Comment tirer le maximum des essais d’intrusion
Par Oksana Vassilieva, gestionnaire principale, pratique d’essais de cybersécurité
Les essais d’intrusion (ou les tests de pénétration) devraient faire partie de la routine de cybersécurité de toute entreprise; la plupart des experts recommandent qu’ils soient effectués au moins une fois par année. C’est l’une des choses les plus simples que vous pouvez faire pour cerner et combler les lacunes dans votre posture de sécurité qui pourraient être exploitées par un auteur de menaces malveillantes.
Bien que votre fournisseur d’essais d’intrusion s’occupera de la majeure partie du travail, vous devez faire certaines choses avant, pendant et après l’essai de pénétration pour vous assurer qu’il se déroule le mieux possible et pour tirer le maximum des conclusions qui en découlent.
Que sont les essais d’intrusion?
L’objectif des essais d’intrusion est de déceler les faiblesses des défenses de votre réseau avant qu’un véritable pirate informatique ne puisse le faire. Pour ce faire, les vérificateurs autorisés imitent les tactiques, les techniques et les processus utilisés par les entités malveillantes pour accéder aux systèmes et à d’autres actifs.
Il existe trois types de tests de pénétration, qui varient en fonction de la quantité d’information et du niveau d’accès fourni à l’évaluateur :
- Test de pénétration (boîte noire) : Le vérificateur n’a aucune information sur votre réseau. Cela permet une imitation plus authentique d’une véritable attaque, au cours de laquelle l’entité malveillante manquerait probablement de connaissances de première main de vos systèmes.
- Test de pénétration (boîte grise) : Le préposé aux essais dispose de certains renseignements sur votre réseau et de données d’authentification de bas niveau pour l’accès. Cette approche permet d’approfondir l’exploration des vulnérabilités ou des points faibles potentiels et peut simuler une attaque plus ciblée dans le monde réel.
- Test de pénétration (boîte blanche) : Le vérificateur a des renseignements détaillés sur votre réseau ainsi qu’un accès complet. Cela permet une évaluation plus complète des vulnérabilités internes et externes.
La Norme d’exécution des essais d’intrusion (PTES) établit sept étapes, depuis les interactions avant l’engagement et la collecte de renseignements jusqu’à l’analyse et la production de rapports après l’exploitation. Prendre certaines mesures tout au long de ce processus peut aider à maximiser la valeur d’un essai d’intrusion dans vos efforts en matière de cybersécurité.
Ce qu’il faut faire avant les essais d’intrusion
L’étape de pré-engagement jette les bases de l’ensemble du processus en établissant les paramètres d’essai. Pour de meilleurs résultats :
- Comprendre ce qui doit être protégé (p. ex., systèmes essentiels, données sensibles) ainsi que les risques et les menaces d’affaires ou opérationnels auxquels votre entreprise est confrontée. Cela aidera le fournisseur à définir la portée, les objectifs et l’approche des essais.
- S’assurer que le fournisseur comprend toutes les exigences réglementaires en matière de confidentialité et de sécurité des données qui s’appliquent à votre secteur et à votre territoire.
- Déterminer un calendrier d’essai qui réduirait au minimum les perturbations de vos activités normales, en tenant compte des périodes d’utilisation de pointe et d’autres facteurs pertinents.
- Consacrer toutes les ressources nécessaires (systèmes, réseaux, personnel) pour assurer le bon déroulement des essais et éviter les retards.
- Informer les équipes internes clés des essais, y compris les équipes TI, Sécurité et Gestion.
- Rédiger et signer toutes les ententes juridiques nécessaires, par exemple les ententes de non-divulgation (ententes de non-divulgation) et les règles d’engagement (RE).
La profondeur de la phase de collecte de renseignements variera selon le type d’essai d’intrusion : noir, gris ou blanc. En général, vous pouvez faciliter la démarche en suivant les étapes ci-dessous :
- Partager toute information pertinente sur la portée ciblée, comme vos réseaux, vos systèmes, vos applications, votre gamme technologique et vos comptes d’utilisateur (p. ex., diagrammes de réseau, détails sur les logiciels et le matériel utilisés, une liste des comptes d’utilisateur et les permissions connexes).
- Divulguer les vulnérabilités connues précédemment afin que l’évaluateur puisse éviter les essais redondants.
- Déterminer les systèmes et les données à éviter pendant les essais, particulièrement importants si vous travaillez dans un secteur rigoureusement réglementé comme les finances ou les soins de santé.
Ce qu’il faut faire pendant les essais d’intrusion
Au cours de la phase de modélisation des menaces, le fournisseur définit les vulnérabilités et les risques potentiels de votre système et la façon dont un pirate informatique pourrait en tirer parti pour compromettre votre sécurité, accéder à des données restreintes ou sensibles ou avoir une incidence sur votre entreprise. Vous pouvez animer cette étape en vous assurant que les membres de votre équipe sont disponibles pour répondre aux questions ou fournir de la documentation supplémentaire pour clarifier l’architecture de votre système ou les scénarios de menaces potentielles.
Ce qu’il faut faire après les essais d’intrusion
Une fois l’essai d’intrusion terminé, le fournisseur fournira un rapport décrivant ses constatations et ses recommandations. Prenez le temps de passer en revue les résultats du rapport avec le fournisseur. Posez des questions pour vous assurer de bien comprendre les vulnérabilités ou les risques relevés et les solutions proposées.
Ensuite, planifiez des mesures correctives avec vos équipes des TI et de la sécurité. Priorisez celles que vous pouvez traiter à l’interne. Pour les problèmes plus complexes, communiquez avec le fournisseur ou un autre expert pour obtenir du soutien. Comme il est essentiel d’évaluer l’efficacité de toutes les mesures correctives, vous devriez revérifier les vulnérabilités relevées que vous cherchez à résoudre.
Explorez les services d’essai d’intrusion et plus encore de Bell
Comme le montre l’illustration, le but d’un essai d’intrusion est de cerner les vulnérabilités potentielles qu’un utilisateur malveillant peut exploiter. Travaillons ensemble pour mettre fin aux entités malveillantes. Communiquez avec nous dès aujourd’hui pour configurer votre test de pénétration.
Visitez notre page des services professionnels de cybersécurité pour en savoir plus.