TEST D’INTRUSION : UNE
SIMULATION DE HACKING POUR
IDENTIFIER LES FAIBLESSES DE
VOTRE SYSTÈME
Vo t re speake r au jo u rd ’hu i :
F ra n ç o i s
We b S e c u r i t y M a n a g e r
Part ie 1: Introduct ion aux Tests d’ intrus ion
Part ie 2: Procédures de tests
Part ie 3: Rapport de test et recommandat ions
Part ie 4: A i - je beso in d’un Test d’ intrus ion ?
Agenda
PARTIE 1Introduct ion aux Tests
d’ intrus ion
• Q u ’ e s t c e q u ’ u n Te s t d ’ i n t r u s i o n ?
• Te s t a u t o m a t i s é e t t e s t m a n u e l
• N o s t e s t e u r s
• Po u r q u o i f a i r e u n Te s t d ’ i n t r u s i o n ?
• C o m m e n t s a v o i r s i j ’ a i é t é h a c k é ?
QU’EST-CE QU’UN TEST D’INTRUSION ?
• Évaluation de la vulnérabilité
Réalisé dans des conditions réelles, en suivant les mêmes procédures qu’un
hacker.
Objectifs Renforcer la sécurité de votre système informatique en évaluant les risques de
piratage à tous les niveaux.
Faire tester la vulnérabilité de votre infrastructure par des experts accrédités
CHECK.
• Hacking “éthique”
Périmètre de travail prédéfini, sans risques de dommages sur votre
infrastructure.
TEST AUTOMATIQUE et MANUEL
• Un fonctionnement en continu
• Des algorithmes rapides
• Une solution économique
Les tests manuels(tests d’intrusion)
Les tests automatiques
• Une détection proactive des
vulnérabilités
• Une attaque effectuée par une
personne physique en situation réelle
• Une méthodologie qui combine
différents outils et techniques
• Des experts accrédités
Deux approches différentes et complémentaires
Le test d’intrusion et l’analyse des vulnérabilités sont des outils
puissants et complémentaires
NOS TESTEURS
De multiples accréditations pour nos experts en intrusion:
• CHECK
• Certification européenne de haut niveau établie par CESG
(Communications-Electronics Security Group) en association
avec GCHQ
• Nécessaire à l’évaluation des organismes du secteur public
• CREST
• IACRB (Information Assurance Certification Review Board)
Pour votre test d’intrusion, nous vous recommandons de faire appel à des
fournisseurs certifiés ISO 27001 ou 9001, une preuve de qualité
mondialement reconnue.
Le test comprend un examen théorique + examen pratique
POURQUOI FAIRE UN TEST D’INTRUSION ?
Contrôle de l’image de marque et du capital
Conformité/
Bonnespratiques
Conformité de l’accréditation
Les échanges avec des organisations gouvernementalespeuvent nécessiter un Test d’intrusion
Responsabilité des clients et du personnel
Maintenir la confiance
COMMENT SAVOIR SI J’AI ÉTÉ PIRATÉ ?
Vous ne pouvez pas le savoir! Mais:
• Un Test d’intrusion est capable d’identifier
une attaque
• Des signes peuvent être visibles
Les dangers d’une attaque
• Les dommages liés aux coûts et l’impact sur la réputation peuvent être
considérables
• Les données perdues ne peuvent pas toujours être récupérées
72% des PME souffrant d’une perte de
données conséquente disparaissent dans les 24 mois
3 millions d’€C’est le coût annuel moyen des pertes de
données pour une entreprise française
97 % des entreprises
victimes de failles de sécurité l’ignorent
Source: IBM and Ponemon report “Cost of data breach study 2014”
PARTIE 2Les procédures de Test
• Q u e t e s t o n s n o u s ?
• C o m m e n t f o n c t i o n n e l e t e s t ?
• É t a p e s p r é a l a b l e s a u t e s t
• Ty p e s d e t e s t s
QUE TESTONS-NOUS ?
Test Externe
Exploitations à distance / à l’extérieur de l’entreprise
Reproduction d’une attaque externe
Test Interne
Exploitation des vulnérabilités internes à l’entreprise
Individus présents au sein de l’entreprise (personnel, prestataires…)
Test des applications web
Test des plateformes, administration de la sécurité, escalade des
privilèges
QUE TESTONS-NOUS ?
Nous testons également vos:
• Applications mobiles
• Examens de code (code review)
• Build Reviews
• Social Engineering (ingénierie sociale)
• Voiceover IP (VoIP)
• Structure de réseau
• Wireless (pas seulement Wi-Fi)
• 3G
• Radar
• Micro-ondes
• Bluetooth
• Etc.
COMMENT FONCTIONNE LE TEST?
• La procédure du test est non invasive et planifiée selon le champ de travail
convenu.
