Qu'est-ce qu'un test de pénétration?
Un test d'intrusion est un type d'évaluation de sécurité réalisée sur un système informatique dans lequel la personne effectuant l'évaluation tente de pirater le système. L'objectif du test est de déterminer si une personne ayant une intention malveillante peut ou non entrer dans le système et ce à quoi elle peut accéder une fois que le système a été pénétré. Des tests d'intrusion sont proposés par un certain nombre d'entreprises spécialisées dans la sécurité des systèmes informatiques. Ils sont souvent fortement recommandés pour les systèmes et les entreprises de toutes tailles, car les dommages causés à un système informatique par une attaque hostile peuvent être coûteux et gênants.
Il existe différentes approches du test de pénétration. Dans une approche boîte noire, aucune information sur le système n'est fournie à la personne effectuant le test. Il ou elle commence à partir de la base pour rechercher des exploits potentiels et s'introduire dans le système. Dans un test en boîte blanche, toutes les informations sont fournies, ce qui permet au testeur de simuler un travail interne ou une fuite d'informations. Certaines entreprises choisissent une approche hybride, dans laquelle certaines informations sont fournies et d'autres informations doivent être recherchées.
Lors d'un test d'intrusion, l'expert en sécurité peut simuler la suppression ou la modification de données, le vol de fichiers, l'insertion de code malveillant et diverses autres activités. Le test de pénétration peut ralentir le système, ce qui rend le moment du test important; les entreprises veulent éviter de s'immiscer dans leurs propres opérations lorsqu'elles effectuent des évaluations de sécurité.
Les personnes qui effectuent les tests d'intrusion possèdent une vaste bibliothèque de compétences en informatique et certaines d'entre elles ont une histoire de pirates informatiques qui les a familiarisées avec les nombreuses façons dont les systèmes informatiques peuvent être exploités. Embaucher des pirates informatiques qualifiés en tant que consultants en sécurité peut en fait être une initiative très avisée pour une entreprise spécialisée dans la sécurité des ordinateurs et des réseaux, car les pirates informatiques disposent souvent des connaissances et des informations les plus récentes et sont habitués à aborder les systèmes informatiques du rôle de quelqu'un avec malice, plutôt que le rôle d'un expert en sécurité concerné.
Pour des tests simples, il est possible d’utiliser un système automatisé pour effectuer un test de pénétration. Cela permet de réduire les dépenses et permet aux entreprises de réaliser facilement des tests aléatoires lorsqu'elles estiment qu'elles pourraient en avoir besoin. Les tests manuels demandent plus de temps et d’approfondissement, mais ils peuvent donner des résultats plus complets. Un humain créatif et déterminé peut détecter les exploits potentiels qu’un programme automatisé peut manquer.
Une fois le test d'intrusion terminé, les résultats sont rédigés et présentés au client. Outre les résultats, une liste de recommandations est générée, l’entreprise de sécurité indiquant les domaines dans lesquels la sécurité pourrait être améliorée et proposant des améliorations.