Plusieurs questions se posent alors : comment savoir si les mesures de sécurité seront suffisantes en cas de cyberattaque ? Le RSSI a-t-il considéré tous les points d’entrée susceptibles d’être utilisés par les cybercriminels ?
Plutôt que d’attendre l’incident qui fournira la réponse, une autre possibilité existe : collaborer avec des pentesters. Aussi appelés hackers éthiques, ces experts simulent des attaques et identifient les vulnérabilités du SI – et ce, avant que des acteurs malveillants ne puissent les exploiter.
Qu’est-ce qu’un pentester ?
Le pentester est, comme le RSSI, un expert en cybersécurité. Il occupe cependant un rôle différent : si le rôle du RSSI est de protéger, celui du pentester est d’attaquer ! Il simule en effet des attaques contre les systèmes informatiques d’une organisation pour identifier les vulnérabilités avant que des cybercriminels ne les exploitent.
Son action permet de renforcer la posture de cybersécurité de l’organisation en découvrant les failles et en proposant des mesures correctives. Par la même occasion, il aide à évaluer l’efficacité des mesures de sécurité en place et à améliorer les défenses contre les menaces potentielles.
Pour résumer, les principaux objectifs d’un pentester sont les suivants :
- identifier les vulnérabilités dans les systèmes et applications ;
- évaluer l’efficacité des mesures de sécurité existantes ;
- tester les réponses aux incidents de sécurité ;
- proposer des recommandations pour corriger les failles découvertes ;
- assurer la conformité avec les réglementations et normes de sécurité.
Pour mener à bien ces tests, les pentesters s’appuient sur une variété d’outils et de techniques. Parmi les plus utilisées, on retrouve :
- les scanners de ports ;
- les scanners de vulnérabilités ;
- les outils d’analyse des paquets réseaux ;
- les logiciels permettant de cracker des mots de passe.
Comment se déroule un test de pénétration ?
Si le format du pentest peut varier, un test d’intrusion se déroule habituellement en six étapes. Pour chacune de ces étapes, le RSSI va pouvoir évaluer en temps réel la pertinence des produits de cybersécurité mis en place dans l’entreprise.
La plateforme XDR va-t-elle corréler et détecter le scan de port et les tentatives d’authentification par Brute Force ? La solution de filtrage de la messagerie va-t-elle démasquer la tentative de phishing ? L’agent EDR va-t-il identifier un comportement suspect ou la persistance d’un accès sur une machine ?
Autant de questions auxquelles ces différentes étapes permettent de répondre.
#1 Planification et reconnaissance
La première étape d’un pentest est appelée « recon », ou phase de reconnaissance. Cette étape consiste à planifier et à recueillir des informations sur l’entreprise ciblée, son activité, ses collaborateurs, son système d’information.
C’est au cours de cette étape que l’expert tente d’identifier les points d’entrée potentiels pour une exploitation future. Cela inclut :
- la collecte d’adresses IP et de noms de domaine ;
- le scan des ports ;
- l’énumération des protocoles exposés publiquement.
#2 Analyse
En se basant sur les informations trouvées durant l’étape précédente, l’auditeur va rechercher des vulnérabilités potentielles, telles que des CVE ou des accès d’employés de l’entreprise ayant fuité sur le darkweb.
#3 Obtention de l’accès
Le pentester peut ensuite lancer l’attaque ! Après avoir identifié les vulnérabilités, il essaie de les exploiter pour obtenir un accès non autorisé au système d’exploitation. Les techniques utilisées sont (très) diverses :
- la réutilisation de mot de passe ;
- l’authentification par force brute ;
- l’ingénierie sociale et le phishing ,
- l’exploitation des failles logicielles…
#4 Maintien de l’accès
Une fois l’accès obtenu, l’auditeur maintient cet accès pour une période prolongée. Cela permet d’explorer plus en profondeur l’infrastructure de l’entreprise par un déplacement latéral, et ainsi de découvrir d’autres vulnérabilités potentielles.
Dans certains cas, cette étape permet également de simuler la pose d’un payload inoffensif sur la machine dans le but de simuler une attaque par ransomware. Le RSSI peut alors évaluer la pertinence des produits de détection et de réponse installés sur la machine infectée. L’occasion d’aller encore plus loin dans l’analyse !
