SlideShare une entreprise Scribd logo

Article_pentest_Secus 10 12

M
michelcusin
1  sur  3
Télécharger pour lire hors ligne
E X PE RTIS E Test de pénétration (pentest ): au-delà des apparences PAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc. Les organisations font-elles régulièrement vérifier la sécurité de leur environnement technologique par des firmes externes qui effectuent des analyses de vulnérabilité et des tests d’in- trusion ? Si oui, le font-elles pour les bonnes raisons ? Malheureusement, certaines entreprises font faire des tests de pénétration afin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effet et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ- nement technologique. D’autres font faire des tests d’intrusion afin de découvrir les failles de leur environnement technologique et d’avoir sur lui la même vision que les attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire dans la vraie vie. Michel Cusin est le fondateur de la firme Peu importe les motivations pour lesquelles ces organisations font faire ces Cusin Sécurité inc. Il possède plus de douze vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les ans d’expérience en sécurité de l’infor- mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la mation. En tant qu’instructeur et consultant méthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at- en sécurité, il a développé une solide expertise en architecture, en analyses tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce qui de vulnérabilité, en tests d’intrusion, en devrait se retrouver dans le rapport ? gestion d’incident, en formation, etc. Il détient entre autres les certifications TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉ CISSP GIAC (GCIH, GPEN), CEH, OPST et , Un test de pénétration est très différent et beaucoup plus intrusif qu’une d’autres, reliées à divers manufacturiers de solutions de sécurité. Il est l’un des simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin rares mentors et instructeurs franco- l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière. phones au SANS Institute et il est chargé Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et de cours au certificat en cybersécurité elle est loin d’être aussi exhaustive. de la Polytechnique de Montréal. Il par- ticipe à divers événements de sécurité Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse à titre de conférencier, publie des de vulnérabilité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide- articles et fait partie des responsables ment, où est le problème ? de BSidesQuébec. Son blogue traite de sujets liés à la sécurité. « Sans équivoque, leréels de l’organisationdétermine de les risques d’affaires test de pénétration dans le but pallier ces derniers le plus rapidement et le plus efficacement possible. L’un de ses objectifs peut être de tester les mécanismes de défense déjà en place tant sur le plan technologique que sur celui des processus. » Suite en page 13 Automne 2012 SÉCUS | 12 |
livrent à leurs clients le rapport original de l’outil lui-même en ne changeant parfois que le logo du haut de la page, ce qui n’a, encore une fois, aucune valeur ajoutée et qui démontre un manque de compétence et un laxisme flagrant. Le tout est bien sûr assorti d’une facture probablement trop élevée si l’on considère la valeur réelle du résultat qui est, somme toute, « un léger tapotement » sans valeur ajoutée. Certains professionnels de l’industrie appellent ces tests des “Really Crappy Penetration Test1”. Évidemment, si le client ne recherche qu’un balayage de port ou de vulnérabilité, ce qui ne se compare d’aucune façon à une analyse de vulnérabilité et encore moins à un test de pénétration en ce qui concerne la valeur pour l’orga- nisation, c’est différent. Les objectifs et les résultats sont très différents et la valeur est loin d’être la même. LE RAPPORT D’UN TEST DE PÉNÉTRATION Un rapport d’analyse de vulnérabilité ou de test de Suite de la page 12 pénétration devrait notamment inclure la méthodologie uti- Le pirate sérieux qui trouve une vulnérabilité sur un lisée, l’expertise d’un professionnel en sécurité, l’intelligence système ne s’arrêtera pas là. Il utilisera cette faille pour com- humaine, l’interprétation de données, des explications, des promettre le système afin de s’en servir comme tremplin ou recommandations, un sommaire, une conclusion et un cer- pivot dans le but d’accéder au reste de l’environnement et tain accompagnement pour qu’il y ait une valeur réelle pour d’atteindre ainsi le système qui contient le « secret de la le client. Si une entreprise reçoit un rapport qui ne contient Caramilk ». pas ces éléments, elle est en droit de s’interroger et même De plus, comme les techniques d’attaque ont grande- de refuser le rapport. ment évolué, les attaquants utilisent maintenant des De plus, un rapport devrait inclure la liste détaillée des méthodes qui exploitent des vecteurs d’attaque qu’une simple vulnérabilités, idéalement par ordre de sévérité (haute, analyse de vulnérabilité ne « couvre » pas nécessairement, moyenne, basse). Pour chacune des vulnérabilités, des contrairement à un test de pénétration. informations telles qu’une description de la vulnérabilité, la Les pirates, eux, font