Test d’intrusion interne & externe, une nécessité quasi vital pour la protection du SI

Les tests d’intrusion, également appelés pentests, sont des simulations de cyberattaques réalisées dans le but d’évaluer la sécurité d’un système informatique. Ces tests ont pour objectif d’identifier les vulnérabilités des systèmes et infrastructures cibles avant qu’un attaquant ne puisse les exploiter. Ils sont essentiels dans la prévention des cyberattaques, en permettant aux entreprises de découvrir et de corriger les faiblesses qui pourraient mener à une violation de données, une perte financière ou une atteinte à la réputation. En outre, les tests d’intrusion permettent aux entreprises de se préparer à des scénarios d’attaque réels, renforçant ainsi leur résilience face aux menaces émergentes.

Pourquoi les tests d’intrusion sont essentiels pour la cybersécurité

Les tests d’intrusion jouent un rôle crucial dans toute stratégie de cybersécurité en simulant les actions d’un cybercriminel. Avec l’augmentation des cyberattaques ciblant les entreprises, des exemples comme le piratage de grandes entreprises (ex : l’attaque SolarWinds) montrent que des violations de données importantes auraient pu être évitées grâce à des tests d’intrusion réguliers.

En 2023, plus de 60 % des violations de données ont été dues à des vulnérabilités non corrigées, ce qui démontre l’importance d’un audit de sécurité approfondi. Ces tests permettent aux entreprises d’identifier et de corriger les failles de sécurité avant qu’elles ne soient exploitées par des attaquants.

Les différents types de tests d’intrusion

Il existe trois principaux types de tests d’intrusion, chacun offrant des perspectives différentes sur la sécurité d’un système.

1. Tests boîte noire : Dans ce scénario, les auditeurs n’ont aucune information préalable sur le système cible, à l’exception des adresses IP ou URL. Cela simule l’attaque d’un attaquant extérieur sans connaissance interne du système. L’avantage est que ce type de test imite le comportement d’un attaquant de type « externes », mais il peut être plus difficile de trouver des vulnérabilités sans informations préalables.
2. Tests boîte grise : Ici, les auditeurs disposent d’un certain niveau d’accès ou d’informations, comme un compte utilisateur standard. Ce type de test simule un attaquant qui a déjà compromis un compte interne, ce qui permet de tester la sécurité du système après une première intrusion.
3. Tests boîte blanche : Dans ce cas, les auditeurs ont un accès complet à l’architecture du système, aux codes source et aux autres détails internes. Cela permet de mener un test approfondi, simuler un attaquant ayant une connaissance complète de l’environnement et de tester la sécurité sur un niveau très détaillé.

Comment se déroule un test d’intrusion

Un test d’intrusion suit plusieurs étapes clés pour garantir son efficacité :

1. Préparation : La première étape consiste à définir les objectifs du test, déterminer les systèmes à auditer et convenir des limites avec l’entreprise cliente. Cette phase peut inclure la collecte d’informations publiques et privées nécessaires pour simuler une attaque efficace.
2. Exécution : L’audit commence par une reconnaissance où les auditeurs collectent des informations sur la cible (IP, ports ouverts, technologies utilisées). Vient ensuite l’identification des vulnérabilités à l’aide de scans automatisés et de tests manuels, notamment des tests d’injections SQL, des failles XSS, etc.
3. Analyse des résultats et rapport : Une fois l’audit terminé, les résultats sont analysés. Le rapport final détaille les vulnérabilités identifiées, évalue leur impact et fournit des recommandations pour corriger les failles. Ce rapport constitue la base de l’amélioration continue de la sécurité de l’entreprise.

Cas particulier N°1 – Test d’intrusion interne

Voici les différentes étapes suivies par les auditeurs ORNISEC lors d’un test d’intrusion interne :

Les tests d’intrusion interne visent à identifier les vulnérabilités au sein d’un système d’information pour évaluer la sécurité globale et repérer des chemins de compromission potentiels. Ces tests peuvent être réalisés à distance (via VPN) ou directement sur site, permettant d’explorer des éléments comme le Wi-Fi et la sécurité physique.

Scénarios courants d’attaque :

• Un attaquant ayant un accès distant (VPN) tente d’élever ses privilèges pour déployer un ransomware ou exfiltrer des données sensibles.
• Un employé malveillant utilise un accès local (RJ45 ou Wi-Fi) pour perturber le système d’information ou exfiltrer des informations.