#5 Analyse des résultats et rédaction du rapport
Le pentester rédige ensuite un rapport dans lequel il analyse les résultats obtenus lors des phases précédentes. Cette analyse permet de comprendre :
- les vulnérabilités découvertes ;
- les méthodes d’exploitation utilisées ;
- l’impact potentiel de ces failles sur l’organisation.
Le rapport contient également des recommandations précises pour remédier à ces vulnérabilités.
#6 Restitution du rapport et recommandations
À partir de ces recommandations, le RSSI élabore un plan d’action pour corriger les failles identifiées. Voici quelques exemples d’actions parmi tant d’autres :
- mises à jour logicielles ;
- mise en place de correctifs ;
- modifications de configurations ;
- amélioration des politiques de sécurité et des pratiques de gestion des risques.
Le format des pentests peut varier selon trois catégories, appelées White Box, Grey Box, Black Box.
Les audits White, Grey et Black Box : 3 choix pour le RSSI
En définissant préalablement le périmètre à évaluer, le RSSI peut organiser le pentest au travers de trois formats.
Qu’est-ce qu’un pentest White Box ?
Le pentest dit « White Box » est un test de pénétration pour lequel l’ensemble des informations techniques sont partagés avec l’expert. Ces informations comprennent les adresses IP, les schémas réseaux, mais aussi un inventaire des machines et des informations de configuration des équipements de sécurité.
L’intérêt du pentest en boîte blanche ? Il est peu chronophage. L’auditeur n’a pas besoin de chercher les informations et peut ainsi lancer plus rapidement ses tests.
Qu’est-ce qu’un pentest Grey Box ?
Le pentest dit « Grey Box » est un format de test d’intrusion ou le pentester n’a accès qu’à une partie des informations pour pouvoir avancer. Le test d’intrusion Grey Box simule le scénario d’un attaquant ayant déjà un accès initial, comme s’il était salarié et connaissait une partie de l’entreprise, son fonctionnement, ses locaux.
Le test de pénétration en boîte grise oblige donc l’expert à lancer une phase de reconnaissance pour comprendre son environnement et en déduire les premières actions offensives.
Pour le RSSI, le format du pentest Grey Box permet de comprendre les méthodologies et les modes opératoires que des attaquants peuvent utiliser pour accéder plus profondément au système d’information depuis l’intérieur de l’entreprise.
Qu’est-ce qu’un pentest Black Box ?
Le pentest dit « Black Box » est un test d’intrusion qui débute cette fois depuis l’extérieur de l’entreprise. L’auditeur n’ayant aucun accès initial à l’entreprise ni information préalable, il devra planifier et reconnaître sa cible.
Organigramme des employés, activité de l’entreprise, reconnaissance de la surface d’attaque… le pentest en boîte noire permet au RSSI de comprendre l’exposition de son entreprise sur Internet.
Pentester et RSSI : comment collaborer ?
Vous l’aurez compris : la collaboration entre auditeur et RSSI est incontournable. En lançant régulièrement des tests d’intrusion, le RSSI peut valider ou invalider sa stratégie de cybersécurité dans l’entreprise.
C’est pourquoi plusieurs solutions de tests d’intrusion sont aujourd’hui disponibles sur le marché.
- La première est la plus évidente : collaborer avec un cabinet de conseil en cybersécurité spécialiste des tests d’intrusion. Le RSSI peut alors sélectionner les acteurs avec lesquels il va collaborer.
- La seconde est de lancer une campagne de bug bounty sur des plateformes comme YesWeHack ou HackerOne, en offrant des récompenses aux auditeurs selon le niveau de sévérité de la vulnérabilité. L’inconvénient de cette méthode ? Le RSSI ne peut pas valider l’ensemble des participants, même si certaines campagnes peuvent être accessibles uniquement sur invitation.
- La dernière solution réside dans l’utilisation d’une plateforme de tests d’intrusion automatisés comme celle de la société Pentera, qui a pour avantage de tester des scénarios d’intrusion tout au long de l’année.
La synergie entre pentester et RSSI contribue sans nul doute à une gestion plus sûre des risques et à une meilleure protection des données sensibles de l’entreprise.
Et pour aller (encore) plus loin dans le pilotage de la cybersécurité et la gestion de votre surface d’attaque, découvrez la plateforme Tenacy !