Date de publication : le 20 décembre 2023
Contributeurs : Teaganne Finn, Amanda Downie
Le test d’intrusion réseau est un type de test d’intrusion (en anglais « pen test ») qui cible spécifiquement l’ensemble du réseau informatique d’une entreprise par le biais du piratage éthique.
L’objectif des tests d’intrusion réseau est de révéler et d’identifier les vulnérabilités au sein de l’entreprise. Cela inclut une évaluation approfondie des mesures de sécurité du réseau par le biais de tests aussi bien externes qu’internes, comme les tests d’applications web et les attaques par phishing fictives.
S’abonner aux newsletters mensuelles d’IBM
Pour la pénétration d’un réseau, les pirates éthiques (appelés « équipes rouges » dans le jargon de la cybersécurité), utilisent des outils et des techniques de piratage pour exécuter une cyberattaque simulée sur le système informatique d’une organisation. L’objectif est de parvenir à passer derrière le pare-feu de l’organisation et d’obtenir un accès non autorisé.
Les tests d’intrusion réseau peuvent inclure l’attaque d’applications web, d’API, de points de terminaison et de commandes physiques. Les attaques simulées sur le système d’exploitation peuvent révéler des faiblesses de sécurité et montrer à l’organisation où se trouvent les points faibles.
Ces attaques simulées aident les équipes de sécurité à détecter les failles de sécurité liées à l’infrastructure du réseau. Les menaces courantes qui peuvent être testées comprennent l’attaque par déni de service distribué (DDos), le système de noms de domaine (DNS), les logiciels malveillants, le phishing et l’injection SQL.
Les testeurs utilisent également des outils pour exécuter la phase de reconnaissance et automatiser le processus de test d’intrusion. La plupart du temps, il existe deux types de test : les tests internes et les tests externes.
Tests réseau internes dans un test interne, les testeurs agissent comme des attaquants internes ou une personne qui tente de commettre un acte malveillant avec des identifiants volés. L’objectif principal de ce type de test est de détecter les vulnérabilités qu’une personne ou un employé est susceptible d’exploiter au sein de l’organisation, par exemple en dérobant des informations et en abusant de ses privilèges pour accéder à des données privées ou sensibles.
Tests réseau externes : les services de test externe d’intrusion réseau sont destinés à imiter des attaquants externes qui tentent de pénétrer dans le réseau. Les testeurs s’efforcent de détecter les problèmes de sécurité directement liés aux appareils connectés à l’Internet (serveurs, routeurs, sites web, applications et ordinateurs des employés, qui présentent des risques en raison de leur exposition à l’Internet ouvert).
La plupart du temps, un test de pénétration du réseau suit quatre étapes définies. Le test se conclut par un rapport contenant une analyse détaillée des risques qui pèsent sur l’organisation et un récapitulatif des points problématiques (vulnérabilités, faiblesses, expositions, etc.).
Au cours de cette première phase, les pirates éthiques discutent avec les principales parties prenantes de l’objectif global du test et des vulnérabilités que l’organisation a déjà identifiées. Avant d’exécuter le test d’intrusion proprement dit, il faut passer par une évaluation des vulnérabilités.
Ensuite, les testeurs et les parties prenantes peuvent décider des tests à effectuer et des indicateurs de réussite qu’ils prévoient d’utiliser. Pour exécuter des attaques simulées, il existe de nombreux outils et méthodologies différents, notamment l’analyse des ports et la cartographie du réseau (nmap).
Il existe trois types de tests couramment utilisés. Selon l’organisation, ils peuvent être utilisés individuellement ou combinés.
Test de la boîte noire : un test de la « boîte noire » est effectué en se mettant dans la peau d’un pirate informatique de niveau moyen, avec peu ou pas de connaissances obtenues en interne sur le système réseau. Ce type de test est un test externe, car son objectif est d’exploiter les vulnérabilités extérieures du réseau.
Test en boîte grise : ce type de test de pénétration du réseau se focalise davantage sur les processus internes ; il est effectué en se mettant dans la peau d’un pirate qui dispose d’un accès au système interne, tout en incluant certaines spécificités d’un pirate externe. Le test en boîte grise propose d’incarner un acteur malveillant au sein d’une organisation, qui peut disposer de privilèges élevés et qu’il utilise de manière criminelle.
Test en boîte blanche : il s’agit du plus intrusif des trois types de tests de sécurité. Ce test propose d’incarner un spécialiste informatique ou une personne ayant accès au code source de l’organisation et à toutes les données possibles sur le système. Généralement effectué en dernier, ce test sert à évaluer l’intégrité d’une architecture informatique. Il permet de s’assurer que le système cible est inviolable face aux éventuels pirates informatiques et cyberattaques.
