Questions Fréquentes
Concernant les Tests d'Intrusion
Voici les questions les plus fréquentes concernant les tests d’intrusion.
Questions
générales
Qu'est-ce qu'un test d'intrusion?
Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses et de réaliser divers actes malveillants. Il s’appuie généralement sur les outils utilisés par les pirates informatiques et sur diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.
Un pentest tente d’exploiter vos vulnérabilités pour déterminer leur impact potentiel sur votre entreprise, si elles seraient être utilisées dans un scénario de piratage réel. Ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques.
Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:
- Un pirate informatique peut-il accéder à des informations sensibles ?
- Un pirate peut-il détourner mes technologies pour commettre des actes malveillants ?
- Une infection par un logiciel malveillant peut-elle se propager sur le réseau ?
- Un pirate peut-il modifier son accès pour devenir un utilisateur administratif ?
Pourquoi effectuer un test d'intrusion?
Les tests d’intrusion peuvent être effectués avec différentes intentions et permettent d’atteindre différents objectifs. Qu’il s’agisse de répondre à des exigences de tiers, d’obtenir des partenariats commerciaux ou de tester une nouvelle fonctionnalité dans le cadre d’un cycle de développement, ils peuvent servir plusieurs objectifs.
Voici quelques-unes des principales raisons de réaliser un test d’intrusion:
- Se conformer aux exigences qui imposent un test de sécurité. (tiers, PCI, ISO27001, etc.)
- Identifier les vulnérabilités et obtenir une liste de correctifs prioritaires.
- Protéger vos données et les systèmes contre les attaquants.
- Obtenir le point de vue d’un pirate informatique.
- Prévenir les pertes financières causé par un incident.
En savoir plus sur les raisons d’effectuer un pentest →
Quel est le coût d'un test d'intrusion?
Le prix d’un test d’intrusion peut varier considérablement en fonction de plusieurs facteurs. Pour cette raison, il n’y a pas de tranche de prix établie pour ce type d’évaluation. Chaque projet est adapté à vos objectifs et à votre environnement technologique. De nombreux facteurs doivent être déterminés avant de pouvoir établir le coût.
Voici les principaux facteurs qui peuvent affecter le coût d’un test d’intrusion :
- Portée du projet. (Nb. d’IP ciblées, Nb. de fonctionnalités dans l’application, etc.)
- L’environnement testé. (Effectué dans un environnement de production ou de développement.)
- Le type d’audit. (Réseau, Applicatif, SCADA, etc.)
- L’approche. (Approche automatisée ou manuelle)
- Objectifs. (Conformité, bonnes pratiques, etc.)
Obtenez un tarif transparent pour votre prochain test d’intrusion →
Quand dois-je effectuer un test d'intrusion?
Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué.
Voici quelques cas d’utilisation courante pour un pentest :
Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
Pour protéger les données sensibles contre l’exfiltration.
Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.
Il est conseillé à toutes les entreprises de procéder à un test de pénétration au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.
Quelle est la durée d'un test d'intrusion?
Le temps nécessaire pour effectuer avec succès un test d’intrusion dépend de l’étendue et du type de test. La plupart des pentests peuvent être réalisés en quelques jours, mais certains peuvent s’étendre sur plusieurs semaines, voire plusieurs mois selon la complexité du projet.
Quelle est la différence entre un pentest et un scan de vulnérabilité?
Les scanners de vulnérabilité et les tests d’intrusion sont les techniques les plus courantes pour découvrir les failles de cybersécurité dans vos technologies. Bien qu’il existe des similitudes entre les deux, elles sont souvent mal interprétées comme étant la même chose, même si elles donnent lieu à des degrés d’analyse très différents.
Les scanners de vulnérabilité sont généralement utilisés par le personnel informatique afin de vérifier les infrastructures de réseau afin de détecter les vulnérabilités communes qui ont pu être introduites lors de leur mise en œuvre. Les pentests, en revanche, identifient à la fois les vulnérabilités bien documentées et celles qui n’ont jamais été vues auparavant, tout en fournissant des preuves de leur impact potentiel sur votre entreprise par le bias de son exploitation.
En savoir plus sur les principales différences entre les scanners et les pentests →
Quelle est la différence entre les tests automatisés et manuels?
Tel que mentionné dans le point précédent, les tests automatisés (connus sous le nom de scanners de vulnérabilité ou d’évaluations de vulnérabilité) permettent aux équipes informatiques d’identifier les erreurs de configuration et les vulnérabilités communes dans les versions de leurs logiciels, systèmes d’exploitation et technologies.
