Techniques d’intrusions

>> Reconnaissance : Autres outils (réseau)

• Maltego
• Recon-ng

• theHarvester
• Shodan

• OSRFramework

Master II - Prévention, détection et réponses aux Intrusions 48

Techniques d’intrusions
>> Scan des ports
Un scan de ports est une activité qui analyse les ports réseau pour déterminer leur statut :
ouvert, fermé ou filtré. Il permet aux attaquants de détecter des points d’infiltration
possibles et d’identifier les appareils utilisés sur votre réseau, comme les pare-feu, serveurs
proxy ou serveurs VPN.
Un scanner de ports envoie une demande de connexion à un port TCP ou UDP d’un
ordinateur et enregistre la réponse. Il envoie donc un paquet de données réseau à un port
pour en contrôler le statut. Par exemple, pour vérifier si votre serveur Web fonctionne
correctement, vous devez contrôler le statut du port 80 de ce serveur pour vous assurer qu’il
est ouvert et à l’écoute.
Cette information permet aux ingénieurs réseau de diagnostiquer les problèmes de réseau et
de connectivité applicative, mais aussi aux attaquants de localiser les ports pouvant leur
permettre de s’infiltrer dans votre réseau.

Master II - Prévention, détection et réponses aux Intrusions 49

Techniques d’intrusions
>> Scan des ports
Un scanner de ports envoie un paquet réseau TCP ou UDP demandant à un port quel est
statut. Trois réponses sont possibles :
1. Ouvert, accepté : l’ordinateur répond et demande s’il peut faire quelque chose pour
vous.
2. Fermé, n’écoute pas : l’ordinateur répond que le port est en cours d’utilisation et
indisponible pour le moment.
3. Filtré, ignoré, bloqué : l’ordinateur ne répond pas du tout.
Les balayages de ports permettent aux hackers de détecter des cibles disposant de ports
ouverts et non utilisés qu’ils peuvent exploiter pour infiltrer le réseau, transmettre des
informations de commande et contrôle, exfiltrer des données ou déterminer quelles
applications sont exécutées sur l’ordinateur afin de tirer parti de leurs vulnérabilités

Master II - Prévention, détection et réponses aux Intrusions 50

Techniques d’intrusions
>> Scan des ports
>>> scan par ping
Nmap compte parmi les outils de balayage de ports open source les plus populaires. Il propose différentes
techniques de balayage adaptées à divers scénarios.
Le plus simple des balayages de ports est le scan par ping. Un ping est une requête echo Internet Control
Message Protocol (ICMP) permettant de rechercher n’importe quelle réponse ICMP indiquant que la cible
est accessible.
Un balayage par ping est un envoi massif de requêtes echo ICMP à différentes cibles permettant de voir
qui répond. En réalité, il ne s’agit pas vraiment d’un balayage de ports, car le ping permet seulement de
savoir si un ordinateur est effectivement présent derrière la combinaison d’adresse IP et de port que vous
avez indiquée. Toutefois, il s’agit en général de la première tâche à effectuer avant un balayage en bonne et
due forme.
Généralement, les administrateurs désactivent la commande ping sur le pare-feu ou le routeur pour le trafic
externe, mais la conservent pour le trafic interne. La désactivation de cette fonctionnalité est simple et
rapide, et interdit l’utilisation de cette méthode pour explorer le réseau. Toutefois, le ping est un bon outil
de dépannage et sa désactivation complique un peu la recherche des problèmes sur le réseau

Master II - Prévention, détection et réponses aux Intrusions 51

Techniques d’intrusions
>> Scan des ports
>>> TCP Half Connect
Une des techniques de balayage de ports les plus courantes et les plus prisées est le balayage de ports TCP
Half-Open, parfois aussi appelée balayage SYN.
Cette méthode rapide et rusée tente de trouver d’éventuels ports ouverts sur l’ordinateur cible. Les paquets
SYN demandent une réponse à l’ordinateur, qui prend la forme d’un paquet ACK. Dans le cadre d’une
transaction TCP classique, un paquet SYN est envoyé, le service renvoie un paquet ACK, puis un message
de confirmation ACK est envoyé.
Ce balayage est rapide et difficile à détecter, car il ne va jamais au bout du handshake TCP en 3 temps. Le
scanner envoie un message SYN et note simplement les réponses SYN-ACK. Il n’établit jamais la
communication en envoyant le paquet ACK final : la cible est laissée en suspens.
Chaque réponse SYN-ACK correspond à un port potentiellement ouvert. Une réponse RST(reset) signifie
que le port est fermé, mais qu’un ordinateur disposant de cette adresse est actif. L’absence de réponse
signifie que les paquets SYN sont filtrés sur le réseau. L’absence de réponse ICMP (ping) est également
considérée comme une réponse filtrée

Master II - Prévention, détection et réponses aux Intrusions 52

Techniques d’intrusions
>> Scan des ports
>>> TCP Connect
Cette technique de balayage de ports est identique au balayage TCP Half-Open, mais au lieu
de laisser la cible en suspens, le scanner de ports établit la connexion TCP.