Au cours de la phase de reconnaissance et de découverte, les testeurs utilisent les données de reconnaissance pour exécuter des tests en direct et découvrir les vulnérabilités existantes par le biais de tactiques telles que l’ingénierie sociale. En utilisant des leurres pour inciter les individus à communiquer certaines informations, les testeurs s’efforcent de localiser les points faibles, le but étant de commencer ensuite à cibler ces vulnérabilités.
Lors de l’étape de découverte, les testeurs ont a leur disposition des outils tels qu’un scanner de ports et un scanner de vulnérabilité. Le scanner de ports identifie les ports ouverts d’un système (dans lesquels les pirates peuvent entrer) et le scanner de vulnérabilités identifie les vulnérabilités existantes du système.
L’étape suivante consiste à exploiter tous les travaux préliminaires réalisés jusqu’à présent. Lors de cette étape, les testeurs exécutent les tests de pénétration du réseau à l’aide d’outils capables d’exploiter des scripts ou de subtiliser des données. L’objectif est de déterminer la quantité de dommages que les pirates éthiques sont capables de provoquer et, s’ils obtiennent un accès, d’estimer le temps pendant lequel ils peuvent rester dans le système.
Les testeurs peuvent commencer par tester une vulnérabilité à la fois, mais ils doivent effectuer des tests sur plusieurs vulnérabilités pour s’assurer qu’une approche globale a été adoptée pour résoudre ces risques de sécurité.
La dernière étape consiste à décrire les tests de pénétration du réseau qui ont été effectués, à passer en revue les résultats de chacun de ces tests et à discuter avec l’équipe de sécurité de l’information des étapes de résolution qui peuvent être mises en œuvre. Le rapport détaille l’ensemble du processus du début jusqu’à la fin et identifie les vulnérabilités, les preuves, les données et les recommandations de l’entreprise. Ce rapport est crucial pour le propriétaire de l’entreprise, car il lui permet d’avoir une vue d’ensemble des risques identifiés et fournit une analyse qui doit lui permettre de prendre des décisions pertinentes.
Dans un contexte de menaces, il est essentiel que les organisations se protègent. Les données en particulier doivent être retranchées derrière des barrières de sécurité pour éviter tout accès non autorisé aux processus métier et aux informations sensibles. Un test de pénétration du réseau identifie toutes les vulnérabilités et permet de protéger les données de votre organisation contre tous les points d’entrée possibles. L’analyse des vulnérabilités, tout bénéfique qu’elle soit, n’est pas aussi complète qu’un test d’intrusion. Elle gagnera cependant à être utilisée en complément de ce test.
Les tests d’intrusion vous permettront de mieux comprendre quels contrôles de sécurité fonctionnent et lesquels doivent être renforcés. Les tests d’intrusion réseau permettent également à l’organisation d’analyser sa posture de sécurité.
L’analyse préventive des vulnérabilités réseau de votre organisation permettra d’éliminer presque tous les risques de violation de données. Les tests d’intrusion garantissent la sécurité globale par le biais d’évaluations de sécurité et d’analyses de cybersécurité.
Découvrez avant les pirates quels risques externes menacent votre surface d’attaque et quels sont ses angles morts avec IBM Security Randori Recon.
Testez vos applications mobiles et IdO, vos réseaux, votre matériel et votre personnel pour découvrir et corriger les vulnérabilités qui exposent vos actifs les plus importants.
Anticipez l’évolution de votre environnement et protégez votre infrastructure et votre réseau contre les menaces sophistiquées de cybersécurité grâce à des compétences, à une expertise et à des solutions modernes éprouvées.
Le portail X-Force Red permet à toutes les personnes impliquées dans le processus de résolution de consulter immédiatement les résultats des tests après la découverte des vulnérabilités et de programmer des tests de sécurité à leur convenance.
Le rapport IBM Security X-Force Threat Intelligence Index 2023 offre aux responsables informatiques, aux équipes de sécurité et aux directions des informations exploitables qui les aident à mieux comprendre comment les pirates informatiques lancent des attaques et à prendre les devants pour protéger leur organisation.
Découvrez les conclusions complètes du rapport 2023 sur le coût d’une violation de données. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
X-Force propose toute une gamme de produits et services offensifs et défensifs soutenus par des renseignements et des recherches sur les menaces.
Les dernières études X-Force dans un même emplacement avec nouveaux articles de blog chaque semaine.
Cet eBook vous présente les offres de la gamme cybernétique et vous explique la manière dont votre organisation peut se former aux situations de crise.