de vrais tests. Les entreprises, façon dont cette dernière peut être exploitée par un atta- elles, en font-elles ? quant, le type de connaissances requises pour l’exploiter, des Voici une analogie intéressante. Quelle méthode est la solutions pour chacune des vulnérabilités découvertes et les plus efficace pour détecter une bombe cachée dans une systèmes affectés devraient être fournies. valise à l’aéroport ? Celle de tapoter la valise légèrement Suite en page 14 sans l’ouvrir en demandant à son transporteur s’il y a une bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux rayons X et de la faire sentir par un chien renifleur ? En fait, veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponse est non, boum ! Si la réponse est oui, on prend les moyens qui s’imposent pour le savoir. Toutefois, qu’advient-il si la machine à rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro- duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive- t-il si le chien renifleur ne s’assoit pas à côté de la valise ou s’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person- nel ne reçoit aucune consigne sur la façon de gérer la situa- tion ? Évidemment, le parallèle avec les tests et les rapports déficients est simple à faire. Non ? Malheureusement, les rapports d’analyses de vulnéra- bilité ne sont que trop souvent des copier-coller presque inté- graux et sans valeur ajoutée du résultat provenant d’un outil accessible à tous (parfois gratuit). Pire encore, certaines firmes Automne 2012 SÉCUS | 13 |
Abonnez-vous à notre magazine ! (www.secus.ca) Suite de la page 13 Puis, un rapport devrait présenter des recommanda- doit comprendre l’importance de prendre le temps d’y réfléchir tions spécifiques basées sur les résultats réels du présent sérieusement. Si quelqu’un magasine une fourgonnette pour test et non des conseils génériques (par exemple, « suivez transporter sa famille, le prix du véhicule sera-t-il son unique les bonnes pratiques et appliquez les rustines ») qui pour- critère ou considérera-t-il également les options de sécurité ? raient s’appliquer à n’importe quel environnement du même type. Non pas que ces avis ne devraient pas s’y retrouver, CONSEILS mais ils devraient être contextualisés et non génériques. Magasinez vos tests et utilisez les éléments men- Dans un test de pénétration, la transparence est de tionnés plus tôt afin de vous faire une grille d’évaluation. mise, donc aucune « magie-noire-ésotérique-vaudou » ne N’hésitez surtout pas à rajouter des critères qui vous sem- devrait venir mystifier le test, bien au contraire. L’organisation blent importants. Cela vous aidera à comparer les différentes est en droit de savoir tout ce qui se passe. L’heure de début options disponibles dans les offres que vous recevrez. De et de fin de l’une des phases du test, l’adresse IP source du cette façon, vous serez en mesure de comparer des pommes testeur, le système exploité, le moment approximatif de avec des pommes. « Beaucoup trop d’médiocres et sans l’événement, les techniques et outils utilisés, etc. Il s’agit de l’environnement de l’entreprise. Ses respon- entreprises se sables doivent être à l’aise avec le processus. L’utilisation contentent de rapports d’une méthodologie reconnue est également très importante dans le but de s’assurer que les tests sont structurés et tou- valeur réelle. Un test de pénétration de jours effectués de la même façon. De cette manière, les résul- qualité moyenne avec un bon rapport est beaucoup mieux qu’un super test de » tats devraient être les mêmes, peu importe qui fait le test. Plusieurs méthodes existent à cet effet telles que l’Open Source pénétration avec un rapport médiocre. Security Testing Methodology Manual 2, le Penetration Testing Execution Standard3, le Technical Guide to Information L’objectif d’un test de pénétration est donc de déter- Security Testing and Assessment du National Institute of miner les risques d’affaires et non de démontrer comment le Standards and Technology4. L’organisation est également en pentesteur est un « super-l337-kung-fu-ninja » et que rien ne droit de demander à ce que la liste des outils utilisés pour lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous faire les tests apparaisse dans le rapport, et ce, tant sur le payez, c’est le rapport. C’est lui qui vous aidera vraiment à plan des outils commerciaux que des logiciels libres (open déterminer les risques, les vulnérabilités, les actions et les source). budgets auxquels vous devez accorder la priorité. Bon test de pénétration ! LE COÛT D’UN TEST DE PÉNÉTRATION Le coût d’un test de pénétration peut varier de façon 1. « Très mauvais test de pénétration », importante. Trop souvent, la décision de l’entreprise n’est http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in- basée que sur le prix du test de pénétration. C’est donc le pen-testing?reply-to-comment=101. 2. www.isecom.org/research/osstmm.html (en anglais). moins cher qui l’emporte ! Cependant, comme il s’agit de la 3. www.pentest-standard.org/ (en anglais). sécurité de son environnement technologique, de ses don- 4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf nées, de sa réputation, et de bien plus encore, l’organisation (en anglais). Automne 2012 SÉCUS | 14 |