Phases du test d’intrusion interne :

1. Reconnaissance : Les auditeurs commencent par scanner le réseau pour cartographier les systèmes et services accessibles, notamment l’Active Directory, avec des outils comme Nmap et NetExec.
2. Énumération : Cette étape consiste à rechercher des ressources accessibles sans authentification ou avec un compte utilisateur fourni. L’objectif est de trouver des fichiers sensibles, des mots de passe ou des informations de configuration mal sécurisées.
3. Exploitation : Lorsqu’une faille est identifiée, l’auditeur exploite la vulnérabilité pour accéder à des systèmes ou équipements internes (serveur, poste de travail, etc.).
4. Escalade de privilèges : Après avoir compromis un équipement, l’auditeur tente d’élever ses privilèges, en exploitant des vulnérabilités du système d’exploitation ou des fichiers sensibles, pour prendre un contrôle total de l’équipement.
5. Latéralisation : Une fois qu’un serveur est compromis, l’auditeur tente de se déplacer latéralement dans le réseau pour accéder à d’autres systèmes ou ressources, en utilisant les informations d’authentification volées.
6. Post-exploitation : Lorsqu’un contrôle total est obtenu sur l’Active Directory ou un serveur critique, l’auditeur teste les actions possibles avec ces privilèges élevés (exfiltration de données sensibles, installation d’exécutables, arrêt de serveurs, etc.).

Les tests d’intrusion internes aident à simuler des attaques réelles sur le système d’information d’une entreprise. Grâce à ces audits, des vulnérabilités critiques peuvent être identifiées et corrigées avant qu’elles ne soient exploitées par des cyberattaquants.

Cas N°2 : Test d’intrusion externe

Les tests d’intrusion externe visent à simuler une attaque provenant d’un attaquant extérieur souhaitant compromettre les services exposés sur Internet. L’objectif est d’identifier et de corriger les vulnérabilités présentes sur les systèmes en ligne afin de renforcer la sécurité.

La méthodologie employée par les auditeurs d’ORNISEC lors d’un test d’intrusion externe est la suivante :

Méthodologie basée sur le TOP 10 OWASP : Les tests se concentrent sur les vulnérabilités identifiées dans le TOP 10 OWASP, qui inclut :

• Contrôles d’accès défaillants
• Injections (SQL, LDAP, etc.)
• Failles cryptographiques
• Mauvaise configuration de sécurité
• Composants vulnérables et obsolètes
• Problèmes d’authentification et d’identification
• Manque d’intégrité des données
• Carence dans les systèmes de contrôle et de journalisation
• Falsification de requêtes côté serveur

Phases du test d’intrusion externe :

1. Reconnaissance : Les auditeurs commencent par collecter des informations publiques (noms de domaine, adresses IP, technologies utilisées) sur la cible, puis réalisent un scan des ports et services exposés pour repérer d’éventuelles vulnérabilités à exploiter.
2. Identification des fonctionnalités : Les auditeurs examinent les pages, formulaires, API et autres points d’entrée pour identifier des failles potentielles. Cela inclut l’examen des répertoires accessibles et des services mis à disposition.
3. Recherche de vulnérabilités : À l’aide d’outils automatisés (Burp Suite, OWASP Zap, Nikto, SQLmap), les auditeurs effectuent des tests pour détecter des failles telles que les injections SQL, XSS, CSRF, ou IDOR. Des tests manuels approfondis sont ensuite réalisés pour valider et exploiter ces vulnérabilités.
4. Chiffrement des communications : Les auditeurs vérifient la conformité des protocoles de chiffrement utilisés et s’assurent que les communications sont sécurisées à l’aide de suites de chiffrement modernes et robustes.
5. Tests d’authentification et d’autorisation : Les auditeurs testent la résistance des mécanismes d’authentification (par exemple, attaques par force brute, dictionnaire) et d’autorisation (accès aux ressources) pour vérifier qu’aucune ressource non autorisée n’est accessible.
6. Manipulation de session : Les auditeurs tentent de manipuler les sessions (via cookies ou jetons JWT) pour tester les systèmes de gestion des sessions et évaluer le cloisonnement horizontal (accès aux données d’un autre utilisateur) et vertical (évasion de privilèges).
7. Exploitation et suppression des traces : Si une vulnérabilité critique est exploitée, les auditeurs informent le client immédiatement. Les vulnérabilités mineures sont exploitées sans nuire à la disponibilité du serveur (aucune attaque DoS). Une fois les tests terminés, les auditeurs suppriment toutes les traces d’intrusion pour éviter toute modification non autorisée des systèmes.

