Audit de sécurité réseau : comment effectuer les tests
Cet article expert liste les différentes approches et techniques en matière de test et d’audit de sécurité IT d’une entreprise.
Il est certes important de tester l'extérieur de votre réseau. Mais un attaquant se trouve peut-être déjà à l'intérieur. Il pourrait s'agir d'un employé mécontent ou d'un agent extérieur utilisant des services situés derrière le pare-feu et les défenses de sécurité périmétriques. Si vous envisagez de tester vos contrôles de sécurité internes, vous devez étudier plusieurs éléments, notamment les types de tests internes, les techniques de test que vous voulez utiliser et l'importance du test des employés (tests d'ingénierie sociale).
Le réseau interne d'une entreprise peut être sondé, analysé et attaqué de différentes façons. Certains des types de tests internes les plus courants comprennent :
- Attaque de l'intérieur : cette technique d'intrusion simule le type d'activité malveillante qui pourrait être effectuée par une personne autorisée disposant d'une connexion légitime au réseau de l'organisation. Par exemple, si les règles d’accès sont trop permissives, un administrateur IT peut verrouiller les autres personnes à l’extérieur du réseau.
- Attaque de l'extérieur : cette technique de test d'intrusion examine la capacité des personnes externes à obtenir un accès interne au travers de services permissifs. Cette attaque pourrait cibler les protocoles Hypertext Transfer Protocol ou Simple Mail Transfer Protocol, Structured Query Language (SQL), Remote Desk Top (RDP) ou tout autre service disponible. Il existe des services en ligne qui vendent un accès à des ressources d’entreprise restreintes.
- Attaque par le vol d'équipements : comme cette simulation cible un équipement de l'entreprise, elle est étroitement liée à une attaque physique. L’attaquant pourrait essayer de cibler l'ordinateur portable du directeur général, des smartphones, des photocopieurs ou les enregistrements de sauvegarde de l'organisation. Quelle que soit la cible, le but est le même : extraire des informations critiques, des noms d'utilisateur et des mots de passe.
- Intrusion physique : le but de cette technique est de tester les contrôles physiques de l'entreprise. Des systèmes tels que les portes, les barrières, les verrous, les gardes, la vidéosurveillance et les alarmes sont testés pour découvrir s'ils peuvent être contournés. Une méthode populaire consiste à utiliser des clés à percussion pour les verrous mécaniques et des cartes Arduino pour les verrous électroniques.
- Attaque de contournement d'authentification : cette technique de test recherche des points d’accès réseau sans fil et des modems. Le but est d'examiner si ces systèmes sont sécurisés et offrent des contrôles d’authentificationsuffisants. Si les contrôles peuvent être contournés, un hacker éthique peut sonder le niveau de contrôle du système qu'il est possible d'obtenir.
Bien qu'il soit important de tester l'extérieur de votre réseau, un attaquant se trouve peut-être déjà à l'intérieur.
Les techniques de test peuvent varier selon le niveau de connaissance du réseau dont dispose l'équipe du test d'intrusion.
- Le test de la boîte noire simule l'attaque d'une personne extérieure, celle-ci n'ayant généralement aucune connaissance du réseau ou des systèmes qu'elle sonde. En termes simples : l'équipe de sécurité n'a aucune connaissance du réseau cible ou de ses systèmes. L'attaquant doit récolter tous les types d'informations sur la cible avant de commencer à établir le profil de ses forces et de ses faiblesses.
- Le test de la boîte blanche adopte une approche opposée. Ce type de test de sécurité part du principe que la personne responsable du test de sécurité dispose d'une connaissance complète du réseau, des systèmes et de l'infrastructure. Ces informations lui permettent de suivre une approche plus structurée et de non seulement étudier les informations fournies, mais également de vérifier leur exactitude. En conséquence, là où le test de la boîte noire passera habituellement plus de temps à récolter des informations, le test de la boîte blanche passera ce temps à sonder des vulnérabilités.
- On appelle parfois le test de la boîte grise un test de connaissance partielle. Une personne pratiquant un test de boîte grise connaît la structure interne.
Quel que soit le type de test d'intrusion exécuté, il se déroule de manière à effectuer un examen systématique du réseau, des politiques et des contrôles de sécurité de l'entreprise. Un bon test d'intrusion étudiera également le composant social de l'organisation. Les attaques d'ingénierie sociale ciblent les employés de l'organisation et tentent de les manipuler afin d'obtenir des informations confidentielles. La plupart des attaques les plus réussies de ces dernières années ont utilisé une combinaison de techniques d'attaques sociales et techniques Ghostnet et Stuxnet en sont deux exemples. Si vous devez mettre à jour les politiques de l’entreprise après avoir effectué un test d'intrusion interne, vous pouvez vous appuyer sur le SANS policy project. Des contrôles, des règles et des procédures auxquelles vos employés ont été formés peuvent s’avérer efficaces pour écarter ce type d’attaque.
Michael Gregg, CISSP, CISA, CISM, CASP, est un « hacker éthique » qui fournit des services de cybersécurité et de test d’intrusion aux sociétés du Fortune 500 et aux agences gouvernementales des États-Unis. Il a publié plus d'une dizaine de livres sur la sécurité IT, est un conférencier reconnu et un formateur en sécurité. Il est directeur des opérations de Superior Solutions Inc., dont le siège est situé à Houston.