Bien que les tests automatisés soient rentables et nécessitent moins d’expertise, ils ne produisent pas le même niveau d’analyse et ne peuvent pas identifier des vulnérabilités complexes (telles que des failles logiques dans les applications ou des vulnérabilités dans des environnements fait sur mesure). Les tests automatisés peuvent également nuire à vos systèmes et polluer vos bases de données, c’est pourquoi leur utilisation doit être limitée, complémentaire aux tests manuels et doivent être effectués par des professionnels expérimentés afin de limiter leur impact négatif.
Les tests manuels, au contraire, requièrent beaucoup plus d’expertise et une compréhension approfondie des différents contextes technologiques. Ils permettent à votre organisation de contextualiser leurs vulnérabilités et de fournir des preuves de leur impact potentiel sur votre entreprise. Ils peuvent identifier les vulnérabilités les plus subtiles qui pourraient avoir un impact critique, que les tests automatisés ne peuvent pas identifier, causant le moins de dommages possible à vos systèmes.
Quelles sont les meilleures méthodes et normes de test d'intrusion?
Il existe de nombreuses méthodologies et normes reconnues de test d’intrusion qui peuvent être utilisées selon le type d’évaluation. Voici quelques-unes des méthodologies les plus reconnues :
- OSSTMM – Fournit une méthodologie scientifique pour les tests d’intrusion réseau et l’évaluation de la vulnérabilité afin d’identifier les vulnérabilités sous différents angles d’attaque potentiels.
- OWASP – Vise à identifier les vulnérabilités au sein des applications Web et mobiles. Fournit plus de 66 contrôles à évaluer au total pour identifier les vulnérabilités potentielles au sein des fonctionnalités que l’on trouve aujourd’hui dans les applications modernes.
- PTES – Présente l’approche la plus recommandée pour structurer un test d’intrusion. Cette norme guide les testeurs sur les différentes étapes d’un pentest, y compris la communication initiale, la collecte d’informations, ainsi que les phases de modélisation de la menace.
En savoir plus sur les principales méthodologies et normes de test d’intrusion →
Portée
et Test
Comment est-ce que Vumetric détermine la portée des projets?
Un des membres seniors de notre équipe recueillera des informations techniques concernant votre portée ainsi que les différentes technologies en place, lui permettant de déterminer les efforts requis pour votre test d’intrusion. En fonction de cette information, nous atribuerons votre projet à des membres de l’équipe ayant les compétences et l’expérience requises. Une fois la portée bien définie, nous vous acheminerons une proposition qui comprend:
<ul>
<li>Liste des activités</li>
<li>Efforts</li>
<li>Methodologies utilisées</li>
<li>Livrables</li>
<li>Coûts fixes</li>
</ul>
Quand pouvez-vous débuter mon projet de test d'intrusion?
Bien que nous puissions être flexibles et nous adapter à vos délais, la complexité de votre projet peut avoir une incidence sur les délais quant à la définition de la portée et la planification du projet.
Contactez-nous afin de démarrer votre projet rapidement.
Les tests d'intrusion de Vumetric sont-ils effectués dans notre environnement en production?
Vumetric vous recommandera toujours l’approche la plus sécuritaire pour votre test d’intrusion. Idéalement, les tests seront effectués dans un environnement de test et de développement construit avec les mêmes configurations et spécifications que les systèmes ciblés. Toutefois, nos spécialistes ont l’expertise nécessaire pour tester vos systèmes et applications même s’ils sont en production, sans que cela ait un impact sur vos opérations quotidiennes.
Vos tests d'intrusion peuvent-ils avoir un impact sur mes activités commerciales?
Différentes mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales.
C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.
Comment mesurez-vous les risques identifiés?
Bien que nous utilisions une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est en fait basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :
- L’impact potentiel: L’impact potentiel d’une attaque exploitant la vulnérabilité, combiné avec son effet potentiel sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
- Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)
Vos tests d'intrusion sont-ils effectués sur place?
La majorité de nos projets sont réalisés à distance. Les technologies modernes permettent à notre équipe d’accéder à tout type d’infrastructure/système de manière sécurisée. Nous proposons différentes options d’accès à distance en fonction de votre contexte spécifique. (Infrastructure VPN existante, machine virtuelle de type « jump box » ou notre propre dispositif, le « Téléporteur de Vumetric« )
Dans certains cas, certains types spécialisés de tests, tels que les tests d’intrusion SCADA / ICS / industriels, peuvent nécessiter des tests sur place, car ces systèmes peuvent ne pas être accessibles de l’extérieur.