Recommandé

Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Hapsis
 

Recommandé

Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Hapsis
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siPROJECT SI
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftMicrosoft Technet France
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéEChristophe-Alexandre PAILLARD
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17ITrust - Cybersecurity as a Service
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert Half France
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se CampMichel GERARD
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 

Contenu connexe

Tendances

Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siPROJECT SI
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert Half France
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se CampMichel GERARD
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
 

Tendances (20)

Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se Camp
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
 

Similaire à Article_pentest_Secus 10 12

Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfssuser384b72
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Accélérer les tests et la validation de logiciels
Accélérer les tests et la validation de logicielsAccélérer les tests et la validation de logiciels
Accélérer les tests et la validation de logicielskalistick
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013Pierre SARROLA
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Blandine Delaporte
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 

Similaire à Article_pentest_Secus 10 12 (20)

Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Accélérer les tests et la validation de logiciels
Accélérer les tests et la validation de logicielsAccélérer les tests et la validation de logiciels
Accélérer les tests et la validation de logiciels
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
cyberun #27
cyberun #27cyberun #27
cyberun #27
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 

Plus de michelcusin

Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Plus de michelcusin (14)

Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Article_pentest_Secus 10 12

  • 1. E X PE RTIS E Test de pénétration (pentest ): au-delà des apparences PAR MICHEL CUSIN, fondateur de la firme Cusin Sécurité inc. Les organisations font-elles régulièrement vérifier la sécurité de leur environnement technologique par des firmes externes qui effectuent des analyses de vulnérabilité et des tests d’in- trusion ? Si oui, le font-elles pour les bonnes raisons ? Malheureusement, certaines entreprises font faire des tests de pénétration afin d’obtenir le « papier » et de pouvoir dire qu’elles ont utilisé leur budget à cet effet et qu’elles ont donc fait leur devoir en ce qui concerne la sécurité de leur environ- nement technologique. D’autres font faire des tests d’intrusion afin de découvrir les failles de leur environnement technologique et d’avoir sur lui la même vision que les attaquants pour exploiter les vulnérabilités et recréer ce qui pourrait se produire dans la vraie vie. Michel Cusin est le fondateur de la firme Peu importe les motivations pour lesquelles ces organisations font faire ces Cusin Sécurité inc. Il possède plus de douze vérifications. Un fait demeure. Au final, la seule chose qu’elles auront entre les ans d’expérience en sécurité de l’infor- mains sera le rapport pour lequel elles auront payé. Mais, connaissent-elles la mation. En tant qu’instructeur et consultant méthode utilisée par le pentesteur ? Puis, savent-elles à quoi elles devraient s’at- en sécurité, il a développé une solide expertise en architecture, en analyses tendre de ce dernier ? Quel est l’objectif d’un test de pénétration ? Qu’est-ce qui de vulnérabilité, en tests d’intrusion, en devrait se retrouver dans le