Audit de Tests d’intrusion

Une définition ?

Prestataires d’audit de la sécurité des systèmes d’information – Référentiel d’exigences, https://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_C.pdf, paragraphe II.4

Le principe du test d’intrusion est de découvrir des vulnérabilités sur le système d’information audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système d’information, à la place d’un attaquant potentiel. Les vulnérabilités testées peuvent également avoir été identifiées au cours d’autres activités d’audit définies dans ce chapitre.

Cette activité d’audit peut être réalisée soit depuis l’extérieur du système d’information audité (notamment depuis Internet ou le réseau interconnecté d’un tiers), soit depuis l’intérieur.

Un test d’intrusion seul n’a pas vocation à être exhaustif. Il s’agit d’une activité qui doit être effectuée en complément d’autres activités d’audit afin d’en améliorer l’efficacité ou de démontrer la faisabilité de l’exploitation des failles et vulnérabilités découvertes à des fins de sensibilisation.

Les tests de vulnérabilité, notamment automatisés, ne représentent pas à eux seuls une activité d’audit au sens du référentiel.

Les tests d’intrusion – PENTEST par ADACIS

Il vous est proposé que ces audits ne soient pas réalisés sans un autre audit. En effet, un test d’intrusion peut servir de complément pour un audit de configuration ou de code auquel il est adossé afin d’améliorer la portée, en terme d’impacts, de ce dernier. 

Objectifs

Le principe du test d’intrusion est de découvrir des vulnérabilités sur le système d’information audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système d’information, à la place d’un attaquant potentiel.

Les vulnérabilités testées peuvent également avoir été identifiées au cours d’autres activités d’audit. Cette activité d’audit peut être réalisée soit depuis l’extérieur du système d’information audité (notamment depuis Internet ou le réseau interconnecté d’un tiers), soit depuis l’intérieur.

Les tests réalisés par Adacis allient de l’outillage, des processus et beaucoup de savoir-faire manuels.

Méthodologie

Les tests d’intrusion doivent être mise en œuvre dans une démarche d’amélioration continue.

La première étude a pour objectif de :

    • Mettre en évidence les principales vulnérabilités du SI étudié
    • Réaliser une liste de préconisations
    • Proposer un plan d’actions

Les études suivantes peuvent se focaliser

    • Sur des vulnérabilités importantes mises en évidence lors des précédents audits
    • Sur des points particuliers du SI à la discrétion du commanditaire

Premiers tests d’intrusion

L’équipe d’audit en charge de la réalisation d’un test d’intrusion sur une cible donnée peut effectuer une ou plusieurs de ces différents types d’audit :

Type d’Audit : test d’intrusion

Externe

Le test se déroule depuis l’internet

Interne

Le test se déroule depuis le SI du client

Boite noire

  • Les auditeurs ne possèdent aucune information sur le SI

Proposée

Proposée

Boite grise

  • Les auditeurs possèdent un compte avec un minimum de droit sur le SI
  • Dans le cadre d‘un extranet : un compte utilisateur
  • Dans le cadre d‘un intranet : un compte stagiaire

Proposée

Proposée

Boite blanche

  • Les auditeurs possèdent le code source des applications exposées

Proposée

Proposée

Dans le cadre de notre prestation, il est privilégié pour les tests d’intrusion externe :

    • Une étude en phase boite noire afin d’étudier votre exposition sur l’internet et pour éprouver l’exposition de vos applicatifs et vos ressources
    • Une étude en phase boite grise afin d’étudier l’exposition de vos systèmes

NB : Nos tests sont réalisés durant une période donnée. Durant cette période un contact permanent avec l’audité et l’auditeur doit avoir lieu.

Restitution

Durant toute la période le responsable d’audit restera en relation avec le correspondant nommé par le commanditaire.

Il est prévu

  • Une réunion de lancement de la prestation permettant de cadrer précisément la prestation
  • Une réunion de lancement de l’audit en matinée du premier jour d’audit
  • Une réunion journalière sur les vulnérabilités trouvées
  • Un point en urgence suite à la découverte d’une vulnérabilité critique
  • Une réunion de restitution draft en fin d’audit vous remontant les principales vulnérabilités découvertes
  • Une version draft des documents– 2 semaines après la fin de l’audit comprenant
    • Les vulnérabilités
    • Des préconisations
  • Une version finalisé des documents 1 mois après lors de la réunion de clôture.