Qu'est-ce qu'un test d'intrusions ?

Les tests d'intrusions, communément appelés pen-tests ou tests de pénétration, consistent à simuler des attaques sur un système pour éprouver sa sécurité et identifier ses vulnérabilités.

Ce type de test effectué dans un cadre structuré, légal et autorisé est l'une des méthodes les plus efficaces pour détecter et corriger les failles informatiques.

- Identifier les systèmes et services non sécurisés ou mal configurés
- Écouter les communications réseau sensibles
- Intercepter des mots de passe cryptés sur le réseau et tenter de les déchiffrer
- Tenter d'accéder à des informations sensibles ou critiques
- Prendre le contrôle des postes de travail ou des serveurs sur le réseau
- Démontrer qu'il est possible de prendre pied dans le réseau et d'y rester

Le but d'un pentest est de déterminer dans quelle mesure votre réseau est protégé contre les attaquants et à quel point il est facile ou non de naviguer sur le réseau et de voler vos données sensibles.

Tous les tests d'intrusions sont différents et varient en fonction de l'ampleur du projet et du résultat attendu et il y a trois types d'approche :
La boite noire, où peu ou pas d'informations sur la structure n'est divulguée au testeur.

La boîte blanche, où le testeur connaît parfaitement l'infrastructure du réseau et les systèmes de sécurité en place.
Le testeur commence à l'intérieur du réseau avec une connaissance de la structure du système.
Si les tests en boîte blanche peuvent être réalisés rapidement en raison de leur nature, ils ne tentent pas de reproduire une véritable attaque extérieure.

La boite grise, est un mix des deux premières techniques. Ils offrent au testeur des connaissances et/ou un accès partiels.
Avec ces informations combinées, le testeur peut tenter d'obtenir un accès non autorisé à d'autres parties du réseau.
La durée d'un test en boîte grise est généralement inférieure à celle d'un test en boîte noire, mais plus longue que celle d'un test en boîte blanche en raison de la connaissance limitée du réseau.

Après un test complet, un rapport complet est remis, détaillant les failles et proposant des actions pour les corriger.

S’ils deviennent incontournables pour de plus en plus d’organisations, les tests de pénétration ne sont qu’une facette d'une stratégie plus large visant à assurer la sécurité des réseaux.
Ils se déroulent souvent sur une période donnée et doivent être complétés par d'autres programmes qui contribuent à renforcer la sécurité globale d'une organisation.

Sécurité informatique?
Mieux comprendre les enjeux

Le hacking est devenu un vrai business malvaillant qui ne cesse de croitre. Le chiffre d'entreprises hackées est accablant!
Mais ces actes n'étant pas sous les feux des projecteurs, ils passent inaperçus dans le paysage audiovisuel. On a l'impression que tout va bien et que l'on est en sécurité (Sauf à Rolle) ce sentiment ressort dans les points de vues:

"Peu de chances que cela nous arrive"
Vous ne faites pas partie des 2'700 entreprises Suisse hackées ses 12 derniers mois? Tant mieux.
Misons sur la chance pour que cette année vous soit favorable.

"Notre entreprise est trop petite pour intéresser les hackers"
L'intérêt se trouve ailleurs.. Justement dans la taille de l'entreprise, qui indique que le budget alloué à sa sécurité est probablement aussi grand que l'entreprise.

"Cela coûte trop cher​"
Minimiser les risques a un coût, mais nous sommes bien au-dessous du coût pour remettre sur pied une infrastructure, sans compter le coût du tort fait à l'image de l'entreprise.
- Les PME de 10 à 49 employés affirment avoir dépensé 41'269 $ pour reprendre leur activité après une attaque – Source: Continuum.
- Une startup de deux personnes sans site Web dépose le bilan après une cyberattaque – Source: Wall Street Journal.

"Nous n’avons rien susceptible de les intéresser​"
Une PME ne vaut peut-être pas des milliards, mais ses employés ont beaucoup à offrir, notamment en matière de mots de passe, d’informations personnelles et de comptes bancaires. Enfin, une PME est bien souvent le moyen d’accéder à une cible plus intéressante: ses clients. Les PME persuadées de n'avoir aucun intérêt pour les hackers devraient se pencher sur les statistiques suivantes :
- 44% des PME ont été victimes de violations de mots de passe liées à leurs employés, dont les coûts se sont montés à 383 000 $.
- Les PME victimes d’une violation ont perdu en moyenne 10 848 dossiers.
- 58% des PME ayant subi une violation de données ont expliqué que le coupable était un employé ou sous-traitant négligent.

"Nous disposons d’une cyberassurance"
Il s’agit d’une excellente nouvelle pour la compagnie d’assurance qui gère cette police !
D’après une enquête menée par ProPublica, il est plus rentable pour la compagnie d’assurance de prendre en charge la rançon, car elle n’a alors pas à rembourser les coûts subis par l’entreprise (inactivité, perte de productivité, achat de nouveaux systèmes) ou les frais de justice ou de relations publiques associées à une dégradation de la réputation.