Tests d'intrusion ou audit ?

Les tests d'intrusion ne sont pas des audits de sécurité. Exécuter un test d'intrusion revient à se placer dans la même situation qu'un attaquant, et tenter de déterminer ce qu'il est possible de faire sur le périmètre sur lequel porte le test. Il s'agit donc d'une opération à livres fermés, ou boîte noire. Les auditeurs disposent des éléments initiaux de détermination du système à tester, sans informations supplémentaires.

Les tests d'intrusion se déroulent en plusieurs phases :

1. identification de la cible,
2. collecte d'informations,
3. tentatives d'attaques sur la cible
4. analyse du comportement de la cible
5. raffinement des attaques

Ces cinq étapes (tout particulièrement les étapes 3 à 5) sont répétées de manière itérative.

Un test d'intrusion se déroule en collaboration avec l'entreprise gérant le système testé, afin de pouvoir réagir à toute éventualité. Les auditeurs exercent la plus grande prudence lors des attaques, pour minimiser les perturbations sur le système visé. Si certaines attaques peuvent se révéler invalidantes, elles ne sont exécutées qu'après l'accord explicite du client et vérification qu'il est possible de revenir rapidement dans une situation stable, sans perte de données, de capacité d'exploitation ou autre.

Afin que les tests soient représentatifs d'une situation réelle d'attaque, les équipes de gestion de la sécurité du client ne sont pas toujours informées du déroulement ou même de l'existence d'un projet de tests d'intrusion. Dans une telle situation, il devient possible de contrôler la capacité de détection et de réaction du service sécurité.

B&A Consultants réalise tout au long de l'année de nombreux tests d'intrusion. Nous apportons à nos clients plusieurs dizaines d'années cumulées d'expérience sur ce domaine très évolutif.