En matière d’audit & pentest, le marché devient de plus en plus mature. Cela devrait s’accentuer en 2019 surtout dans les grands groupes qui s’orientent de plus en plus vers les méthodes agiles.
Décryptage avec Thierry Casier, Responsable de l’équipe audit & Pentest chez Harmonie Technologie.
A la différence d’un audit de sécurité dit classique, lors d’un audit pentest, les experts vont utiliser des méthodologies de hackers. Durant cet audit pentest (ou test d’intrusion), il a pour mission d’exploiter chacune des failles, qu’elles soient fonctionnelles ou techniques, et ainsi donner une analyse précise des vulnérabilités et du degré de risque associé à chacune d’entre elles.
Lors d’un audit de sécurité orienté pentest, les experts vont utiliser des méthodologies de hackers. Durant ces activités de pentest (ou test d’intrusion), il a pour mission d’exploiter chacune des failles, qu’elles soient fonctionnelles ou techniques, et ainsi donner une analyse précise des vulnérabilités et du degré de risque associé à chacune d’entre elles.
« Un test d’intrusion va permettre de restituer une description précise des vulnérabilités, accompagnée des recommandations de sécurité à mettre en place. Lors du pentest, nous allons effectuer une analyse d’un système potentiellement défaillant : analyse des flux, analyse des technologies implémentées,évaluation des configurations, comme par exemple l’analyse de sécurité spécifique au terminal utilisé. »explique Thierry Casier.
Principaux types de tests d’intrusion
Les tests d’intrusion réalisés peuvent être de différentes natures : tests de vulnérabilités, pentest sur les applications Web et mobiles, pentest infrastructure permettant l’évaluation de la sécurité au niveau du réseau de l’entreprise, etc. Les activités de pentest vont alors être utilisés en plus d’identifier les vulnérabilités pour évaluer si les solutions de détection d’intrusions détectent pertinemment les attaques, notamment si elles détectent comment et quand le hacker a réussi à pénétrer le système d’information ; sensibiliser les équipes IT et métiers avec des scenarii de tests ou encore tester la réactivité des équipes, dans le cadre de campagnes préventives. « Le rapprochement entre les métiers et l’IT est un enjeu majeur dans la démarche globale de cybersécurité des organisations. Il reste encore de nombreux silos, et de projets redondants. Ajouté à cela la problématique des sous-traitants pléthoriques au sein des équipes opérationnelles qui reste entière, montre que nous avons encore beaucoup de chemin à parcourir, malgré les nombreux efforts consentis et encourageants. » précise Thierry Casier.
Le pentest peut donc se matérialiser sous différentes formes à savoir le pentest whitebox. Le pentester dispose de renseignements fournis par l’entreprise tels que la cartographie du système d’information, la liste d’adresses IP, des comptes de test, etc.
Le pentest blackbox signifie que l’entreprise auditée ne fournit aucun renseignement à l’expert extérieur qui réalise la mission en situation réelle d’un hacker« aucune précision sur l’architecture, la cartographie des serveurs, le système de détection des intrusions, ne nous est alors communiquée » souligne Thierry Casier. Enfin, dernière version, le grayboxoù le pentester a pour objectif d’évaluer les dangers potentiels au sein même de l’entreprise : dangers/risques dus à des erreurs, de la malveillance, des actes de fraude, sur la base de comptes représentatifs sur le périmètre audité.
« Grâce à ces outils, nous évaluons la robustesse des systèmes, des applicatifs ou encore du système d’information de l’entreprise dont le cœur est l’active directory. Nous pouvons également réaliser de l’audit de codes sources. Le processus de « reverseengineering » nous permet alors de vérifier la robustesse du code au travers du respect des bonnes pratiques en matière de développement applicatif. » ajoute Thierry Casier.
L’assaut de la Red Team
Il faut s’attendre également au développement, en 2019, des activités de type Red Team permettant d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection, qu’ils soient physiques, humains, organisationnels et informatiques. Cette prestation se déroule sur une période plus large que le pentest, généralement plusieurs mois contre quelques jours pour le test d’intrusion.
Comme une véritable attaque ciblée, celle-ci se déroule en plusieurs phases soigneusement préparées et pouvant atteindre tous les actifs de l’entreprise : intrusion physique dans les locaux, ingénierie sociale visant les employés, intrusion via des vulnérabilités réseau ou système, exploitation de failles dans les applications, etc. « Cela nous permet d’évaluer le niveau de sécurité du système d’information de manière générale et d’évaluer les actions de l’équipe sécurité, que l’on appellera blue team, et/ou du SOC de l’entreprise, face à la détection d’intrusions, quelle qu’elle soit. » détaille Thierry Casier.
L’IoT est également concerné. Sans le standard « security by design », les besoins en audit & pentest vont inévitablement augmenter afin de pouvoir sécuriser les objets connectés mais à postériori. « Nous faisons le même constat pour le cloud. »ajoute Thierry Casier.
Demain, l’audit & pentest trouvera également des adhérences avec d’autres métiers de la cybersécurité comme la cyber-résilience ou la gestion des comptes à privilège. « En effet, en plus des plans de continuité/reprise d’activité qui sont testés en exercice de gestion de cybercrise, peuvent s’ajouter des plans de continuité/reprise informatique construits à partir des audits & pentests réalisés en amont. Pour la gestion des comptes à privilège, l’audit & pentest va intervenir avant le déploiement de la solution PAM pour identifier les vulnérabilités impactant les comptes à privilège, ou à la fin pour s’assurer du niveau de sécurité de la chaine de confiance. » conclut notre expert.