Vous êtes sur la page 1sur 10

(W9M1) Module 1 Introduction à la

rédaction d'un rapport de test de


pénétration efficace
MODULE 1
introduction
Le test de pénétration ou pentest est une évaluation de sécurité typique qui est le
processus pour accéder à des actifs d'information spécifiques (par exemple, des systèmes
informatiques, une infrastructure réseau ou une application). Le test de pénétration
simule l'attaque effectuée en interne ou en externe par les attaquants qui ont l'intention
de trouver des faiblesses ou des vulnérabilités de sécurité et de valider les impacts et les
risques potentiels si ces vulnérabilités sont exploitées. Les problèmes de sécurité détectés
lors du test de pénétration sont présentés au propriétaire du système, au propriétaire
des données ou au propriétaire du risque. Un test de pénétration efficace appuiera ces
informations avec une évaluation précise des impacts potentiels sur l'organisation et une
gamme de garanties techniques et procédurales doit être planifiée et exécutée pour
atténuer les risques. De nombreux testeurs d'intrusion sont en fait très bons en
technique car ils ont les compétences nécessaires pour effectuer tous les tests, mais ils
manquent de méthodologie et d'approche de rédaction de rapports, ce qui crée un très
grand écart dans le cycle des tests d'intrusion. Un test de pénétration est inutile sans
quelque chose de tangible à donner à un client ou à une direction. La rédaction de
rapports est un élément crucial pour tout fournisseur de services (par exemple, service /
conseil informatique). Un rapport doit détailler le résultat du test et, si vous faites des
recommandations, documenter les recommandations pour sécuriser tout système à haut
risque. Le public cible d'un rapport de test d'intrusion variera, le rapport technique
sera lu par le service informatique ou tout autre responsable de la sécurité de
l'information tandis que le résumé sera certainement lu par la direction générale. La
rédaction d'un rapport de test d'intrusion efficace est un art qui doit être appris et pour
s'assurer que le rapport fournira les bonnes informations au public ciblé. 

Évaluation de la sécurité de haut niveau


Évaluation de la sécurité offerte par les fournisseurs de services de diverses manières.
Chaque type de service offre différents niveaux ou degrés d'assurance de sécurité.
L'évaluation des vulnérabilités (VA) ou l'analyse des vulnérabilités sont normalement
proposées dans le but d'identifier les faiblesses ou les vulnérabilités. Utilise des systèmes
automatisés (tels que Nessus, eEye Retina ou QualisysGuard). Moyen peu coûteux de
s'assurer qu'aucune vulnérabilité n'existe. N'a pas de stratégie claire pour améliorer la
sécurité de l'organisation. L'évaluation de la sécurité du réseau est une combinaison
d'identification et de tests manuels automatisés et pratiques des vulnérabilités. Le
rapport est créé, donnant des conseils pratiques qui peuvent améliorer la sécurité de
l'organisation. Les tests de pénétration impliquent de multiples vecteurs d'attaque (par
exemple, test sans fil, ingénierie sociale ou test côté client, ou numérotation de guerre)
pour compromettre l'environnement cible. Les tests de pénétration peuvent être
effectués avec plusieurs méthodologies acceptées de l'environnement interne et externe
avec différentes approches telles que la boîte noire (sans connaissances préalables), la
boîte blanche (avec toutes les connaissances) ou la boîte grise (avec quelques
connaissances) en fonction de la portée de travail convenu avec le client. L'audit sur site
est probablement le type d'évaluation de sécurité le plus courant effectué dans de
nombreuses organisations. Il fournit l'image la plus claire de la sécurité du réseau.
L'accès local est donné aux testeurs ou aux consultants, ce qui leur permet d'explorer et
d'identifier tout ce qui ne va pas, y compris les rootkits, les portes dérobées, les chevaux
de Troie, les mots de passe faibles, les autorisations ou politiques faibles, les erreurs de
configuration et d'autres problèmes. La méthodologie d'évaluation des meilleures
pratiques utilisée par les consultants en sécurité doit impliquer les composants de haut
niveau suivants:
 Reconnaissance du réseau pour identifier les réseaux ou les hôtes
 Analyse et sondage en masse du réseau pour identifier les hôtes vulnérables
potentiels
 Identification et investigation des vulnérabilités et sondages supplémentaires
(manuellement)
 Exploitation des vulnérabilités et contournement des mécanismes de sécurité

