À ne pas confondre avec l’audit, le test d’intrusion est une prestation pointue, ponctuelle et complexe, qui donnera d’excellents résultats… incomplets !
Bien mené un test d’intrusion est l’une des approches les plus pertinentes pour évaluer le niveau de protection de l’entreprise. Il consiste en une attaque menée par un prestataire de confiance dans les mêmes conditions qu’un pirate malveillant.
Lorsqu’il est réalisé par un expert compétent le test d’intrusion permet de simuler toute la diversité des méthodes employées par un attaquant réel. Il s’agit notamment du seul outil dans l’arsenal du responsable sécurité à intégrer l’intuition et la ruse propres à l’attaquant humain.
Une question de boîtes
Un test d’intrusion s’articule selon deux axes : le niveau de connaissance préalable du système par l’attaquant d’une part et le périmètre à explorer d’autre part.
Un test sera dit « en boîte noire » s’il est mené sans que le consultant n’ait d’information privilégiée sur le système à pénétrer (on parle également de test en aveugle, voir en « double aveugle » lorsque le strict minimum de personnes est au courant au sein de l’entreprise. Cela permet alors d’évaluer également les capacités de réponse à incident des équipes). Sans surprise, les tests en aveugles sont les plus proches des conditions réelles d’une attaque.
À l’inverse, un test en « boîte blanche » permettra à l’attaquant d’aller plus loin, car il bénéficiera d’une meilleure connaissance de l’environnement technique, voire d’un accès privilégié au système. Cela permettra notamment de compenser l’inconnue liée au niveau de l’attaquant (pirate amateur ou pirate d’État ?) en donnant un « avantage » au consultant, ou encore d’être certains de tester certaines portions spécifiques du SI.
Le modèle intermédiaire, dit en « boîte grise », vise quant à lui à simuler un utilisateur malveillant interne. Celui-ci est censé disposer de certains accès nécessaires à son activité, mais il ignore les données plus techniques généralement utiles à un attaquant (plan d’adressage IP, etc.).
Attention : quel que soit le mode choisi, un test d’intrusion donnera une vision détaillée, mais parcellaire de la sécurité, contrairement à l’audit (voir encadré).
Périmètre ou pas périmètre ?
Enfin le test peut être limité à un périmètre (une application, un site web…) ou non : le consultant alors sera au plus près des conditions d’une attaque réelle.
Choisir un prestataire
Dans un domaine où le talent individuel du consultant compte plus que le nom du cabinet dans lequel il exerce, il n’est pas rare que les RSSI soient fidèles à une poignée de pentesteurs individuels, qu’ils suivront, quel que soit le cabinet où ils exercent. Il conviendra toutefois de veiller à ce que ce dernier maîtrise parfaitement l’aspect légal de la prestation (un test d’intrusion exige un contrat spécifique et détaillé protégeant les deux parties) et qu’il dispose de toutes les garanties assurantielles nécessaires, notamment en termes de Responsabilité Civile Professionnelle.
Un test d’intrusion n’est pas un audit !
L’audit est une mesure de l’existant par rapport à un référentiel théorique, qu’il soit externe (un standard, comme ISO 27001, ou un règlement métier tel PCI-DSS). L’audit est donc très encadré et laisse peu de place à l’imprévu et à l’improvisation. Les résultats sont globalement prévisibles et il peut être mené par un consultant junior. Les RSSI, souvent peu amènes, qualifient cela de modèle de sécurité « cases à cocher » !
Le test d’intrusion, à l’inverse, relève plutôt de l’Art : rien n’est écrit d’avance et c’est la créativité, le talent et l’expérience du consultant (et sa maîtrise des outils) qui fera la différence.
Toutefois là où le test d’intrusion ne révélera qu’un chemin d’intrusion particulier, en en ignorant peut-être d’autres, l’audit permettra quant à lui de s’assurer du respect des bonnes pratiques de sécurité sur l’ensemble du périmètre. Les deux approches sont donc complémentaires.
À noter : l’ANSSI propose un programme de qualification pour les « prestataires d’audit de la sécurité des systèmes d’information » (PASSI) qui pourra aider à présélectionner un prestataire. La liste est disponible ici :