Cette méthode est moins utilisée que le balayage TCP Half-Open et ce, pour plusieurs
raisons. Tout d’abord, vous devez envoyer plusieurs paquets par balayage, ce qui vous fait
perdre en discrétion sur le réseau. Ensuite, vous allez jusqu’au bout de la connexion avec la
cible, ce qui risque de déclencher une alerte que ne déclencherait pas un balayage Half-
Open.

Les systèmes cibles auront plus tendance à enregistrer une connexion TCP complète. De
même, les systèmes de détection des intrusions ont plus de chances de générer une alerte
lorsque plusieurs connexions TCP proviennent du même hôte.

Master II - Prévention, détection et réponses aux Intrusions 53

Techniques d’intrusions
>> Scan des ports
>>> Balayage UDP
Les balayages UDP sont plus lents que les balayages TCP, mais il existe de nombreux services UDP
exploitables par les attaquants, notamment l’exfiltration DNS.

Les ports UDP doivent être aussi bien protégés que leurs équivalents TCP. Les balayages UDP sont plus
efficaces lorsqu’une charge utile spécifique est envoyée à la cible.

Par exemple, pour savoir si un serveur DNS est actif, envoyez une demande DNS. Pour d’autres ports
UDP, le paquet envoyé est vide. Une réponse de type « non atteignable » à un paquet ICMP signifie que le
port est fermé ou filtré. Si un service est en cours d’exécution, vous pouvez recevoir une réponse UDP.
Cela signifie que le port est ouvert.

Une absence de réponse peut vouloir dire que le port est ouvert ou filtré. Une utilisation plus logique d’un
balayage UDP consiste à envoyer une requête DNS au port UDP 53 pour voir si vous obtenez une réponse
DNS. Dans l’affirmative, vous savez qu’un serveur DNS est présent sur cet ordinateur. Un balayage UDP
peut être utile pour découvrir quels services sont actifs, et le scanner de ports Nmap est préconfiguré de
manière à envoyer des requêtes à de nombreux services standard
Master II - Prévention, détection et réponses aux Intrusions 54
Techniques d’intrusions
>> Scan des ports
>>> Balayage Furtif
Certains ports sont plus faciles à détecter que les autres : il est donc important de connaître les flags
TCP qui permettent aux attaquants de rendre difficile la détection de leurs balayages. Lorsque vous
envoyez un balayage de ports avec un paquet et le flag FIN, vous envoyez le paquet sans attendre de
réponse. Si vous recevez un paquet RST, vous pouvez supposer que le port est fermé. Si vous ne
recevez rien en retour, cela signifie que le port est ouvert. Les pare-feux recherchant les paquets
SYN, les paquets FIN ne sont pas détectés.

Le balayage X-MAS envoie un paquet avec les flags FIN, URG et PUSH et attend un paquet RST ou
aucune réponse, tout comme le balayage FIN. Ce balayage a peu d’applications pratiques, mais grâce
à lui, le paquet ressemble à un arbre de Noël, alors c’est déjà ça. Vous pouvez aussi envoyer des
paquets sans flag (un paquet NULL), et la réponse est soit un paquet RST, soit rien. L’avantage de
ces balayages (pour le hacker), c’est qu’ils n’apparaissent généralement pas dans les journaux. Un
logiciel de détection des intrusions (IDS) plus récent et, bien sûr, WireShark, pourront toutefois les
intercepter.