rapport ? gestion d’incident, en formation, etc. Il détient entre autres les certifications TEST DE PÉNÉTRATION ET ANALYSE DE VULNÉRABILITÉ CISSP GIAC (GCIH, GPEN), CEH, OPST et , Un test de pénétration est très différent et beaucoup plus intrusif qu’une d’autres, reliées à divers manufacturiers de solutions de sécurité. Il est l’un des simple analyse de vulnérabilité. Il consiste principalement à pousser plus loin rares mentors et instructeurs franco- l’analyse de vulnérabilité en exploitant les failles découvertes lors de cette dernière. phones au SANS Institute et il est chargé Une analyse de vulnérabilité est donc l’une des étapes d’un test de pénétration et de cours au certificat en cybersécurité elle est loin d’être aussi exhaustive. de la Polytechnique de Montréal. Il par- ticipe à divers événements de sécurité Alors, pourquoi effectuer un test de pénétration plutôt qu’une simple analyse à titre de conférencier, publie des de vulnérabilité ? Après tout, si les vulnérabilités sont identifiées et corrigées rapide- articles et fait partie des responsables ment, où est le problème ? de BSidesQuébec. Son blogue traite de sujets liés à la sécurité. « Sans équivoque, leréels de l’organisationdétermine de les risques d’affaires test de pénétration dans le but pallier ces derniers le plus rapidement et le plus efficacement possible. L’un de ses objectifs peut être de tester les mécanismes de défense déjà en place tant sur le plan technologique que sur celui des processus. » Suite en page 13 Automne 2012 SÉCUS | 12 |
  • 2. livrent à leurs clients le rapport original de l’outil lui-même en ne changeant parfois que le logo du haut de la page, ce qui n’a, encore une fois, aucune valeur ajoutée et qui démontre un manque de compétence et un laxisme flagrant. Le tout est bien sûr assorti d’une facture probablement trop élevée si l’on considère la valeur réelle du résultat qui est, somme toute, « un léger tapotement » sans valeur ajoutée. Certains professionnels de l’industrie appellent ces tests des “Really Crappy Penetration Test1”. Évidemment, si le client ne recherche qu’un balayage de port ou de vulnérabilité, ce qui ne se compare d’aucune façon à une analyse de vulnérabilité et encore moins à un test de pénétration en ce qui concerne la valeur pour l’orga- nisation, c’est différent. Les objectifs et les résultats sont très différents et la valeur est loin d’être la même. LE RAPPORT D’UN TEST DE PÉNÉTRATION Un rapport d’analyse de vulnérabilité ou de test de Suite de la page 12 pénétration devrait notamment inclure la méthodologie uti- Le pirate sérieux qui trouve une vulnérabilité sur un lisée, l’expertise d’un professionnel en sécurité, l’intelligence système ne s’arrêtera pas là. Il utilisera cette faille pour com- humaine, l’interprétation de données, des explications, des promettre le système afin de s’en servir comme tremplin ou recommandations, un sommaire, une conclusion et un cer- pivot dans le but d’accéder au reste de l’environnement et tain accompagnement pour qu’il y ait une valeur réelle pour d’atteindre ainsi le système qui contient le « secret de la le client. Si une entreprise reçoit un rapport qui ne contient Caramilk ». pas ces éléments, elle est en droit de s’interroger et même De plus, comme les techniques d’attaque ont grande- de refuser le rapport. ment évolué, les attaquants utilisent maintenant des De plus, un rapport devrait inclure la liste détaillée des méthodes qui exploitent des vecteurs d’attaque qu’une simple vulnérabilités, idéalement par ordre de sévérité (haute, analyse de vulnérabilité ne « couvre » pas nécessairement, moyenne, basse). Pour chacune des vulnérabilités, des contrairement à un test de pénétration. informations telles qu’une description de la vulnérabilité, la Les pirates, eux, font de vrais tests. Les entreprises, façon dont cette dernière peut être exploitée par un atta- elles, en font-elles ? quant, le type de connaissances requises