Les tests d’intrusion externe permettent de simuler des attaques venant de l’extérieur, en analysant les services exposés sur Internet. Ce processus aide à repérer et corriger les failles de sécurité avant qu’elles ne soient exploitées par des cyberattaquants, garantissant ainsi une meilleure protection pour les systèmes.

Cas N° 3 – Système Industriel – OT

Les tests d’intrusion dans des environnements industriels ont pour objectif de découvrir et d’évaluer les vulnérabilités des systèmes industriels (OT – Operational Technology), tout en respectant les exigences de sûreté de fonctionnement des processus industriels. Ces tests sont menés en simulant des attaques réalistes, permettant aux entreprises de renforcer la sécurité de l’environnement industriel sans compromettre la disponibilité des systèmes industriels.

L’approche d’ORNISEC suit les bonnes pratiques de la norme IEC 62443, qui met l’accent sur des principes tels que la défense en profondeur, la segmentation des réseaux et une gestion stricte des accès. Cette méthodologie se base sur deux modes principaux :

1. Mode « boîte noire » : L’équipe d’audit n’a aucune information préalable sur l’architecture ou les équipements déployés.
2. Mode « boîte grise » : L’équipe d’audit dispose d’un accès limité à la documentation ou à certains comptes restreints.

Important : Aucune action susceptible d’altérer la disponibilité ou l’intégrité des systèmes industriels (par exemple attaques DoS, fuzzing non contrôlé) n’est réalisée sans une validation explicite du client. Les tests en production sur les automates sont proscrits.

Reconnaissance :

La première étape du test d’intrusion consiste à obtenir une vue d’ensemble de l’architecture industrielle. Cette phase est réalisée de manière passive, sans générer de trafic supplémentaire, pour éviter toute perturbation des équipements critiques tels que PLC, RTU, SCADA, etc.

Les outils utilisés pour la reconnaissance comprennent :

• Wireshark, GRASSMARLIN : pour l’analyse passive des paquets réseau.
• NDPI, Zeek : pour la détection passive des protocoles et flux réseau.

L’objectif est de repérer les zones critiques et les protocoles industriels utilisés, tels que Modbus, OPC-UA, Profinet, DNP3, et BACnet, permettant ainsi une identification précise des composants et des flux associés.

Analyse des Protocoles Industriels :

Les auditeurs examinent les protocoles de communication observés dans le réseau industriel. Cela permet d’identifier les vulnérabilités intrinsèques ou les mauvaises pratiques liées aux protocoles, telles que :

• Absence d’authentification forte.
• Transmission non chiffrée des données sensibles.
• Exposition des fonctions de lecture/écriture sans contrôle d’accès.

Des tests sont réalisés sur des trames Modbus ou OPC-UA pour identifier des commandes de type write register envoyées sans restriction, ou l’observation d’identifiants ou mots de passe transmis en clair.

Recherche de Vulnérabilités et Mauvaises Configurations

Les auditeurs vérifient les configurations des équipements et leur niveau de sécurité :

• Comptes par défaut (ex. admin/admin).
• Absence de segmentation IT/OT.
• Interfaces Web non sécurisées.
• Utilisation de versions logicielles obsolètes (connues via CVE ou ICS-CERT).

Des outils spécialisés tels que Nessus SC, SCADA Strangelove, et PLCScan sont utilisés pour identifier ces vulnérabilités de manière contrôlée.

Tests d’Authentification et d’Accès

Les auditeurs vérifient les mécanismes d’authentification et d’accès aux équipements industriels, interfaces de supervision et consoles HMI. Cela inclut également l’audit des accès distants (par exemple, VPN, SSH sur équipement SCADA).

Les tests portent sur :

• La robustesse des politiques de mots de passe.
• La gestion des sessions utilisateurs.
• La capacité du système à détecter et bloquer un accès non légitime.

Simulations d’Attaques Non Intrusives

Lorsque validé par CLIENT, des attaques simulées sont réalisées, sans affecter la disponibilité du système industriel. Ces tests incluent :

• Attaques de type replay sur des trames de commande.
• Manipulation de trames industrielles (sans exécution des commandes, validation uniquement de la syntaxe).
• Attaques Man-in-the-Middle passives pour observer si un équipement accepterait des communications non légitimes sans alerte.

Les commandes destructrices (par exemple, arrêt d’automates) sont strictement exclues à moins d’être menées dans un environnement de test contrôlé.

