Académique Documents
Professionnel Documents
Culture Documents
de votre réseau ?
Tout responsable d’un réseau informatique local connaît les efforts importants qu’il faut déployer
pour mettre en place un réseau et le maintenir. Tous les composants doivent être configurés de
manière à ce qu’ils soient fonctionnels et mis à jour. Pour tous les appareils utilisateurs, les logiciels
requis doivent être installés et les droits d’accès appropriés définis. Cependant, la tâche la plus
importante est de développer un concept de sécurité approprié pour protéger votre propre
réseau contre les attaques malveillantes. Selon la taille du réseau et la norme de sécurité requise,
il existe une grande variété de mesures et de composants qui peuvent être utilisés : des logiciels
pare-feu classiques, les programmes antivirus ou bien un pare-feu matériel jusqu’aux solutions
avec des composants supplémentaires comme les systèmes de détection et de prévention
d’intrusions.
Lorsque que la stratégie de défense est mise en place, il est important de ne toutefois pas
relâcher les efforts. Des tests de sécurité réguliers pour vérifier la bonne protection du réseau sont
des pratiques courantes pour les grandes entreprises ou administrations. Les tests d’intrusion ou,
en anglais, penetration test, abrégé en pentest, peuvent être utilisés pour déterminer les
potentielles attaques du réseau, des systèmes participants ou même d’une seule application. Sur
la base des résultats, des mesures d’optimisation appropriées peuvent alors être lancées. Alors,
comment réaliser un tel test et quel est son impact pour le réseau existant ?
Sommaire
1. Qu’est-ce qu’un test d’intrusion ?
2. Prérequis et raisons pour réaliser un test d’intrusion
3. Test d’intrusion : les outils utilisés
4. Procédure d’un test d’intrusion
5. Avantages et inconvénients des tests de sécurité complexes
Les éléments intermédiaires du réseau comme les routeurs, les commutateurs ou les
passerelles.
Les passerelles de sécurité comme les pare-feu, filtres de paquets, antivirus, répartiteurs
de charge (Load Balancer), IDS et IPS etc.
Les serveurs comme les serveurs Web, serveurs de base de données et serveurs de
fichiers etc.
Les équipements et systèmes de télécommunication.
Les applications Web.
Les installations d’infrastructures comme les mécanismes de contrôle d’accès.
Les réseaux sans fil impliqués comme les WIFI ou Bluetooth.
D’une manière générale, on distingue plusieurs méthodes : la méthode « black box » et « white
box » (en français test par boîte noire ou boîte blanche). Dans le premier cas, seules les
informations d’adresse du réseau ou du système cible sont mises à la disposition des tests
d’intrusion. Avec la seconde méthode, les testeurs ont une connaissance approfondie des
systèmes à tester, comme les adresses IP et les composants logiciels et matériels utilisés. Par
conséquent, les tests d’intrusion « white box » couvrent également les scénarios d’attaque qui ne
sont pas pris en compte pas un test par boîte noire comme par exemple l’attaque d’un hacker bien
informé au sein du système.
Outre les conséquences économiques, l’image et la réputation de votre société risquent aussi
d’en pâtir, notamment si les clients sont directement touchés ou si l’attaque est rendue publique.
Si vous décidez de réaliser un test d’intrusion pour votre réseau, il est conseillé de ne pas lancer
vous-mêmes des attaques contre vos systèmes informatiques et vos applications. Il est préférable
au contraire de recourir aux services d’un expert. Les tests requièrent en effet une compétence
professionnelle dans ce domaine et possèdent des intensités différentes, enfin si ces derniers sont
mal effectués, ils peuvent entraîner rapidement des complications ou des dommages
importants. Il est donc nécessaire de trouver l’équilibre entre la trajectoire d’attaque nécessaire et
l’exploitation des points faibles qui peuvent être évités. En outre, un testeur externe qui n’a pas été
impliqué dans la conception, la construction et la maintenance du réseau permet d’obtenir de
meilleurs résultats grâce à son impartialité et du fait qu’il peut ainsi voir le réseau sous un angle
neuf et différent.
Pour tout type de test d’intrusion, il est nécessaire d’être propriétaire du réseau testé ou bien d’avoir
l’autorisation appropriée. La coopération avec un professionnel externe nécessite donc un accord
contractuel, qui stipule la durée et l‘intensité du test ainsi que les mesures de protection de
données, etc.
Il existe désormais de grandes collections d’outils pour les tests d’intrusion, qui ont été compilées
par des experts en sécurité expérimentés. Ces collections fonctionnent souvent sur la base d’une
distribution Linux stable qui peut être exécutée via un support de stockage externe comme un DVD
ou une clé USB. L’avantage de ces tests d’intrusion est qu’ils sont prêts à l’emploi et combinés en
une seule interface. Parmi les solutions les plus populaires, on trouve la distribution Kali Linux, qui
a été publiée pour la première fois en 2007.
Toutes les étapes et les résultats du test d’intrusion doivent être consignés. Les domaines
principaux seront au préalable vérifiés. Vous disposez ainsi d’une base optimale pour comprendre
les différentes étapes et évaluer ainsi la situation. Habituellement, le testeur vous donnera
également une évaluation précise des failles de sécurité qui représentent des risques forts pour
votre réseau. Grâce à ces listes de priorités, vous pouvez optimiser la protection du système
étape par étape.
Un test d’intrusion prend ici tout son sens : d’une part il va beaucoup plus en détail qu’un simple
contrôle de sécurité lors de la vérification des systèmes, et de plus c’est l’objectif de base d’un tel
test de vérifier la bonne interaction des différents composants. Si un professionnel externe est
utilisé pour réaliser le pentest, vous obtenez alors un avis extérieur indépendant avec une vue
différente sur le concept de sécurité sous-jacent. Les testeurs professionnels sont
spécialement formés et procèdent de la même manière qu’un hacker. Les résultats révèlent
souvent les points faibles de votre réseau que vous n’auriez probablement jamais pu détecter
autrement.
Cependant, la collaboration avec un testeur externe comporte aussi certains risques. En effet, ce
dernier obtient un aperçu des aspects internes pendant l’exécution du processus. En outre, il est
toujours possible que le test d’intrusion provoque aussi des dommages qui ne peuvent être corrigés
ultérieurement. Par ailleurs, les tests d’intrusion ont l’inconvénient de ne fournir qu’un
instantané de vos systèmes réseau par rapport à d’autres mesures de sécurité qui fonctionnent
sans interruption en arrière-plan. C'est pourquoi vous ne devez jamais utiliser une structure de
sécurité comme excuse pour passer outre des mesures de défense communes, simplement parce
qu'elle a été optimisée sur la base d'un test d’intrusion.
De plus, l’ingénierie sociale (ou social engineering) n’est pas examinée par un test d’intrusion
classique. Cependant, de nombreux prestataires de services proposent des formations pour aider
les employés des entreprises à lutter contre les lacunes en matière de sécurité. Pour plus
d’informations sur ce sujet, vous pouvez consulter notre article sur l’ingénierie sociale.