Les tests de pénétration révèlent à temps les lacunes en matière de sécurité informatique

Ca cybersécurité et la sécurité informatique continuent de figurer parmi les sujets numériques les plus importants en 2016, à juste titre, comme le montre une récente enquête de l'association professionnelle Bitkom (www. bitkom.org). Plus des deux tiers des entreprises industrielles interrogées ont déclaré avoir été victimes de vol de données, d'espionnage industriel ou de sabotage au cours des deux dernières années.

Mais à quel point votre propre entreprise est-elle vulnérable ? Afin de l'évaluer de manière réaliste et de pouvoir prendre des contre-mesures en temps utile, il est conseillé d'effectuer un test de pénétration. Semblable à un exercice d'incendie, cet exercice simule une situation d'urgence, en l'occurrence une attaque contre les données et les systèmes informatiques de l'entreprise. L'objectif est d'identifier de manière préventive les vulnérabilités des systèmes informatiques, des logiciels ou de leur configuration. En cas d'attaque réelle, ces vulnérabilités pourraient être exploitées par des pirates pour accéder aux systèmes, obtenir des informations sensibles ou restreindre la disponibilité des systèmes et des applications.

L'urgence est simulée

En règle générale, les prestataires de services externes spécialisés dans les tests de sécurité sont chargés de l'exécution professionnelle d'un test de pénétration basé sur des scénarios réalistes. Leur procédure suit un certain schéma, tout comme celle des attaquants réels : au début, les informations sont recueillies en évaluant les informations publiquement disponibles sur les systèmes cibles, par exemple, à partir des bases de données DNS et WHOIS et des techniques de piratage de Google, ainsi qu'en reniflant le trafic réseau. Les analyses de ports sont ensuite utilisées pour identifier les ports TCP et UDP ouverts. Les empreintes digitales des bannières et des logiciels peuvent être utilisées pour déterminer quel système d'exploitation et quelles versions de logiciels sont utilisés dans l'entreprise. Les services réseau et les versions du système d'exploitation ainsi identifiés sont ensuite vérifiés pour détecter les vulnérabilités connues à l'aide de scanners de vulnérabilités automatisés. Les résultats de ces analyses sont ensuite vérifiés par des contrôles manuels - pour éliminer les faux positifs, mais aussi pour identifier d'éventuelles vulnérabilités supplémentaires.

Que faut-il prendre en compte lorsque l'on confie un test de pénétration à un prestataire de services externe ?

Tout d'abord, le contenu et les objectifs du test doivent être spécifiés de la manière la plus concrète possible. Ces spécifications pourraient être :

• Identifier et tenter d'exploiter les faiblesses de l'implémentation du système d'exploitation ou les configurations incorrectes du système cible.
• par exemple en accédant à des fichiers arbitraires sur un serveur IIS
• Examen des services non désirés qui sont autorisés, par exemple en raison d'une configuration défectueuse ou de règles de filtrage insuffisantes.
• la tentative de désactiver les services déployés par des attaques par déni de service (DoS) ou de ne lancer des attaques DoS qu'après l'approbation explicite du client.

Identifier et minimiser les risques

Le dernier point montre clairement que les tests de pénétration sont toujours associés à des risques. En pratique, les attaques par déni de service ne sont réalisées que si le client le demande explicitement. Mais même sans ces attaques à haut risque, un test de pénétration peut entraîner une perte de disponibilité du système si, par exemple, le système affecté doit d'abord être redémarré manuellement par un administrateur local après une panne. Une autre conséquence involontaire d'un test de pénétration peut être la perte de données.

Selon l'environnement cible, ces dangers peuvent représenter un risque inacceptable. Cela est particulièrement vrai pour les systèmes de production. Ces systèmes peuvent alors être exclus des tests à risque. Cependant, cela réduit toujours la portée du test, car les vrais attaquants ne s'arrêtent pas aux systèmes de production. Des vulnérabilités critiques pourraient être négligées. Une alternative consiste à effectuer le test en dehors des heures de travail ou dans un environnement de test identique qui reproduit l'environnement de production 1:1. Les dommages potentiels aux systèmes de production en cas de panne peuvent ainsi être évités ou du moins réduits.

Toutefois, étant donné qu'un risque résiduel pour les systèmes et les données examinés ne peut jamais être totalement exclu, il est essentiel que les tests d'intrusion soient planifiés très soigneusement à l'avance par le service informatique du client et le testeur d'intrusion. Pendant l'exécution, une personne de contact technique doit être disponible à tout moment pour la coordination.