Outils du métier
La sélection des outils de test de pénétration appropriés et corrects nous aidera à nous
concentrer sur les informations (données) à collecter à partir de l'environnement cible.
Ne pas confondre directement avec la variété des outils disponibles sur le marché.
Connaître les capacités et les fonctionnalités des outils est la clé d'une évaluation de
sécurité réussie. Commencez par évaluer les outils Open Source et commerciaux
disponibles sur Internet. Comparez l'Open Source avec les commerciaux en termes de
fonctions, fonctionnalités et livrables. Assurez-vous que les outils que vous choisirez
peuvent être utilisés tout au long du processus d'évaluation de la sécurité. Ne gaspillez
pas votre budget pour acheter des outils commerciaux que vous ne souhaitez pas
vraiment utiliser en raison du manque de capacités et de fonctionnalités. Testez les outils
avant de les acheter. La catégorisation des outils d'évaluation de la sécurité vous aidera
à trouver ce que vous recherchez. Voici les exemples d'outils couramment utilisés pour
l'évaluation de la sécurité qui ont été classés en fonction des objectifs d'utilisation: 

Reconnaissance et scan du réseau


 Nmap ou ZenMap (open source)
 Hping (open source)
 NetDiscover (open source)
 NBTStat (open source)

  Identification et investigation des vulnérabilités 


 Nmap avec NSE (open source)
 Nessus (commercial)
 eEye Retina (commercial)
 QualisysGuard (commercial)
 OpenVAS (open source)
  Exploitation des vulnérabilités 
 Framework Metasploit (open source)
 ExploitPack (open source)
 Core Impact (commercial)
 Metasploit Express et Pro (commercial)
 Immunité CANVAS (commercial)
En ce qui concerne les méthodologies de test de pénétration, nous pouvons créer les
nôtres ou adopter à partir de plusieurs normes bien connues telles que:
 NIST SP 800-115, Guide technique des tests et évaluations de la sécurité de
l'information
 OISSG ISSAF, Cadre d'évaluation de la sécurité des systèmes d'information
 ISECOM OSSTMM, Manuel de méthodologie de test de sécurité Open Source
 Guide de test OWASP, Open Web Application Security Project
 Institut SANS, Réalisation d'un test de pénétration sur une organisation
 PTES, norme d'exécution des tests de pénétration

  Business case
Pourquoi effectuer un test de pénétration? Quels sont les objectifs du test de
pénétration? Quels sont les avantages du test de pénétration par rapport à d'autres
types d'évaluations de sécurité? Ce sont probablement les questions les plus
fréquemment posées lorsque nous parlons de l'importance du test de pénétration pour
des clients ou des organisations potentiels. Les réponses aux questions ci-dessus sont
expliquées comme suit: D'un point de vue commercial, les tests d'intrusion aident à
protéger votre organisation contre les défaillances, à travers:
 Prévenir les pertes financières dues à la fraude (pirates informatiques,
extorsionneurs et employés mécontents) ou à la perte de revenus due à des systèmes
et processus métier peu fiables.
 Prouver la diligence raisonnable et la conformité à vos régulateurs, clients et
actionnaires de l'industrie. La non-conformité peut entraîner la perte d'activité de
votre organisation, de lourdes amendes, de mauvaises relations publiques ou, en fin
de compte, l'échec. Sur le plan personnel, cela peut également signifier la perte de
votre emploi, des poursuites et parfois même l'emprisonnement.
 Protégez votre marque en évitant la perte de confiance des consommateurs et de
réputation commerciale.
D'un point de vue opérationnel, les tests d'intrusion aident à façonner la stratégie de
sécurité des informations grâce à:
 Identifier les vulnérabilités et quantifier leur impact et leur probabilité afin
qu'elles puissent être gérées de manière proactive; un budget peut être alloué et des
mesures correctives mises en œuvre.

