur les risques d’hameçonnage dans votre entreprise et vous serez en mesure d’offrir des formations de cybersécurité adaptées pour ceux qui ont été déjoués.
Tests d’intrusions sur mesure
Bien que les tests d’intrusions mentionnés dans cet article soient les plus utilisés par les entreprises, des mandats sur mesure sont également disponibles pour les organisations avec des besoins plus précis. Les tests peuvent, par exemple, cibler les usines intelligentes et la robotisation afin de s’assurer qu’aucune menace ne puisse compromettre la chaine de production. De plus, ils peuvent cibler les appareils intelligents (IoT) utilisés dans divers contextes, tels que les appareils médicaux pour le soin de patients.
Pour toute information concernant les tests d’intrusions, l’équipe de Vumetric est à votre disposition pour répondre à vos questions. N’hésitez pas à contacter leurs experts pour en savoir plus sur les coûts, leur approche et pour planifier votre prochain test.