Combiner correctement les options de mise en œuvre

Les tests de pénétration peuvent être réalisés de plusieurs manières, en combinant généralement les options possibles.

Boîte noire ou boîte blanche

Tout d'abord, on peut faire une distinction entre les tests de type "boîte noire" et "boîte blanche". Dans le cas des tests "boîte noire", le prestataire de services externe ne reçoit que les informations les plus nécessaires, comme le nom du réseau informatique à tester, afin de simuler les possibilités d'un attaquant externe de manière aussi réaliste que possible. L'attaquant recherche ensuite la plage d'adresses IP et les éventuelles "passerelles". Vérifier le fonctionnement des systèmes IDS/IPS ainsi que le comportement et la vitesse de réaction des employés de l'entreprise peut également être un objectif partiel d'un test BlackBox.

Toutefois, cette approche prend beaucoup de temps et est donc très coûteuse. Dans le cas de l'attaquant réel, on peut supposer qu'il prendrait le temps nécessaire pour la planification et la préparation. Leurs attaques sont de plus en plus complexes et techniquement sophistiquées, et des méthodes d'ingénierie sociale sont généralement aussi utilisées pour recueillir des informations. Ces méthodes ne sont pas toujours faciles à détecter. Par exemple, les adresses d'expéditeur des e-mails d'autres entreprises sont falsifiées et des e-mails de pishing adaptés précisément au destinataire, à ses intérêts et à son cercle de connaissances sont envoyés (spear pishing) afin d'injecter des logiciels malveillants. Le logiciel malveillant injecté est utilisé pour obtenir toutes les informations nécessaires à partir du réseau informatique attaqué.

Afin de compenser cet "avantage" des pirates potentiels par rapport au prestataire de services informatiques agissant dans un délai limité, on recourt à la méthode de la boîte blanche lors des tests de pénétration. Ici, le testeur d'intrusion reçoit des informations détaillées sur les systèmes à tester et l'infrastructure du réseau. Ainsi, au début des tests de pénétration, le testeur se trouve au niveau d'information d'un véritable attaquant après des semaines de travail. Cela permet également de trouver des vulnérabilités qui, autrement, ne seraient pas détectées dans un test purement boîte noire. En pratique, on utilise généralement un mélange de tests de pénétration en boîte noire et en boîte blanche.

Sur site ou hors site

La deuxième distinction concerne le point à partir duquel les tests/attaques sont effectués. Les tests de pénétration peuvent être réalisés hors site via Internet ou sur site, au sein même du réseau de l'entreprise.

Les tests de pénétration hors site ont l'avantage d'être très peu coûteux et de correspondre au vecteur d'attaque d'un attaquant potentiel depuis l'Internet. Toutefois, leur message est limité : un service vulnérable, par exemple, qui a été bloqué par un pare-feu en amont pendant le test ne serait pas identifié.

Un test sur site à partir de la zone démilitarisée (DMZ), en revanche, peut simuler qu'un attaquant a déjà pris le contrôle d'un système, par exemple un serveur web. Dans le cas d'une telle sécurité multicouche, avec un pare-feu entre Internet et la DMZ ainsi qu'entre la DMZ et le bureau, la sécurité peut être testée de manière beaucoup plus complète. Une sécurité de défense en profondeur vérifiée de cette manière offre toujours une protection suffisante pour repousser un attaquant même si un système de la chaîne de sécurité est compromis. En outre, les tests sur site peuvent également servir à vérifier les menaces provenant d'auteurs internes ou d'initiés - un risque qui ne doit pas être sous-estimé : selon l'enquête Bitkom mentionnée au début, des employés actuels ou anciens étaient à l'origine des attaques dans 65 % des cas.

En définitive, l'approche la plus efficace et la plus complète consiste à combiner les différentes options : Des tests en boîte noire et boîte blanche, hors site et sur site, pour couvrir tous les scénarios de menace, et compléter les scanners automatiques par des méthodes manuelles. Un test d'intrusion soigneusement planifié est donc une mesure efficace pour se prémunir contre les menaces potentielles et est également plus efficace et rentable qu'un audit complet du système - à condition, bien sûr, que les vulnérabilités identifiées soient ensuite corrigées.