Devis personnalisé au 06 38 10 72 86

Test d’intrusion depuis le réseau interne

Test d'intrusion depuis le réseau interne

Présentation

Le test d’intrusion permet d’évaluer le niveau de sécurité d’une infrastructure ou d’une application web en prenant la position d’un attaquant et en mettant en œuvre toutes les techniques, méthodes et démarches que pourrait utiliser un tel attaquant. La cible est ainsi confrontée à des attaques concrètes. Cette approche permet d’obtenir un large spectre de vulnérabilités et de scénarios d’attaques associés à des niveaux de risque et de probabilité.

L’objectif du test d’intrusion est de connaitre puis de réduire le risque réel. Le rapport du test d’intrusion propose des corrections techniques à apporter au périmètre cible. De plus le test d’intrusion permet également de sensibiliser à la sécurité le management et le personnel IT en apportant des scénarios d’attaques concrets avec leurs impacts, des résultats et des preuves.

Plusieurs situations de départ sont possibles pour un test d’intrusion. Les termes « boite noire », « boite grise » ou « boite blanche », ou encore « black box », « grey box » ou « white box » désignent le niveau d’information des pentesters en début de test.

Boite noire : aucune information n’est donnée à part le périmètre cible (IP, sous-réseau, url, noms de machines). Les pentesters sont dans la situation d’un attaquant externe.

Boite grise : des informations d’identification limitées sur des machines ou des services sont fournies. Cette démarche permet de se mettre dans la situation où l’attaque viendrait par les accès d’un employé, d’un utilisateur ou d’un client. Pour des applications accessibles à un grand nombre d’utilisateurs la démarche « boite grise » est recommandée.

Boite blanche : des informations détaillées sont fournies, schéma réseau, cartographie des services, ainsi que des accès privilégiés sur les machines ou applications. Cette démarche permet de découvrir des vulnérabilités non visibles de l’extérieur dans l’immédiat mais représentant un risque à long terme (ce risque peut venir par exemple de publications ultérieures de nouvelles vulnérabilités sur des éléments adjacents qui pourraient se combiner à celles trouvées lors du pentest).

Objectifs

Les objectifs fixés dépendent du point de départ du test d’intrusion. Ce point de départ peut être :

  • Depuis l’externe, c’est-à-dire depuis internet. On parle alors de test d’intrusion externe. L’objectif est de démontrer qu’il est possible d’avoir un ou des accès à des machines ou applications depuis l’externe. Le prescripteur cherche à connaitre les « portes d’entrée » à son infrastructure qui ne sont pas assez sécurisées. Les auditeurs vont rechercher les différents moyens d’avoir un premier à l’interne, sans forcément explorer ensuite toute l’infrastructure interne.

  • Depuis un accès local : salle de réunion, accès wifi, poste de travail. On parle alors de test d’intrusion interne. Il s’agit de partir du postulat qu’une machine ou application a été compromise, ou qu’un employé est malveillant, ou encore qu’une personne mal intentionnée a installé un Raspberry sur le réseau. Le prescripteur cherche à vérifier la robustesse de l’infrastructure interne face à la propagation d’une telle attaque. En quoi l’attaquant pourra accéder à d’autres parties du réseau, à d’autres services, à d’autres machines. La segmentation interne, la robustesse de l’authentification, du chiffrement, la gestion des accès seront ainsi évalués. La vigilance des équipes de sécurité sera aussi évaluée de par leur détection, ou non, de l’intrusion et de sa propagation.

  • Les objectifs fixés dépendent enfin du champ d’action et du périmètre laissés aux auditeurs. Par exemple les auditeurs doivent-ils se limiter à scanner des ports et identifier les vulnérabilités connues et directement exploitables ou peuvent-ils développer des exploits voire reverser un binaire ? Les auditeurs peuvent-ils utiliser et exploiter toutes les ressources présentes dans l’infrastructure ou certaines ressources ne peuvent qu’être observées sans compromission ?

Ce niveau de liberté laissé aux auditeurs détermine la profondeur et la pertinence du résultat de l’audit.

Démarche générale et méthodologie

Notre démarche organisationnelle permet de couvrir l’ensemble du périmètre du projet :

La réalisation des prestations sera jalonnée par des points d’avancement selon la nécessité du projet, en particulier pour les prestations « complexe » ou en production.

Livrables

  • Réalisation des livrable

    Une fois que le déroulement de la prestation est finalisé un rapport d’audit est rédigé, reprenant les actions effectuées par ARMATURE Technologies.
    Les livrables pourront être réalisés en français ou en anglais selon les souhaits du client.

  • Organisation des livrable

    Ce rapport est décomposé en deux parties :
    3. La synthèse managériale
    4. Le rapport technique détaillé

    La synthèse managériale est destinée à un public non informaticien. Il s’agit d’une synthèse des résultats d’audit, destiné à des décideurs. Il est rédigé dans des termes accessibles à un public non informaticien.

    Le rapport technique détaillé comporte, en plus, le détail des points vérifiés, ainsi qu’une description et la qualification des vulnérabilités mises en évidence.
    Ces deux rapports sont bâtis selon le modèle suivant :
    • Présentation du contexte,
    • Synthèses qualitative et quantitative des résultats d’audit,
    • Description de la méthodologie adoptée durant la mission (liste des points vérifiés),
    • Détail des résultats de chacun des points vérifiés, avec fourniture d’indicateurs de mise en perspective des vulnérabilités identifiées,
    • Proposition de recommandations, présentées sous la forme d’un plan d’action regroupant les préconisations techniques, technologiques et/ou organisationnelles permettant de corriger les vulnérabilités découvertes ou, du moins, de réduire le risque associé.

    Le rapport technique décrit et qualifie les vulnérabilités identifiées sous la forme de fiches de vulnérabilité. Le niveau de sécurité de chaque vulnérabilité sera classé selon différents niveaux.
    Le rapport technique décrit et qualifie les vulnérabilités identifiées sous la forme de fiches de vulnérabilité.

  • Approche des livrable

    Les livrables sont conçus et rédigés de manière à :
    • Présenter et rendre compréhensible le risque apporté par chaque vulnérabilité.
    • Localiser chaque vulnérabilité dans le système d’information soit au niveau réseau (adresses ou ensemble d’adresse IP), soit par un chemin de navigation (url), soit par tout autre moyen (domaine, version d’OS, type de machine…).
    • Donner les moyens de reproduire pas à pas chaque vulnérabilité si possible.
    • Rendre chaque fiche de vulnérabilité compréhensible par des personnes n’ayant que cette fiche.
    • Rendre pédagogique et accessible les fiches de vulnérabilité, les scénarios d’attaque, le livrable dans son ensemble.

  • Description des vulnérabilités

    Chaque fiche de vulnérabilité contient les éléments suivants :

    Chaque fiche de vulnérabilité est accompagnée d’éléments tangibles (capture d’écran, vidéo, fichier, url) dans la mesure du possible.

  • Présentation des résultats

    L’objectif de cette présentation est de présenter une synthèse des résultats d’audit. Cette présentation aborde obligatoirement les points suivants :
    Rappels des objectifs de l’audit,
    • Présentation de la méthodologie suivie,
    • Présentation de la synthèse des résultats, destinée aux décideurs,
    • Présentation des principales vulnérabilités mises en évidence,
    • Présentation des recommandations formulées.

    Cette présentation se déroule dans les locaux du client ou par visio-conférence. À l’issue, le support de la présentation est fourni au client.