  Planification et préparation
Avant de commencer un projet de test de pénétration, une planification et une
préparation minutieuses doivent être effectuées. La constitution d'une équipe fait partie
de la planification elle-même. Une équipe solide devrait avoir des membres provenant de
plusieurs domaines de connaissances basés sur les compétences et l'expertise. La portée
des travaux détermine les exigences pour constituer une petite ou une grande équipe. Ne
vous concentrez pas uniquement sur les testeurs d'intrusion, assurez-vous de pouvoir
couvrir plusieurs domaines liés à la gestion de projet, à l'assurance qualité, au réseau et
à l'infrastructure, aux applications, à l'analyse des risques, etc. 
Figure: Exemple d'équipe de projet Pentest (petite) 

Figure 1: Exemple de ressources de l'équipe de projet (petite)

  Position / Fonction Nom de la ressource

  Chef de projet (PM) UNE

  Assurance qualité (QA) B

Analyste principal de la sécurité / Pentester


  C
principal

  Analyste de sécurité / Pentester # 1 ré

  Analyste de sécurité / Pentester # 2 E

  Documentation technique F

  Spécialiste en infrastructure réseau g

  Spécialiste des applications H

Dans l'exemple ci-dessus, nous utilisons 8 (huit) ressources pour effectuer plusieurs
tâches dans un petit projet pentest. Souvenez-vous toujours des facteurs ou des
composants du projet réussi: portée, calendrier, budget et ressources.
Gestion des risques
Le calcul et l'analyse des risques font partie de la gestion globale des risques. Un rapport
d'essai de pénétration efficace devrait inclure au minimum le calcul et l'analyse des
risques. Le guide de gestion des risques peut être facilement trouvé à partir de plusieurs
ressources sur Internet (par exemple NIST SP800-30, Risk Management Guide for
Information Technology Systems). Les composants de l'analyse des risques expliqués
comme suit: Menace - un danger possible qui pourrait exploiter une vulnérabilité pour
briser la sécurité et causer ainsi un dommage éventuel. Vulnérabilité - une faiblesse qui
permet à un attaquant de réduire l' assurance des informations d' un système . La
vulnérabilité est l'intersection de trois éléments: une vulnérabilité ou une faille du
système, l'accès de l'attaquant à la faille et la capacité de l'attaquant à exploiter la faille.
Impact - un exercice réussi de menace d'une vulnérabilité (interne ou externe). Notation
de risque basée sur ce calcul:     
Risque = menace x vulnérabilité x impact
Après avoir calculé la cote de risque, nous commençons à rédiger un rapport sur chaque
risque et comment l'atténuer (atténuation ou réduction des risques).  
 
 

Collecte et traduction de données brutes


Analysez et filtrez vos données
Les membres de l'équipe de test de pénétration doivent collecter des informations utiles
(données) sur le terrain, en supposant qu'ils travaillent dans l'environnement du client.
Analysez et filtrez les informations recueillies. Catégorisez les informations en fonction
de la méthodologie pentest adoptée afin que vous puissiez vous concentrer sur la collecte
de données «bonnes et utiles» et non sur un tas de déchets. Documentez toujours vos
étapes et fournissez des captures d'écran ou toute preuve valable (cela sera utile au cas
où les clients voudraient répéter les mêmes processus de test). La documentation étape
par étape n'est pas vraiment obligatoire mais elle est vraiment utile dans certaines
situations. J'ai beaucoup fait ça.

Conversion de données
La traduction des données peut être nécessaire dans certains scénarios. Vous souhaiterez
peut-être que tous les membres de votre équipe disposent d'une norme de traduction des
données collectées. Les données brutes peuvent être facilement traduites en plusieurs
types de formats de fichiers tels que texte, xml, html, png, jpg, etc. Ce qui suit vous
montre un exemple de conversion de données d'un format de fichier xml à un format de
fichier html:
nmap –A –iL cibles.txt –A sortie
La commande ci-dessus entraîne trois types de fichiers différents:

Nom de fichier Type de fichier

output.nmap Fichier texte

output.gnmap Fichier texte Grepable

output.xml Fichier XML

Échange / transmission de données sécurisé


Les données brutes collectées doivent être envoyées régulièrement ou à une période
spécifique (programmée), comme convenu par le chef d'équipe et les membres. Toutes
les informations (données) collectées sont traitées comme «confidentielles» comme
indiqué dans les accords de non-divulgation (NDA). Évitez d'envoyer des informations
via un réseau ou un support non sécurisé. Si vous ne pouvez pas éviter d'utiliser Internet
pour échanger ou transmettre les informations. Appliquez la confidentialité, l'intégrité
et la disponibilité aux données collectées en mettant en œuvre une méthode hors bande
de transmission de données, ainsi qu'en utilisant le cryptage et le hachage tels que MD5
pour préserver l'intégrité de vos données collectées.