Que pouvez-vous cibler lors d'un test d'intrusion?
Il n’y a pas de projets qui sortent de l’ordinaire pour nous. Nous avons réalisé des tests d’intrusions dans les environnements les plus divers et sur un large éventail de technologies. Que ce soit pour des dispositifs IoT/intelligents, des systèmes industriels, des infrastructures Cloud, des applications de tous types avec diverses intégrations d’API, des réseaux d’entreprise, nous ne laissons aucuns risques de coté, quel que soit votre contexte technologique.
Que se passe-t-il après la réalisation d'un test d'intrusion?
Après chaque engagement, l’équipe de spécialistes produira un rapport technique, détaillant chaque vulnérabilité et recommandations. Un débriefing téléphonique complet est effectué après la remise du rapport pour expliquer chacune de nos conclusions et leurs recommandations respectives en détail.
Livrables
et Rapports
Quels sont les livrables d'un test d'intrusion?
À la fin du projet, vous recevrez un rapport détaillé qui comprendra toutes les conclusions et les correctifs recommandées. Le rapport technique comprend les éléments suivants:
- Sommaire éxécutif présentant les principales observations et recommandations.
- Matrice des vulnérabilités classé par niveau de risque.
- Détails des vulnérablités incluant les suivants:
- Niveau de risque basé sur l’impact potentiel et l’exploitabilité.
- Recommendations pour corriger les vulnérabilités.
- Références à des ressources externes pour faciliter la mise en œuvre de nos recommandations.
- Détails Techniques tels que des captures d’écrans, traces du système, registres, etc.
- Annexe détaillant des informations techniques complémentaires.
- Méthodologie utilisée au cours du projet. (basé sur des standards reconnus)
Selon votre contexte, vous recevrez également une attestation certifiant que les tests d’intrusion ont été effectués par des professionnels expérimentés utilisant des méthodologies et des normes reconnues. Ce document vous permettra de répondre aux exigences de conformité et réglementaire de manière efficace et peu coûteuse.
En savoir plus sur ce que vous devriez trouver dans un rapport de test d’intrusion →
J'ai besoin d'un rapport de test d'intrusion dès que possible, est-ce que Vumetric peut m'aider?
Absolument! Être flexible et à la demande est un élément clé de l’offre de Vumetric.
Contactez l’un de nos spécialistes afin que nous puissions démarrer votre projet immédiatement.
Comment Vumetric assure-t-il la qualité de ses rapports?
Lors de chaque projet, un membre senior de l’équipe de test d’intrusion est chargé de s’assurer que chaque constatation, vulnerabilité, recommendations ainsi que le rapport de façon générale répondent aux normes de qualité de Vumetric, basées sur la norme ISO9001 et s’appuyant sur plus de 20 ans d’expertise pointue, afin de garantir le meilleur résultat pour chaque projet.
Les services de Vumetric peuvent-ils m'aider à satisfaire aux exigences PCI-DSS?
Absolument! Nos services fourniront la preuve, par le biais d’un rapport technique et d’une attestation officielle, que vous avez identifié et corrigé avec succès toute vulnérabilité exploitable au sein des systèmes de traitement de cartes et de votre infrastructure externe, permettant à votre organisation de se conformer aux exigences de la norme PCI-DSS 11.3.x.
Comment Vumetric peut-il m'aider à me conformer aux exigences des tiers?
Conducting a penetration test with a recognized and independent supplier is one of the main requirements mandated by third parties for security compliance. (Partners, insurers, etc.)
Our services will provide evidence, through a technical report and an official attestation, that you conducted a professional penetration test with a recognized independent supplier.
Our pentest reports have helped hundreds of organizations across all industries to successfully meet third-party security requirements. (Insurers, clients, partners, providers, etc.)
Pouvez-vous effectuer un re-test pour valider l'implémentation des correctifs que nous avons mis en œuvre?
Absolument! Nous pouvons re-tester les vulnérabilités identifiées pour valider la mise en œuvre des mesures correctives recommandées, et selon vos besoins, fournir une attestation que les vulnérabilités précédemment identifiées ont été corrigées avec succès.
Cela permettra à votre organisation de répondre aux exigences de conformité réglementaire ou de se conformer aux demandes de tiers, tout en s’assurant qu’aucune vulnérabilité supplémentaire n’a été introduite pendant la mise en œuvre des mesures correctives.