Master II - Prévention, détection et réponses aux Intrusions 55

Techniques d’intrusions
>> Scan des ports : Cas pratiques
- Réaliser des scans de ports à l’aide de nmap.
1° Ping sweep with Nmap :
nmap –sn 10.10.10.0/24

2° Obtaining OS and service versions

Using the -A operator will initiate an aggressive scan, -O will profile the operating system,
and -sV will identify service versions
nmap –A –O –sV 10.10.10.100

3° Scanning host devices with ICMP disabled : nmap –pn 10.10.10.100

Master II - Prévention, détection et réponses aux Intrusions 56
Techniques d’intrusions
>> Scan des ports : Cas pratiques
- Réaliser des scans de ports à l’aide de nmap.
1° Stealth scan (half open) using nmap : nmap –sS –p 80 10.10.10.100
2° Scanning UDP with nmap : nmap –sU target

Master II - Prévention, détection et réponses aux Intrusions 57

Techniques d’intrusions
>> Scans de vulnérabilités
• Les scans de vulnérabilités sont une activité qui consiste à analyser un réseau ou
un système à la recherche de faiblesses et de vulnérabilités de sécurité qui
pourraient être exploitées par une personne malveillante.
• Il existe différents types de scanners qui recherchent des vulnérabilités différentes.
Par exemple, les scanners de vulnérabilité réseau analysent les réseaux
d’entreprise à la recherche de systèmes vulnérables et inconnus (serveurs,
périphériques, points d’accès, etc.) qu’un attaquant pourrait exploiter. D’autre part,
les scanners de vulnérabilité des applications web recherchent les vulnérabilités et
les failles des sites web et des applications basées sur le web.
• Ils peuvent également identifier le système d’exploitation utilisé, la dernière mise
à jour des logiciels et la dernière application de correctifs de sécurité.
• Les scanners de vulnérabilité sont essentiels pour rechercher et éliminer les failles
de sécurité afin de renforcer la sécurité du SI

Master II - Prévention, détection et réponses aux Intrusions 58

Techniques d’intrusions
>> Scan de vulnérabilités
>>> Scans basés sur les réseaux
• Un scanner de vulnérabilité réseau analyse les réseaux de l’entreprise
pour trouver les périphériques, les serveurs Web, les systèmes
d’exploitation et tous les services ouverts sur Internet, tels que les
services de base de données, qui sont vulnérables.
• Ces outils de sécurité s’appuient généralement sur une base de
données publique de vulnérabilités connues, comme la National
Vulnerability Database (NVD) ou Common Vulnerabilities and
Exposures (CVEs) du NIST, pour trouver et révéler les vulnérabilités.
• Les analyses de vulnérabilité du réseau peuvent provoquer une
congestion du réseau ; c’est pourquoi elles ne sont effectuées que
périodiquement, par exemple une fois par semaine.
Master II - Prévention, détection et réponses aux Intrusions 59
Techniques d’intrusions
>> Scan de vulnérabilités
>>> Scans basés sur l’hôte
• Un scanner de vulnérabilité basé sur l’hôte identifie les
vulnérabilités dans les hôtes du réseau, tels que les serveurs et
les stations de travail. Il peut trouver des vulnérabilités sur un
seul hôte (comme un ordinateur individuel) ou sur des
périphériques réseau (comme des routeurs ou des
commutateurs).
• Ces scanners sont essentiels à la sécurité des entreprises. Ils
mettent en évidence les dommages qui peuvent être causés
par une personne malveillante après avoir atteint un certain
niveau d’accès, qu’il soit interne ou externe
Master II - Prévention, détection et réponses aux Intrusions 60
Techniques d’intrusions
>> Scan de vulnérabilités
>>> Scanners d’applications
• Les scanners de vulnérabilité des applications testent le code des
applications web et des sites web pour détecter les vulnérabilités connues et
les problèmes de configuration qui constituent une menace pour la sécurité.
• Ces scanners peuvent également trouver des vulnérabilités inconnues
jusqu’alors, qui peuvent être propres à l’application testée. Cette approche
est connue sous le nom de test dynamique de sécurité des applications (Test
dynamique de sécurité des applications (Dynamic application security
testing, DAST).
• Les tests statiques de sécurité des applications (Static application security
testing, SAST) sont utilisés pour analyser le code source des applications
Web pendant la phase de développement d’un cycle de développement
sécurisé (SDLC).

Master II - Prévention, détection et réponses aux Intrusions 61

Techniques d’intrusions
>> Scan de vulnérabilités
>>> Scanners d’applications

• Le test interactif d’applications (interactive application security

testing, IAST) peut effectuer une analyse statique et dynamique et est
généralement utilisé pour identifier les vulnérabilités avant qu’une
application ne soit mise en production.
• les scanners d’analyse de composition logicielle (Software
Composition Analysis, SCA) recherchent les vulnérabilités des
composants open source tels que les bibliothèques et les frameworks.