• Pas d’attaque par déni de service – DoS
• Différentes méthodologies de test - black box, grey box ou white box
• Exercice de découverte publique d’Open source – Repérage des informations pouvant être utilisées par un hacker malveillant lors d’uneattaque
• Mise en place du test
• Délivrance d’une note globale de vulnérabilité
• Nettoyage – pour assurer la non interruption du service. Toutes les attaques
sont supprimées du serveur pour assurer qu’aucune porte d’entrée n’ait été
laissée ouverte
ETAPES PRÉALABLES AU TEST
• Définition du périmètre de travail / questionnaire
• Attribution d’un expert dédié, point de contact technique du client
• Tout est convenu à l’avance
• Proposition complète incluant :
• Le périmètre de travail
• La stratégie de test
• La méthodologie – basée sur les standards CESG CHECK
• Exemple de rapport
• Les outils préconnisés pour réhabiliter le système
• Expert dédié de votre côté
TYPES DE TESTS
Black box White boxGrey box
Aucune Information
fournie avant le test
• Le test le plus réaliste
• Simule le scénario
d’une attaque réelle
de hacker, à
“l’aveugle”
Toutes les informations
sont fournies avant le
test
• Connaissance des
données internes du
système cible
• Informations telles que
les diagrammes de
réseau, les identifiants
de connexion…
• Test précis et rigoureux
• Simule une attaque en
interne / la fuite
d’informations
sensibles
Quelques informations
fournies avant le test
• Accès à des
informations partielles
telles que les
addresses IP, les
identifiants utilisateurs
• Tentatives d’escalade
des niveaux d’accès
(utilisateur,
administrateur…)
PARTIE 3Rapport de Test
• C o n t e n u d u r a p p o r t
• Re m i s e d u r a p p o r t
1) Récapitulatif global• Principales conclusions ; évaluation
des risques
• Synthèse des mesures correctives
• Impact sur l’entreprise
2) Synthèse technique • Evaluation technique
• Dommages causés sur le système
3) Recommandations de
réhabilitation technique
détaillées
RAPPORT DE TEST
Les rapports sont structurés en 3 parties
La liste suivante synthétise les principaux problèmes relevés
• La politique en terme de mots de passe n’est pas conforme
• Correctifs de sécurité obsolètes
• Ports laissés ouverts
• Page de login vulnérable aux cross-site scripting (XSS) et aux attaques
d’injection SQL
• Pourrait résulter en une attaque de type “man in the middle”
Principales conclusions
PARTIE 1: RECAPITULATIF GLOBAL
PARTIE 2: SYNTHÈSE TECHNIQUE
Tableau synthétique des risques (exemple)
‘Au total, 29 vulnérabilités ont été trouvées et documentées.’
Chaque recommandation ou correctif est associé à un niveau
d’effort qui vous permet d’estimer la charge de travail
nécessaire à la réparation du système
Low:
Moderate:
High:
Jusqu’à 1 homme/jour de travail
Jusqu’à 10 hommes/jour de travail
Plus de 10 hommes/jour de travail
PARTIE 2: SYNTHÈSE TECHNIQUE
Synthèse détaillée et évaluation du risque (exemple)
Injection SQL
• Impact: High
• Risque: High
• Probabilité: High
• Charge de travail pour réparation: Medium
PARTIE 2: SYNTHÈSE TECHNIQUE
PARTIE 3: RECOMMANDATIONS TECHNIQUES
DÉTAILLÉES
Ces recommandations sont conçues pour le personnel technique
responsable des correctifs
• Description des vulnérabilités
• Genèse de la découverte du problème
• Exploitation du problème
• Captures d’écran (si appropriées)
• Correctifs détaillés pour réhabilitation du système
REMISE DU RAPPORT
• Livraison sécurisée
• Une clé de décryptage est envoyée sur le mobile du contact
fourni
• Un lien URL de téléchargement et décryptage est envoyé à ce
même contact
• Délai de livraison
• Sous 2 ou 3 jours après le test
• La règle est la suivante: la production du rapport prend 50% du
temps du Test
PARTIE 4Mon organisat ion a - t -e l le
besoin d’un Test d’ intrus ion?
• Toutes les entreprises, quelle que soit leur taille peuvent
bénéficier d’un Test d’intrusion
› Le Test est adapté aux exigences et besoins de votre
entreprise
• Si votre organisation possède une accréditation de qualité, telle que
la norme ISO 27001, un test régulier est recommandé afin de
conserver l’accréditation.
• Certaines industries manipulent des données sensibles (ex :
l’industrie financière et médicale). Dans ce cas, les organismes de
réglementation exigent la mise en place de tests d’intrusion.
MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
Les questions à se poser avant de pratiquer un Test:
• Que dois-je tester? Quel doit être le périmètre du Test? Qu’est ce
que j’accepte de faire tester?
• A quelle fréquence dois-je effectuer un Test d’intrusion? A quelle
date ai-je effectué un Test pour la dernière fois?
• Quel est l’objectif d’un Test d’intrusion pour mon organisation?
MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
Nos recommandations :
• Vous assurer que vous êtes d’accord sur la portée du test –
obtenir un accord signé
• Vous assurer que vous avez bien un expert dédié pendant la durée
du Test d’intrusion
• Obtenir un exemple de rapport de test avant de vous engager
• Après le test d’intrusion, planifier une session de formation pour vos
salariés
• Choisir un fournisseur avec des accréditations significatives et
l’expérience de la sécurité web
• Externaliser ce service pour une meilleure qualité et plus de neutralité
Questions
Merci de votre attention!
Pour une consultation gratuite
• Envoyez un email à:[email protected]
• Appelez le: 03.66.72.95.95
Website: www.SSL247.fr/penetrationtesting