« Un test d’intrusion représente un vrai projet quick win en matière de cybersécurité car il permet d’augmenter rapidement le niveau de sécurité de l’organisation »
Pour échanger sur les tests d’intrusion (les « pentest ») et l’approche offensive de la sécurité du SI, nous avons le plaisir d’inviter Sébastien Cler et Maël Rolland, membres de la Red Team Fidens. DSI pendant 15 ans, Sébastien Clerc a décidé de donner un tournant à sa carrière en accompagnant désormais les entreprises sur le volet sécurité. Il se découvre alors une véritable passion pour la partie « offensive » et il est aujourd’hui pentester chez Fidens. Maël Rolland quant à lui, est tombé dans la cryptographie dès son Master de mathématiques. Après ses études, il occupe différents postes dans le domaine de la cybersécurité, en partie dans le monde du nucléaire civil et militaire. Il dirige aujourd’hui l’équipe de pentesters de Fidens.
Les tests d’intrusion (pentest) servent à éprouver très concrètement la politique de sécurité mise en œuvre au niveau du SI. Pouvez-vous nous détailler les différents tests qui existent ?
Sébastien Cler – Il faut d’abord distinguer les tests externes, qui visent les périmètres exposés sur Internet. Pour ces tests web, il existe 3 approches.
-
- La première se nomme « black box ». Dans cette configuration, nous avons le rôle d’un attaquant ne disposant d’aucune information préalable sur la cible (un site ou une application).
- La deuxième approche est la « grey box ». Ici, le client nous fournit des comptes qui vont permettre de nous authentifier. A nous d’essayer d’obtenir plus de privilèges et d’essayer de faire des opérations qui nous sont normalement interdites.
- La troisième approche est la « white box ». Dans cette configuration tout nous est ouvert, y compris le code source dans le cas de tests d’une application. Il s’agit ici de détecter un maximum de vulnérabilités, notamment celles qui sont quasiment inaccessibles avec les deux premières approches. Il faut noter que lors de tests en white box par exemple, nous commençons par des tests black box, puis grey box. Ces tests peuvent donc se cumuler.
Nous avons ensuite les tests internes qui permettent d’auditer le SI directement chez le client. Ils peuvent être effectués selon 2 approches.
- Chez Fidens, nous appelons la première approche « le test du stagiaire ». Il s’agit de se mettre dans la peau d’un collaborateur malveillant qui voudrait porter préjudice à l’entreprise.
- Enfin, nous avons le test le plus poussé : « le test en Red Team ». Il a pour vocation d’éprouver l’ensemble des systèmes de sécurité mais également les équipes de surveillance de l’entreprise. Ici les administrateurs systèmes, les gestionnaires d’incidents et les collaborateurs ne sont pas au courant de notre intervention. Nous allons essayer de nous introduire logiquement mais aussi physiquement dans l’entreprise, tout en étant le plus furtif possible.
Pour aller plus loin, voici une vidéo qui montre les 5 grandes étapes d’un test d’intrusion :
Y a-t-il une typologie de test plus demandée qu’une autre ? Pourquoi selon vous ?
SC – Avant la période Covid, les besoins étaient d’environ 20 à 30 % pour des tests internes, le reste pour les tests web. Aujourd’hui la tendance s’est quasiment inversée.
Maël Rolland – En effet pendant la crise du Covid la transformation de l’organisation du travail des entreprises, notamment avec le télétravail, s’est faite à marche forcée et pas toujours dans les règles de l’art. De fait, les attaques se sont multipliées pendant cette période. Elles ont également été plus médiatisées que par le passé, notamment les attaques de type ransomware. Nos clients ayant pris conscience de l’étendue du risque, ils veulent s’en prémunir en optant pour les solutions les plus adaptées et demandent plus de tests internes.
Quelle est la différence entre un audit de cybersécurité et un test d’intrusion ?
MR – Selon moi un test d’intrusion est une forme d’audit qui va se concentrer sur le caractère exploitable des constats qu’il va faire. L’objectif étant de trouver les vulnérabilités qu’un attaquant pourrait exploiter pour parvenir à ses fins. Mais un test d’intrusion ne remontera pas un problème d’architecture du SI ou de gouvernance. Seul un audit organisationnel à l’échelle de l’entreprise est capable de réellement dire si les procédures de sécurité sont effectivement mises en œuvre. Audit de cybersécurité et campagnes de pentest sont donc complémentaires. Mais un test d’intrusion représente un vrai projet quick win en matière de cybersécurité car il permet d’augmenter rapidement le niveau de sécurité de l’organisation.
Dans quel contexte intervenez-vous ?
SC – Nous intervenons pour de nouveaux clients comme pour des clients existants. Il peut s’agir d’une entreprise déjà certifiée qui veut faire du pentest pour alimenter son SMSI et sa démarche d’amélioration continue. On trouve également des structures encore peu matures sur leur niveau de sécurité et qui veulent une vision initiale avant d’établir une feuille de route. D’ailleurs toutes les typologies d’entreprises sont concernées, de la plus modeste à la plus établie. Il ne faut pas penser que les grands comptes sont mieux protégés que les petites structures, car plus une entreprise est importante et plus elle propose une surface d’attaque étendue. Il est d’ailleurs plus compliqué pour ces grands comptes de mettre en œuvre un audit sur du réseau interne, car l’impact sur les métiers sera plus important.
Après un pentest, la mise en place de la certification ISO 27001 – ou 27002 – peut-elle permettre de garder un haut niveau de protection du SI sur la durée ?
MR – Ce que je trouve vraiment intéressant avec cette norme ISO 27001 c’est qu’elle amène une entreprise à s’inscrire dans une démarche et à prendre le sujet de la sécurité en main. Cela permet de traiter les problèmes de sécurité de la manière que l’on peut avec le budget que l’on a, et de ne surtout pas fermer les yeux sur le sujet. Cette certification permet donc aux sociétés de se mettre sur le bon chemin. La norme ISO 27002 apporte de son côté des bonnes pratiques pour faciliter cette démarche.
Avec de nouvelles menaces qui émergent sans cesse, quelle est la démarche de votre Red Team pour être toujours à la page ?
MR – Nous assistons régulièrement à des conférences de cybersécurité et nous regardons le travail que des collègues ou d‘autres experts cyber peuvent faire en matière de recherches liées à la sécurité. Nous participons également à des compétitions de hacking qui s’appellent des CTF (Capture The Flag). On y montre volontairement des applications vulnérables qu’il faut exploiter. De manière plus générale, nous nous construisons un réseau d’information et nous passons beaucoup de temps à nous intéresser au sujet, même en dehors des heures de bureau. C’est une véritable passion.
