Zoom sur le pentest

mars 08, 2022

S’introduire dans votre système d’in formation (de façon légale, bien sûr), c’est le rôle d’un pentester. Sa mission ? Tester les vulnérabilités, rechercher les potentielles failles exploitables par un malfaiteur, vous proposer un plan d’action pour améliorer votre défense et vous conseiller sur le comportement à adopter en cas d’intrusion.

Dans cette interview,  Guillaume Boyer , pentester chez Agaetis, nous explique plus précisément en quoi consiste un test d’intrusion, les différentes formes qu’il peut prendre, les étapes à suivre, ses objectifs…

Le pentest n’aura bientôt plus de secrets pour vous !

Qu’est-ce qu’un pentester ? 

Le terme « pentester », abréviation de « penetration tester » (testeur d’intrusion), désigne les personnes réalisant à la demande du propriétaire (et donc de manière légale) des tests sur un réseau ou une application dans le but de s’y introduire, afin d’évaluer son niveau de sécurité.

Le travail d’un pentester est de se mettre à la place d’un potentiel attaquant et de simuler des attaques contre une cible, le but étant de trouver les failles de sécurité d’un système avant les vrais attaquants pour s’en prémunir.

Le pentester accompagne les clients dans la sécurisation de leurs sites web, applications, infrastructures, etc.

Pourquoi est-il important de réaliser un test d’intrusion ?  

La France est sur le podium des  pays les plus rançonnés .

Le constat a été fait par Anozr Way : la France arrive à la troisième place des pays ayant concentré le plus d’attaques dites « ransomware », derrière les États-Unis et le Royaume-Uni. Il est donc urgent pour les entreprises de minimiser ce risque, même si le pentest n’est pas la seule solution.

De plus, si vous avez un site ou une application web, il est impératif de réaliser un test d’intrusion pour éviter toutes fuites de vos données ou de celles de vos clients.

Existe-t-il différents pentests ?

Le test d’intrusion est la simulation d’une cyberattaque contre le système informatique pour identifier les vulnérabilités exploitables.

Ils peuvent impliquer une tentative de compromission de l’infrastructure, d’une application Web, d’un site Web, d’un logiciel ou d’une application mobile.

Il existe plusieurs types de tests :


Black box

Les audits de sécurité en boîte noire sont menés dans des conditions proches d’une attaque externe. Cela signifie qu’aucune information n’est fournie au pentesteur avant de commencer le test.

L’exploration du système d’information prend donc beaucoup de temps, pendant lequel l’entreprise cible peut réagir si elle en a la capacité. Par conséquent, les tests en boîte noire conviennent pour définir des scénarios lorsqu’une entité extérieure à l’entreprise tente de s’introduire dans le SI.

Cette approche ne permet pas aux attaquants de se focaliser sur les éléments sensibles du SI client et elle n’est pas adaptée aux audits de courte durée.


Grey box

Lors des audits de sécurité en boîte grise, les pentesteurs commencent avec des informations sur leur cible. Cela peut impliquer pour le client de fournir des informations sur le fonctionnement d’une cible d’audit, de fournir des comptes d’utilisateurs avec un accès restreint sur la plateforme, d’accorder l’accès à des cibles qui ne sont pas accessibles au public, etc.

Le pentesteur peut par exemple rejoindre l’entreprise en tant que salarié d’un service sensible et disposer de son propre compte utilisateur. Au fur et à mesure que l’attaque progresse, il obtient de nouvelles informations. Les audits en boîte grise sont une stratégie de test de pénétration optimale car l’on peut ainsi simuler de nombreux types d’attaques, y compris celles effectuées « de l’intérieur ». 

En fonction des droits qui lui sont attribués, un pentesteur peut développer des scénarios d’attaques provenant de membres ou d’anciens employés de l’entreprise, ou encore de prestataires externes.


White box

Un audit de sécurité en boîte blanche suppose la transmission par le client d’un maximum d’informations au pentesteur avant l’audit. Les informations nécessaires à la bonne conduite d’un audit sont partagées en toute transparence. Par conséquent, la fonction de la cible est connue et visible, d’où le nom de boîte blanche.

Ces informations peuvent être des documents d’architectures, l’accès administrateur au serveur, l’accès au code source, etc.

L’audit de sécurité en boîte blanche n’est pas strictement un test d’intrusion car le pentesteur ne joue pas un rôle d’attaquant. Il s’agit d’une analyse de sécurité plus approfondie que les tests d’intrusion, qui peut fournir une meilleure compréhension de la source des problèmes de sécurité. Cela permet de découvrir des vulnérabilités qui ne sont pas visibles lors des tests d’intrusion, mais qui peuvent néanmoins entraîner des risques de sécurité. Ainsi, les auditeurs travaillent en étroite collaboration avec les services informatiques de leurs clients.

Quels pentests sont les plus fréquents ? 

Deux types de tests d’intrusion sont souvent réalisés au sein d’Agaetis : les tests d’intrusion d’infrastructure d’entreprise et les applications web. 

Pour le premier, il s’agit de s’introduire dans l’infrastructure d’une entreprise et de compromettre un maximum de postes et de serveurs, dans le but de trouver des vulnérabilités, pour améliorer la sécurité de l’entreprise et faire des recommandations de défense. Pour le second, il s’agit de trouver des vulnérabilités pour exfiltrer/modifier/supprimer des données, élever ses privilèges (passer de simple utilisateur à administrateur de l’application web), etc. Le but est de trouver tout ce qui pourrait être utilisé par une personne malveillante pour nuire à l’application, et d’accompagner le client dans leur suppression.

Y-a-t-il un type d’entreprise/secteur dans lesquels le test représente un intérêt particulier ?