Master II - Prévention, détection et réponses aux Intrusions 62

Techniques d’intrusions
>> Scan de vulnérabilités
>>> Scanners de bases de données

• Les scanners de vulnérabilité de base de données identifient

les faiblesses de la base de données afin que l’organisation
puisse atténuer et prévenir les attaques malveillantes.

Master II - Prévention, détection et réponses aux Intrusions 63

Techniques d’intrusions
>> Scan de vulnérabilités
>>> Quelques outils

• Nessus, Qualys, OpenVAS, …

• Plusieurs outils permettent de détecter les vulnérabilités d'un seul type
de cible. On dénombre notamment :
• WPScan : pour les failles Wordpress ;
• RouterSploit : pour les failles sur routeur, commutateur et pare-feu ;
• SQLmap : pour les injections SQL uniquement ;
• BruteSpray : pour les mots de passe par défaut uniquement.

Master II - Prévention, détection et réponses aux Intrusions 64

Techniques d’intrusions
>> Exploitation des vulnérabilités

• Il s’agit d’exploiter des vulnérabilités décelées pour avoir un accès au

réseau ou un système.
• Cela est fait sur grâce à des exploits. Les exploits informatiques sont
des programmes spécialisés ou des morceaux de code qui tirent parti
d’une vulnérabilité ou d’une faille de sécurité dans un logiciel.
• En d’autres termes, un exploit est un outil qui permet au pirate
d’exploiter une faille de sécurité et d’en tirer profit.

Faire une Exploitation d’une machine virtuelle à l’aide de

Metasploit

Master II - Prévention, détection et réponses aux Intrusions 65

Techniques d’intrusions
>> Quelques attaques : DNS Spoofing
• L’usurpation d’un serveur de nom de domaine (DNS) est une cyberattaque qui fait
croire à votre ordinateur qu’il consulte le site Web prévu, alors que ce n’est pas le
cas. Les attaquants recourent à l’empoisonnement du cache DNS pour détourner le
trafic Internet et dérober les identifiants ou données personnelles d’un utilisateur.
• Le hacker cherche à pousser les utilisateurs à saisir des données personnelles sur
des sites Web frauduleux. Pour y parvenir, il empoisonne le cache DNS en
remplaçant les données DNS d’un site, de sorte que toute tentative d’accès à ce
site redirige l’utilisateur vers son propre serveur

Master II - Prévention, détection et réponses aux Intrusions 66

Techniques d’intrusions
>> Quelques attaques : IP Spoofing
• L’usurpation d’adresse IP – ou usurpation IP – consiste à créer des paquets IP (Internet Protocol) en
utilisant une fausse adresse IP source pour se faire passer pour un autre ordinateur. Une fois qu’une
fausse adresse IP est considérée comme digne de confiance, les pirates informatiques peuvent
obtenir des informations sensibles de l’ordinateur de la victime ou lancer une attaque en ligne.
• Le pirate commence par choisir le système qu’il veut attaquer pour qu’il se fasse passer pour un
autre système en falsifiant son adresse IP pour obtenir le maximum de détails sur le système cible,
et il détermine les systèmes ou adresses IP autorisés à se connecter au système cible. Le pirate
attaque ensuite le serveur cible en utilisant l’adresse IP falsifiée

Master II - Prévention, détection et réponses aux Intrusions 67

Techniques d’intrusions
>> Quelques attaques : ARP Spoofing
• L'ARP spoofing (« usurpation » ou « parodie »)
ou ARP poisoning (« empoisonnement ») est une technique utilisée en
informatique pour attaquer tout réseau local utilisant le protocole de résolution
d'adresse ARP, les cas les plus répandus étant les réseaux Ethernet et Wi-Fi. Cette
technique permet à l'attaquant de détourner des flux de communications transitant
entre une machine cible et une passerelle : routeur, box, etc. L'attaquant peut
ensuite écouter, modifier ou encore bloquer les paquets réseaux.

