Skip to main content

Comment les tests de pénétration détectent les failles de sécurité

Par Andrew Snook, rédacteur - Canadian Security Magazine 

Publication originale par Canadian Security Magazine 


Vérifier la sécurité interne des équipements d’une entreprise n’est pas un nouveau concept. 

Mais avec l’évolution de l’intelligence artificielle et l’évolution des lieux de travail dans un monde post-COVID, les tests de pénétration numérique et physique sont devenus plus importants que jamais. 

Lorsque vous faites appel à un expert en sécurité pour effectuer des tests de pénétration de la sécurité physique, il est important de vous assurer que le client comprenne la différence entre les tests de pénétration et les évaluations des risques liés aux menaces. 

« Lorsque nous procédons à une évaluation des risques liés aux menaces, nous examinerons les menaces par catégories : les menaces d’origine humaine qui pourraient inclure des éléments tels que la criminalité, le terrorisme, les activités de protestation, les infrastructures, qui pourraient être des pannes d’électricité, des perturbations de l’eau, des éléments de cette nature, et des facteurs environnementaux comme les tempêtes de neige, les inondations, les catastrophes naturelles, les tremblements de terre et les ouragans, » explique Brian Claman, président et directeur général, Brian Claman & Associates. 

« Donc, lorsque vous procédez à une évaluation des risques de menaces, vous réunissez les différents intervenants et, en tant que conseiller(ère), vous les guidez à travers ces différents éléments et leur demandez : Qu’est-ce qui vous empêche de dormir la nuit? Quelles sont les choses qui vous préoccupent? » 

Ces évaluations diffèrent grandement des tests de pénétration de la sécurité physique, explique Andrew Kirsch, fondateur et PDG du Kirsch Group, basé à Toronto. « Le test de pénétration est réalisé sans aucune information ou aucun indice préalables, sinon très peu », explique-t-il. « Et vous testez tous ces éléments qu’ils disent être les bonnes politiques, les bons processus, la bonne sécurité, l’infrastructure et la façon dont ils fonctionnent sans en avoir une connaissance approfondie. » 

Lorsque les entreprises pensent avoir mis en place des politiques et une infrastructure robustes en place, c’est le bon moment pour recommander un test de pénétration afin de s’assurer que tout fonctionne efficacement dans une simulation réelle impliquant un acteur malveillant qui tente d’y accéder. Et si quelque chose tombe en panne, ils sont en mesure d’identifier les vulnérabilités. 

« Souvent, nous collaborons avec le secteur de la cybersécurité, de sorte qu’il y aura un test de pénétration de la sécurité logique, qui concerne en quelque sorte les TI et le réseau, puis nous nous occupons de la partie physique. En cas de chevauchement de la sécurité de l’information, pouvons-nous avoir accès à ces zones sensibles, à ces renseignements sensibles, à ces documents, à ces laissez-passer, à tous ces éléments qui intéresseraient l’attaquant? Et quels sont les contrôles? Où s’arrête-t-on et se heurte-t-on à un ou deux risques? » mentionne Kirsch. 

Bien que les entreprises ne réalisent peut-être pas des évaluations des risques liés aux menaces chaque année, qui sont des processus plus complexes, elles peuvent effectuer un test de pénétration pour voir comment les choses se passent et garder les gens sur le qui-vive, de la même manière que les entreprises réalisent des examens d’hameçonnage et d’autres tests de pénétration en cybersécurité pour maintenir leur organisation alerte. Poser aux clients les bonnes questions avant de commencer les tests est une partie essentielle pour garantir leur efficacité. 

« Qu’est-ce qui vous intéresse vraiment ? Que cherchez-vous à tester ? Est-ce que les gens y ont accès ? OK, excellent. Mais quelles sont les zones sensibles dans lesquelles vous voulez voir si les gens peuvent y accéder ? Testez-vous les emplacements qui détiennent les informations sensibles ? » mentionne Kirsch. 

Bien que toute entreprise disposant d’un programme de protection puisse bénéficier de tests de pénétration, Claman affirme que les plus évidents qui viennent à l’esprit sont les centres commerciaux, les tours de bureaux, les infrastructures essentielles, les lieux de tourisme ou les endroits où se trouvent des actifs essentiels. 

« En tant que praticien depuis plus de 40 ans dans cette industrie, je dirais que neuf fois sur dix, les gens n’envisagent même pas d’effectuer des tests de pénétration. Ils pensent qu’ils font ce qu’il faut, jusqu’à ce qu’un événement survienne et qu’ils découvrent que ce n’est pas le cas », explique-t-il. « Il y a trop de fausses hypothèses. Une évaluation des risques de menaces, suivie de tests de pénétration, peut contribuer à réveiller les gens. » 
 

Un milieu de travail en évolution 

Avant la pandémie de COVID-19, le télétravail et les possibilités de travail hybride n’étaient pas monnaie courante. Mais dans un monde post-COVID, de nombreux employeurs profitent des avantages économiques d’avoir de petits bureaux, tandis que les employés bénéficient d’un meilleur équilibre entre la vie professionnelle et la vie personnelle grâce à la possibilité de travailler depuis chez eux. 

Mais cet environnement peut engendrer de nouveaux risques pour la sécurité. Selon Kirsch, la prise de conscience situationnelle des employés semble se dégrader avec ce nouveau milieu de travail. 