Tous les secteurs sont concernés, mais les secteurs industriels et de la santé sont particulièrement visés par les attaquants. 

Réaliser un audit d’intrusion apporte de la sécurité supplémentaire. 

Quelles sont les étapes clés d’un pentest ?  

Les tests d’intrusion commencent toujours par une réunion de préparation où nous établissons le périmètre de l’audit, précisons les objectifs et récupérons des informations pour mener les audits.

La deuxième étape est sa réalisation, où nous cherchons un maximum de vulnérabilités.

La dernière étape est la rédaction du rapport d’audit, qui contient le détail des vulnérabilités trouvées, ainsi que les recommandations de défenses. Une réunion de restitution est organisée avec le client.

Combien de temps dure un pentest ? 

Le temps d’un test d’intrusion est négocié entre le client et le pentester, il est souvent proportionnel au périmètre de l’entreprise ou de l’application web. 

Les tests n’ont pas pour but d’être contraignants, nous essayons d’être le plus silencieux possible pour ne pas nuire à l’entreprise .

Et après un pentest, on fait quoi ?

Tous nos pentests sont accompagnés d’un plan de recommandations pour améliorer la sécurité et gagner en résilience. L’objectif premier des pentests est de trouver les vulnérabilités, de proposer un durcissement de l’infrastructure de façon globale. Il est quasi impossible de couvrir tous les risques, c’est pour cela que nous avons identifié des tâches essentielles à réaliser sur les systèmes d’information pour décourager les attaquants et gagner du temps. Le temps est un élément primordial lors d’une attaque : plus l’attaquant mettra du temps à compromettre le SI, plus il laissera des traces et déclenchera les systèmes de surveillance. 



Aujourd’hui, nous sommes en capacité d’apporter une meilleure vision du niveau de sécurité des systèmes d’information, et de proposer des solutions accessibles pour mieux sécuriser les actifs d’une entreprise. 

Il n’y a pas besoin d’investissements conséquents, cela passe par l’application des bonnes pratiques mises en avant par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Pour terminer, il est important d’aborder les pentests comme une amélioration de sécurité par de l’audit externe. Nos pentesteurs sont là pour aider et accompagner les équipes en place afin qu’elles soient en mesure de mieux protéger leur entreprise face aux cybermenaces, qui seront de plus en plus fréquentes.


Exemples de livrables 

Evaluation des risques en fonction des vulnérabilités et leurs vraisemblances 

Explication détaillée pour chaque vulnérabilité détectée 

Si vous avez des questions au sujet des pentests ou de la cybersécurité en général n’hésitez pas à nous contacter !

Ressources Agaetis

Sora : Transformer les Textes en Scènes Vidéo Réalistes et Imaginatives

par David Walter 16 févr., 2024
OpenAI, a récemment dévoilé SORA, un outil de génération de vidéo. SORA monte encore une marche, offrant des capacités de génération de vidéos réalistes. Cet article explore les caractéristiques clés de SORA, son impact potentiel sur diverses industries, les points de réflexions et l'impact pour l'avenir de la création de contenu. Qu'est-ce que SORA ? SORA est une interface avancée conçue par OpenAI qui permet de générer des séquences vidéo à partir de descriptions textuelles simples. Utilisant des techniques de pointe en matière d'intelligence artificielle et d'apprentissage profond, SORA est capable de comprendre des commandes complexes et de les traduire en contenus visuels impressionnants. Une qualité de génération inégalée La capacité de SORA à générer des vidéos époustouflantes souligne un tournant dans le domaine de la production vidéo, où la qualité et la créativité ne sont plus entravées par des contraintes techniques ou financières. Cette avancée s'inscrit dans un contexte plus large où l'IA transforme profondément les industries créatives, offrant des outils puissants pour la transcription, le doublage, la création d'avatars générés par IA, et même la suppression de fonds vidéo, rendant ces processus plus accessibles et flexibles​​​​​​. Des outils comme Descript et Adobe Premiere Pro intègrent des fonctionnalités AI pour améliorer le processus d'édition vidéo, depuis la rotation des yeux jusqu'à la génération de transcriptions et sous-titres​​. De même, la comparaison entre DALL-E 3 et Midjourney montre comment l'IA peut capturer des détails et des ambiances spécifiques dans les images, un principe également applicable à la vidéo​​. La révolution du streaming vidéo illustre comment l'adaptation numérique bouleverse les modèles économiques traditionnels, offrant une perspective sur la manière dont les technologies génératives pourraient remodeler le paysage médiatique​​. L'impact de ces technologies dépasse la simple création de contenu ; elles remodèlent également notre compréhension de la créativité et ouvrent de nouvelles voies pour l'expression artistique et la communication. Avec des outils comme SORA, la barrière entre l'idée et sa réalisation se réduit, permettant à un plus grand nombre de personnes de donner vie à leurs visions créatives sans les contraintes traditionnelles de la production vidéo. Cet élan vers une qualité de génération inégalée par l'IA soulève des questions importantes sur l'avenir du contenu créatif et la manière dont nous valorisons l'interaction entre l'humain et la technologie dans le processus créatif. Alors que nous explorons ces nouvelles frontières, il est crucial de rester attentifs aux implications éthiques et aux défis que ces technologies posent, tout en reconnaissant leur potentiel pour enrichir notre monde visuel et narratif.
Airflow PostgreSQL MongoDB

Airflow, PostgreSQL, et MongoDB ! Comment optimiser vos flux de travail données

par Ikram Zouaoui 07 févr., 2024
Integration de technologies pour optimiser les flux de travail : L'article met en lumière une approche combinée utilisant Airflow, PostgreSQL, et MongoDB pour améliorer l'efficacité des flux de travail liés aux données.
Show More
Share by: