Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets

Internet : Pentest : Les audits d'intrusion pour mieux agir.
Posté par JulieM le 27/6/2019 13:00:00 Articles du même auteur

Maillon-clé de l’audit dans le domaine de la cybersécurité, le Pentest (ou test d’intrusion) permet aux entreprises et collectivités de mieux connaitre les vulnérabilités de leur SI et de prendre des mesures leur permettant de cartographier et de monitorer leur degré d’exposition au risque.

Entre fantasme de geek et expertise réelle : quels sont les contours de cette méthode ? Concrètement, le test d’intrusion permet d’analyser une cible du point de vue d’un hacker.

Il s’agit donc d’une réelle mise en situation qui permettra de tirer de précieux enseignements sur la perméabilité d’un SI à des attaques variées en ciblage ( IP, applicatives, réseaux,…) ou en approche (force brute, white, grey ou black box, …)

À quoi servent les tests d’intrusion ?

Globalement, le Pentest permet d’identifier les vulnérabilités, puis d’évaluer les risques et (finalement) de conseiller sur le type de correctifs à mettre en place.

Ainsi, cette approche permettra d’adopter une démarche de sensibilisation et d’évaluation concrète de la menace potentielle qui servira de base pour proposer des actions correctives adaptées (à ce stade, il sera possible de planifier des interventions, en fonction du niveau de criticité des risques identifiés).

En approfondissant, on remarque que la technique du pentest se fonde sur plusieurs angles d’attaques possibles, se distinganten trois grandes catégories. Nous parlons ici des approches dites de White Box, Grey Box et Black Box.

Dans cette segmentation, qui impose une complémentarité des trois approches, l’angle d’attaque des pentesteurs dépend de leur rôle simulé au sein de la structure testée. Super-admin (avec les pleins droits), salarié « standard » ou encore en situation « réelle » de piratage : telles sont les trois options majeures entre lesquelles un véritable éventail de possibilités existent .

Un autre point tient au moment où sont réalisés les tests d’intrusion sur l’infrastructure à l’épreuve. Depuis la conception d’un système jusqu’à l’analyse postérieure à une intrusion ; le timing propre à l’intervention du pentesteur définira aussi son approche.

Que recherche un pentesteur ?

De nombreuses réponses existent parmi lesquelles nous pouvons citer : un accès à des informations, une cartographie des vulnérabilités (SI, applications, infrastructures), des tests d’efficacité des systèmes de détection d’intrusion ,le type de réponse apportée par les équipes cyber des entreprises, etc. Les cas d’usages sont multiples et dépendent de facteurs complémentaires : organisationnels, techniques, etc.

Suivant le rôle endossé par le White Hat à l’origine du test d’intrusion, les résultats attendus diffèrent. Le pentesteur pourra ainsi mettre à jour une faille dans l’authentification des collaborateurs d’une entreprise … comme une problématique de sécurité du code inhérent aux serveurs d’une application. Tout dépend du périmètre de sa mission et de son analyse.

Le pentest occupe donc une place importante dans le processus d’audit de sécurité IT. En se concentrant sur une approche très opérationnelle, il évalue concrètement les risques cyber en se positionnant du point de vue d’un hackeur à un moment donné.

 

- Les métiers de la cybersécurité – Interview de Maxence Bobin, Directeur Régional Squad Paris

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
26/7/2019 12:00:00 - vacances!
18/7/2019 15:00:00 - MXGP-2019 : Trailer et nouveautés.
18/7/2019 14:30:00 - Un siège parfaitement adapté aux Gamers
18/7/2019 14:00:00 - GloomHaven : Accès anticipé et trailer de lancement
18/7/2019 13:30:00 - Des applications du Google-Play-Store traquent les utilisateurs.
17/7/2019 15:00:00 - Where the Water Tastes Like Wine : Aventure Underground.
17/7/2019 14:30:00 - En Vacances : Quelques conseils pour plus de sécurité
17/7/2019 14:00:00 - Train Sim World 2020 : 15.08 sur PC et consoles.
17/7/2019 13:30:00 - Next-Gen et sécurité : Les Français(es), bons élèves ou non ?
16/7/2019 15:00:00 - Trine: Ultimate Collection : PC, consoles et Switch cet automne

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



www.bitdefender.fr

Bitdefender






© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité