3 - Démarche de l'Intrusion

Version 1.1 du 26 avril 2012
Un test d'intrusion comporte généralement 3 phases  :
  1. Phase d'initialisation
  2. Phase de test
  3. Phase de restitution

Il est à noter que cette démarche type du test d'intrusion peut faire l'objet d'ajustements à la demande du client.

Phase d’initialisation

Un test d'intrusion commence par une phase d’initialisation avec le mandant dont les étapes sont généralement les suivantes :

  • présenter les différents intervenants, leurs rôles, responsabilités, et leurs disponibilités ;
  • valider les aspects contractuels et légaux relatifs au test (contrat, mandat d'autorisation) ;
  • valider le périmètre et les scénarios du test ;
  • préciser les conditions particulières du test (ex. plage horaire spécifique pour certains tests) ;
  • communiquer des informations techniques ;
  • définir les moyens de communication (ex. téléphone, message chiffré) et les modalités d’alerte en cas de problème.

Les éléments abordés lors de cette phase sont généralement formalisés dans un compte rendu.

Phase de test

Lors de la phase de test le ou les intervenants réaliseront différents scénarios d'attaques visant à compromettre un système informatique déterminé par le mandant.

Le test d'intrusion s'inscrit dans processus itératif en 3 étapes.

Étape 1. Découverte de la cible

L’objectif est de collecter des informations sur le périmètre cible telles que les services actifs, les rôles de chaque équipement, les versions utilisées.

Si nécessaire, à l'issue de cette étape, l'intervenant fera confirmer le périmètre cible (adresses IP ou domaines) du test d'intrusion par le mandant.

Étape 2. Recherche de vulnérabilités

L’objectif est d’identifier les vulnérabilités sur les cibles. A l'issue de cette étape,les intervenants ont identifié des vulnérabilités pouvant être exploitées dans le cadre du processus d'intrusion.

Étape 3. Intrusion

L’objectif est d'exploiter les vulnérabilités découvertes lors de la précédente étape. Les intervenants s'attacheront dans le délai imparti à mener le processus d'intrusion à son terme pour en démontrer les conséquences de manière réaliste.

Note sur la scénarisation du test d'intrusion :

On distingue communément 2 scénarios :

  1. Test d'intrusion boite noire ou "en aveugle" : le test d'intrusion est mené sans aucune information sur le système informatique cible (à part les adresses IP cibles).
  2. Test d'intrusion boite grise ou "avec accréditation" : le test d'intrusion est réalisé dans le contexte d'un utilisateur légitime du système informatique (ex : contournement des règles de cloisonnement).

En plus de la scénarisation et pour plus de réalisme le test peut être réalisé avec discrétion afin d'évaluer, par exemple, l'efficacité des dispositifs de détection.

Phase de restitution

Les résultats d'un test d'intrusion sont généralement communiqués selon 3 modes :

1. Retour immédiat ou "à chaud" : Les intervenants peuvent avertir le mandant au fil du test afin, par exemple, de signaler une vulnérabilité majeure ou dresser un bilan intermédiaire.

2. Rapport de test d'intrusion ou livrable : L'intégralité du déroulement du test et de ses résultats sont consignés dans un document communément appelé "livrable". 

3. Restitution oral ou présentation des résultats : Les intervenants peuvent procéder à un compte rendu du test auprès du mandant lors d'une présentation orale formelle s'appuyant sur un support visuel. Une partie de cette présentation peut être à vocation pédagogique (ex. sensibilisation du management).

Notes sur le rapport de test d'intrusion ou livrable :

La composition d'un rapport de test d'intrusion est généralement la suivante :

  • Résumé managériale : Il s'adresse à un public non technique. Il décrit les enjeux liés aux éventuels problèmes de sécurité détectés lors du test. Il contient le minimum de références techniques nécessaires à la compréhension des problématiques soulevées et met l’accent sur le traitement des risques et les aspects stratégiques.
  • Rapport détaillé : Il s'adresse à un public technique en présentant l'intégralité des résultats obtenus lors du test ainsi que les moyens utilisés (ex. outils, méthodes). Au regard des vulnérabilités découvertes, des recommandations seront proposées afin de traiter les risques avec des critères permettant de prioriser les actions selon leur criticité et leur coût.
Comments