Analyse de la Posture Défensive

L’équipe d’audit analyse également les mécanismes de détection et de réponse en place dans l’environnement industriel :

• Systèmes de détection d’intrusion (IDS/IPS) spécialisés OT : Pour surveiller et détecter des activités suspectes dans les réseaux industriels.
• Journalisation des événements de sécurité (logs SCADA, SIEM) : Pour évaluer la capacité à collecter et analyser les événements de sécurité.
• Réaction en cas d’incident cyber : La maturité des processus de réponse à un incident est évaluée, notamment la capacité de l’équipe de sécurité à isoler ou stopper une compromission partielle.

Les tests d’intrusion dans un environnement industriel visent à évaluer les vulnérabilités et à renforcer la sécurité des systèmes OT tout en respectant les impératifs de continuité des opérations industrielles. En utilisant une approche rigoureuse et alignée avec la norme IEC 62443, ORNISEC fournit aux clients des résultats pertinents, permettant de renforcer la cybersécurité sans mettre en péril les processus industriels.

Les outils couramment utilisés pour les tests d’intrusion

Plusieurs outils sont indispensables pour réaliser des tests d’intrusion efficaces :

1. Metasploit : Un framework puissant pour l’exploitation des vulnérabilités, permettant de tester et d’exploiter une grande variété de failles.
2. Nessus : Un scanner de vulnérabilités populaire qui aide à identifier les failles de sécurité et les configurations incorrectes dans les réseaux et applications.
3. Burp Suite : Outil essentiel pour tester la sécurité des applications web, notamment en détectant les failles comme les injections et les erreurs de configuration.

Ces outils sont populaires car ils permettent de simuler des attaques réelles et de vérifier en temps réel l’efficacité des protections en place.

Les avantages des tests d’intrusion

Les tests d’intrusion offrent plusieurs avantages cruciaux pour les entreprises :

• Renforcement de la sécurité : En identifiant et en corrigeant les vulnérabilités, les tests d’intrusion aident à renforcer la sécurité des systèmes.
• Conformité réglementaire : Des tests réguliers aident à se conformer à des normes comme le RGPD ou ISO 27001, qui exigent des évaluations de sécurité.
• Prévention des risques : Ils permettent de prévenir des attaques potentiellement dévastatrices, protégeant ainsi les données sensibles et la réputation de l’entreprise.

Quand effectuer un test d’intrusion

Il est important d’effectuer des tests d’intrusion à des moments clés :

• Lors du déploiement de nouveaux systèmes ou de nouvelles applications.
• Après une mise à jour majeure du système.
• À intervalles réguliers pour maintenir un niveau de sécurité élevé (à minima une fois par an).

Des tests réguliers permettent de s’assurer que le système reste résilient face aux nouvelles menaces.

L’importance du rapport de test d’intrusion

Le rapport de test d’intrusion est un élément essentiel du processus. Il offre une vue d’ensemble des vulnérabilités découvertes, leur niveau de gravité, et des recommandations détaillées pour y remédier. Il constitue une base de travail pour les équipes de sécurité qui pourront ensuite mettre en place des mesures correctives et renforcer la sécurité globale de l’entreprise.

Les erreurs courantes à éviter lors des tests d’intrusion

Certaines erreurs peuvent réduire l’efficacité des tests d’intrusion, telles que :

• Ne pas effectuer de tests réguliers : L’absence de tests réguliers laisse des vulnérabilités non détectées.
• Utiliser les mauvais outils : Choisir des outils inadéquats ou obsolètes peut conduire à des tests incomplets.
• Négliger les tests d’ingénierie sociale lors des attaques Redteam : L’ingénierie sociale est un vecteur d’attaque souvent négligé, alors qu’il est crucial d’analyser la résistance des employés face à des tentatives de manipulation.

Conclusion

En conclusion, les tests d’intrusion sont un élément clé pour assurer la cybersécurité des entreprises. Ils permettent d’identifier les vulnérabilités avant qu’elles ne soient exploitées, renforcent la sécurité globale et aident à respecter les obligations légales. Les entreprises doivent donc intégrer des tests réguliers dans leur stratégie de cybersécurité pour se prémunir contre les attaques. Pour réaliser ces tests efficacement, il est essentiel de faire appel à des experts qualifiés qui sauront adapter les tests aux spécificités de votre organisation et à son environnement technologique.

Contactez ORNISEC dès aujourd’hui pour planifier un test d’intrusion personnalisé et protéger vos systèmes contre les cyberattaques.