Traduire des données brutes


Un rapport pentest efficace doit inclure la représentation de vos données brutes
collectées, traduites en informations significatives dans différents types de formats. Les
livrables finaux doivent être facilement interprétés par le public ciblé. Vous pouvez
utiliser des outils tels que Microsoft Excel et Visio pour créer une présentation
significative de vos informations telles que des tableaux (détaillés et récapitulatifs), des
graphiques, des diagrammes, des flux, etc. 
Figure 4: Exemple de vulnérabilité par type

  Type de vulnérabilité Total

Mot de passe par défaut ou


  dix
faible

  Mauvaise configuration 4

Correctifs / mises à jour


  6
manquants

  Cryptage faible 2
  Divers 5

  Total 27
Figure 5: Exemple de graphique - Résumé des hôtes vulnérables

Proposition de projet
La proposition doit rester simple et précise. La proposition de projet est également
appelée «Énoncé des travaux», un document convaincant dont les objectifs sont:
1. Identifier le travail à faire
2. Expliquez pourquoi ce travail doit être fait
3. Persuadez le lecteur que les proposants (vous) sont qualifiés pour le
travail, ont un plan de gestion et une approche technique plausibles et disposent
des ressources nécessaires pour mener à bien la tâche dans les délais et les coûts
indiqués.
Une proposition forte a une apparence attrayante, professionnelle et invitante. Les
informations (contenu) doivent être faciles d'accès. Une proposition solide a un plan
d'attaque bien organisé avec des détails techniques clairs, car une profondeur technique
est nécessaire pour vendre votre projet. Il devrait avoir les éléments ou aspects
«pourquoi, quoi, comment et quand». La proposition de projet doit au moins
comprendre plusieurs sections, comme le montrent les exemples suivants:
1. Introduction
2 Plan de projet détaillé
2.1 Portée des travaux (SoW)
2.2 Objectif de l'évaluation
2.3 Phases du projet
2.4 Durée du projet
2.5 Calendrier / calendrier du projet
3 Gestion de projet
3.1 Organisation du projet
3.2 Ressources
4 Livrables
5 Outils et méthodologie
6 Divers
7 Expérience de projet (basée sur l'expérience de votre équipe)
8 Contact
9 Annexes  

Les activités du projet


Les activités liées à un projet de test de pénétration doivent être clairement définies.
Nous pouvons utiliser ce document pour suivre l'avancement de notre projet en plaçant
le pourcentage de tâches effectuées. Les outils de portefeuille de gestion de projet
peuvent être utilisés pour nous aider à visualiser les activités / tâches du projet sous
forme de diagramme de Gantt.

Livrable
Un livrable est un objet tangible ou immatériel produit à la suite du projet qui est
destiné à être livré à un client ou client. Le résultat d'une évaluation de sécurité est une
forme de livrable. Produits livrables sous forme de rapports qui seront livrés et
examinés par le client ou la haute direction dans plusieurs types ou formats. Les types de
livrables dans le projet pentest sont:
 Résumé
 Rapport technique
Le rapport de synthèse comprend les résultats de l'évaluation, comprend des
recommandations sur la manière de remédier aux risques (stratégie d'atténuation des
risques) avec des contrôles de sécurité appropriés (mesures de protection). Les
recommandations devraient couvrir les aspects liés aux personnes, aux processus et à la
technologie. Le rapport technique comprend des informations détaillées liées aux
résultats de l'évaluation, comprend des recommandations sur la manière de remédier
aux risques (stratégie d'atténuation des risques) avec des contrôles de sécurité
appropriés (mesures de protection)
 

Vous aimerez peut-être aussi