« Je pense qu’il y a des opportunités, et les attaquants en voient probablement, à exploiter le fait que nous sommes si transitoires maintenant, que nous n’avons pas ces horaires réguliers, et que les gens ne sont pas familiers avec leurs collègues », déclare-t-il. « Peut-être n’est-il pas inhabituel de voir un visage inconnu ou de ne pas savoir qui est tout le monde. Et je pense que de cette manière, nous baissions un peu notre garde. » 

Alors que les lieux de travail changent pour s’adapter et évoluer, les entreprises doivent revoir leurs protocoles de sécurité et savoir s’ils sont toujours efficaces. 
 

Passer à l’offensive 

Les entreprises du monde entier sont constamment bombardées de menaces numériques, et l’essor de l’IA a rendu ces menaces encore plus répandues. 

Alors que de nombreuses équipes TI aiment utiliser le terme « tests de pénétration numérique », Clément Cruchet, chef d’équipe technique pour les tests de sécurité et la sécurité offensive chez Bell, préfère le terme « sécurité offensive ». 

« L’idée est d’avoir une vue d’ensemble de toutes les voies d’exploitation potentielles que les auteurs de menaces peuvent emprunter pour compromettre une organisation ou accéder aux données. Il s’agit donc d’une sécurité offensive, y compris le piratage éthique », explique-t-il. 

En plus de proposer des tests de pénétration sur site, Cruchet et son équipe testent toutes sortes de menaces numériques, des applications les plus simples aux intrusions réseau. Cela comprend également l’engagement de l’équipe rouge pendant des semaines ou des mois, ainsi que l’ingénierie sociale et le développement de logiciels malveillants. La mise en place d’un programme de sécurité physique solide est également un aspect important de la sécurité numérique d’une entreprise, ajoute-t-il. 

« Vous pouvez disposer d’un coupe-feu. Vous pouvez avoir une configuration optimale de tous les éléments de sécurité du périmètre réseau, mais si votre porte d’entrée ou votre bâtiment est simplement ouvert à n’importe qui, alors n’importe qui peut se rendre sur place et placer un appareil malveillant », déclare Cruchet. 

Et bien que les entreprises puissent avoir une sécurité élevée pour accéder à des zones telles qu’une salle des serveurs, leurs défenses globales ne sont parfois pas aussi serrées qu’elles pourraient le croire. C’est là que les tests physiques peuvent revêtir une importance vitale pour les programmes de sécurité numérique. 

« Vous pensez beaucoup à la sécurité physique dans un centre de données ou aux personnes non autorisées qui tentent d’accéder à la salle des serveurs. Mais parfois, il n’y a qu’un port Ethernet exposé sur le mur juste avant la salle des serveurs, par exemple », déclare Cruchet. « Parfois, un intrus peut causer beaucoup de dégâts sans même pénétrer dans la salle des serveurs la plus sécurisée. » 

Avec la disponibilité de l’IA, les menaces ont considérablement évolué au cours des dernières années, contraignant les équipes de sécurité et TI à s’adapter rapidement. Cruchet déclare que le champ d’action des attaquants s’est réellement élargi pour accéder à des données sensibles ou les divulguer. Il ajoute que le facteur humain a considérablement évolué au cours des dix dernières années et doit faire partie des protocoles de test de sécurité. 

« Nous constatons cela dans de nombreux incidents de sécurité, qu’il s’agisse d’hameçonnage par courriel, d’authentification multifactorielle, ou par l’envoi d’unités USB à un employé. Le facteur humain est donc très important », déclare-t-il. 

Les entreprises doivent s’assurer que leurs solutions de sécurité, qui représentent un investissement de plusieurs millions de dollars, fonctionnent correctement et qu’il n’y a pas d’angle mort ou de lacunes. C’est là que les tests de pénétration peuvent rapporter gros. 

« La sécurité est souvent perçue comme un investissement coûteux. Nous devons donc trouver un équilibre entre l’investissement et la protection de l’entreprise et de nos actifs », explique Cruchet. « Vous devez effectuer un test de pénétration tous les ans ou tous les six mois. Cela dépend de la conformité et de ce que vous essayez de protéger. » 
 

Une approche à plusieurs volets 

Pour optimiser leur sécurité, les organisations doivent, selon Claman, veiller à ce que chaque personne et chaque approche fonctionnent de manière cohérente. 

« Nous ne pouvons pas examiner les tests de pénétration ou les évaluations des risques de menaces de manière isolée; il doit s’agir d’une solution de nature holistique. Cela doit être l’un des multiples composants nécessaires pour atteindre le niveau de protection souhaité », dit-il. 

Claman ajoute que les tests de pénétration sont vitaux, car ils testent et valident les hypothèses. 

« Si vous avez déjà observé un chef talentueux en train de préparer une sauce, vous remarquerez qu’il la teste régulièrement. Ils la goûtent constamment tout au long du processus, car ils pensent l’avoir bien faite. Mais c’est ça le test de pénétration. C’est la même chose avec la sécurité. Nous ne le faisons pas assez. Nous ne faisons pas d’évaluations des risques de menaces, puis nous ne faisons pas les tests de pénétration. Et nous superposons la sécurité à une organisation sans stratégie globale. Tous ces éléments doivent interagir », déclare Claman. 

 





À propos de Canadian Security Magazine 

Depuis plus de 40 ans, Canadian Security est la voix de l'industrie de la sécurité au Canada. C'est la principale source au Canada pour les directeurs de la sécurité, les gestionnaires de la sécurité des personnes, les gestionnaires immobiliers, les gestionnaires de la cybersécurité et les professionnels de la prévention des pertes, ainsi que pour les intégrateurs et les fournisseurs de services qui travaillent avec eux.