Master II - Prévention, détection et réponses aux Intrusions 68

Techniques d’intrusions
>> Quelques attaques : Phishing
L’hameçonnage reste l’un des principaux vecteurs de la
cybercriminalité. Ce type d’attaque vise à obtenir du destinataire d’un
courriel d’apparence légitime qu’il transmette ses coordonnées
bancaires ou ses identifiants de connexion à des services financiers, afin
de lui dérober de l’argent. L’hameçonnage peut également être utilisé
dans des attaques plus ciblées pour essayer d’obtenir d’un employé ses
identifiants d’accès aux réseaux professionnels auxquels il peut avoir
accès

Master II - Prévention, détection et réponses aux Intrusions 69

Techniques d’intrusions
>> Quelques attaques : exploitation des failles physiques
Les failles physiques constituent un moyen plus ou moins trivial de
s’introduire dans les réseaux de communications électroniques. Un pirate
qui réussit une intrusion physique dans un Organisme peut à travers un
câble réseau se brancher sur une prise RJ45 et avoir un accès au réseau.
L’application de mesures adéquates de sécurité physique constitue la
première barrière de sécurité.

Exercice : Fournir des exemples de

contrôles qui peuvent être implémentés sur
le plan physique

Master II - Prévention, détection et réponses aux Intrusions 70

 Techniques d’intrusions
>> Intrusion dans les réseaux Wifi
• Les réseaux sans fil permettent de connecter des systèmes en entreprise ou à domicile
en raison de la facilité de déploiement et du coût relativement faible.
• Historiquement, les réseaux sans fil ont été assez peu sécurisés, principalement en raison
d’un manque de connaissances des utilisateurs finaux et des organisations, ainsi que de
configurations par défaut non sécurisées définies par les fabricants d’appareils.
• Les réseaux sans fil sont soumis aux mêmes vulnérabilités, menaces et risques que
n’importe quel réseau câblé, en plus de l’écoute à distance, du reniflage de paquets et
des nouvelles formes de DoS et d’intrusion..
• Les cellules des réseaux sans fil sont les zones d’un environnement physique où un
périphérique peut se connecter à un point d’accès sans fil. Ces cellules peuvent être
accessibles au delà de l’environnement sécurisé et permettre aux intrus d’accéder
facilement au réseau sans fil.
• Il est nécessaire d’ajuster la puissance du point d’accès sans fil pour maximiser l’accès
des utilisateurs autorisés et minimiser l’accès aux intrus.

Master II - Prévention, détection et réponses aux Intrusions 71

 Techniques d’intrusions
>> Intrusion dans les réseaux Wifi
• Lorsque vous déployez des réseaux sans fil, vous devez déployer des points
d’accès sans fil autorisés à utiliser le mode infrastructure plutôt que le mode
ad hoc. Le mode ad hoc signifie que tout deux périphériques réseau sans fil,
y compris deux cartes d’interface réseau sans fil (NIC), peut communiquer
sans autorité de contrôle centralisée.
• Le mode Infrastructure signifie qu’un point d’accès sans fil est requis, que les
cartes réseau sans fil sur les systèmes ne peuvent pas interagir directement
et que les restrictions du point d’accès sans fil pour l’accès au réseau sans fil
sont appliquées.
• Dans le mode infrastructure, il existe plusieurs variantes notamment : stand-
alone, wired extension, enterprise extended, et bridge.

Master II - Prévention, détection et réponses aux Intrusions 72

 Techniques d’intrusions
>> Intrusion dans les réseaux Wifi
• Stand-alone : se produit lorsqu’un point d’accès sans fil connecte
des clients entre eux, mais aucune ressource par câble.
• Wired extension : se produit lorsque le point d’accès sans fil agit
comme un point de connexion pour relier les clients sans fil au
réseau câblé.
• enterprise extended : se produit lorsque plusieurs points d’accès
sans fil (WAP) sont utilisés pour connecter une grande zone
physique au même réseau câblé.
• Bridge : Se produit lorsqu’une connexion sans fil est utilisée pour
relier deux réseaux câblés.

Master II - Prévention, détection et réponses aux Intrusions 73

 Techniques d’intrusions
>> Intrusion dans les réseaux Wifi
• Le SSID (Service Set Identified) est diffusé par le WAP via une transmission spéciale appelée beacon
frame.
• Le Site survey est le processus d’étude de la présence, de la force et de la portée des points d’accès
sans fil déployés dans un environnement.
• WPS (Wi-Fi Protected Setup ) : a security standard for wireless networks. It is intended to simplify the
effort involved in adding new clients to a well-secured wireless network. It operates by
autoconnecting the first new wireless client to seek the network once the administrator triggered the
feature by pressing the WPS button on the base station

• Protocoles utilisés : wep, wpa, wpa2, 802.1X/EAP, PEAP, LEAP , TKIP , CCMP

Exercice : Faire des recherches sur protocoles ci-dessus.

Master II - Prévention, détection et réponses aux Intrusions 74

 Techniques d’intrusions
>> Intrusion dans les réseaux Wifi : attaques

• War Driving : the act of using a detection tool to look for wireless networking signals
• War Chalking : It’s a way to physically mark an area with information about the presence of a
wireless network
• Replay : retransmission of captured communications in the hope of gaining access to the
targeted system
• Rogue Access Point : a wireless access point that has been installed on a secure network without
explicit authorization from a local network administrator.
• Evil Twin : an attacker sets up a fake WiFi access point hoping that users will connect to it instead
af a legitimate one

Exercice : Présenter les mésures de sécurisation des

reseaux wifi

Master II - Prévention, détection et réponses aux Intrusions 75

CHAPITRE III :
APPROCHE GENERALE DE LA
PREVENTION/DETECTION DES INTRUSIONS

Master II - Prévention, détection et réponses aux Intrusions 76

 Approche Générale de la prévention et de la détection des
intrusions
>> Prévention des intrusions : Aspects Organisationnels
• Le déploiement au sein d’une organisation des mesures organisationnelles consiste à la mise en place d’un
cadre de gouvernance et de management de la sécurité de l’information et la mise en place d’un système de
management de la sécurité de l’information. Le cadre de gouvernance devrait être basé sur un cadre
normatif bien précis.

• On note ainsi une bonne gestion des risques liés à la sécurité du système d’information, la définition des
politiques de sécurité, la définition claire des rôles et responsabilités des acteurs, la formation et la
sensibilisation des personnels.

• Les politiques de sécurité doivent préciser les objectifs de sécurité de la Structure, le périmètre, les rôles et
responsabilités des acteurs et fournir les contrôles adéquats devant permettre une sécurisation du système
d’information.

Master II - Prévention, détection et réponses aux Intrusions 77

 Approche Générale de la prévention et de la détection des
intrusions
>> Prévention des intrusions : Aspects Organisationnels
Les politiques de sécurité pourraient aborder les thématiques liées à
la gestion des actifs, à la sécurité liée au ressources humaines, aux
interactions avec les tiers, aux contrôles d’accès, à la gestion des
opérations, à la gestion des communications, à la gestion des
incidents, etc

Master II - Prévention, détection et réponses aux Intrusions 78

 Approche Générale de la prévention et de la détection des
intrusions
>> Prévention des intrusions : Aspects Physiques
La sécurité physique est le premier niveau de sécurisation dans le cadre de la
prévention des intrusions. Les contrôles physiques qui doivent être implémentés
portent sur le contrôle d’accès physiques, la sécurité physique du matériel, du
câblage, la sécurité énergétique, l’aménagement adéquat des locaux techniques, les
dispositifs de vidéosurveillance, les détecteurs de mouvement,…

Master II - Prévention, détection et réponses aux Intrusions 79

 Approche Générale de la prévention et de la détection des
intrusions
>> Prévention des intrusions : Aspects logiques
Il est question de la mise en œuvre technique des mesures de sécurité devant
contribuer à la prévention des intrusions. Ces mesures devront permettre un
contrôle efficient des accès logiques au réseau, système et bases de données,
une configuration adéquate des actifs raccordés au réseau, la mise à jour des
systèmes exploités, l’utilisation des protocoles sécurisés, l’utilisation des anti-
malware, le déploiement des firewall, des IPS,…

Master II - Prévention, détection et réponses aux Intrusions 80

Approche Générale de la prévention et de la détection des intrusions
>> Prévention des intrusions : Audit de sécurité et tests d’intrusions

• Les audits de sécurité des systèmes d’information permettent de déterminer au sein d’un
Organisme, les faiblesses de la politique de sécurité. Il s’agit d’une évaluation des
mesures de sécurité déployées à l’effet de déterminer les failles et les risques associées.
L’audit de sécurité s’appuie sur un référentiel d’audit devant spécifier les critères d’audit
et mettre en exergue l’ensemble des points de contrôle.
• Les tests d’intrusion visent à déterminer la surface d’exposition d’un système ou réseau et
vise à ressortir les faiblesses pouvant être exploitées par une personne malveillante pour
s’introduire illicitement dans le réseau. Notons qu’il existe plusieurs types de tests
d’intrusion : test en boite noire, test en boite blanche, test en boite grise.

Master II - Prévention, détection et réponses aux Intrusions 81