pour l’exploiter, des Voici une analogie intéressante. Quelle méthode est la solutions pour chacune des vulnérabilités découvertes et les plus efficace pour détecter une bombe cachée dans une systèmes affectés devraient être fournies. valise à l’aéroport ? Celle de tapoter la valise légèrement Suite en page 14 sans l’ouvrir en demandant à son transporteur s’il y a une bombe à l’intérieur ou celle d’ouvrir la valise, de la passer aux rayons X et de la faire sentir par un chien renifleur ? En fait, veut-on vraiment savoir ce qu’il y a à l’intérieur ? Si la réponse est non, boum ! Si la réponse est oui, on prend les moyens qui s’imposent pour le savoir. Toutefois, qu’advient-il si la machine à rayons X n’affiche qu’une partie de l’image ou qu’elle ne pro- duit aucune alerte si elle détecte quelque chose ? Ou qu’arrive- t-il si le chien renifleur ne s’assoit pas à côté de la valise ou s’il ne jappe pas lorsqu’il sent les explosifs ? Et si le person- nel ne reçoit aucune consigne sur la façon de gérer la situa- tion ? Évidemment, le parallèle avec les tests et les rapports déficients est simple à faire. Non ? Malheureusement, les rapports d’analyses de vulnéra- bilité ne sont que trop souvent des copier-coller presque inté- graux et sans valeur ajoutée du résultat provenant d’un outil accessible à tous (parfois gratuit). Pire encore, certaines firmes Automne 2012 SÉCUS | 13 |
  • 3. Abonnez-vous à notre magazine ! (www.secus.ca) Suite de la page 13 Puis, un rapport devrait présenter des recommanda- doit comprendre l’importance de prendre le temps d’y réfléchir tions spécifiques basées sur les résultats réels du présent sérieusement. Si quelqu’un magasine une fourgonnette pour test et non des conseils génériques (par exemple, « suivez transporter sa famille, le prix du véhicule sera-t-il son unique les bonnes pratiques et appliquez les rustines ») qui pour- critère ou considérera-t-il également les options de sécurité ? raient s’appliquer à n’importe quel environnement du même type. Non pas que ces avis ne devraient pas s’y retrouver, CONSEILS mais ils devraient être contextualisés et non génériques. Magasinez vos tests et utilisez les éléments men- Dans un test de pénétration, la transparence est de tionnés plus tôt afin de vous faire une grille d’évaluation. mise, donc aucune « magie-noire-ésotérique-vaudou » ne N’hésitez surtout pas à rajouter des critères qui vous sem- devrait venir mystifier le test, bien au contraire. L’organisation blent importants. Cela vous aidera à comparer les différentes est en droit de savoir tout ce qui se passe. L’heure de début options disponibles dans les offres que vous recevrez. De et de fin de l’une des phases du test, l’adresse IP source du cette façon, vous serez en mesure de comparer des pommes testeur, le système exploité, le moment approximatif de avec des pommes. « Beaucoup trop d’médiocres et sans l’événement, les techniques et outils utilisés, etc. Il s’agit de l’environnement de l’entreprise. Ses respon- entreprises se sables doivent être à l’aise avec le processus. L’utilisation contentent de rapports d’une méthodologie reconnue est également très importante dans le but de s’assurer que les tests sont structurés et tou- valeur réelle. Un test de pénétration de jours effectués de la même façon. De cette manière, les résul- qualité moyenne avec un bon rapport est beaucoup mieux qu’un super test de » tats devraient être les mêmes, peu importe qui fait le test. Plusieurs méthodes existent à cet effet telles que l’Open Source pénétration avec un rapport médiocre. Security Testing Methodology Manual 2, le Penetration Testing Execution Standard3, le Technical Guide to Information L’objectif d’un test de pénétration est donc de déter- Security Testing and Assessment du National Institute of miner les risques d’affaires et non de démontrer comment le Standards and Technology4. L’organisation est également en pentesteur est un « super-l337-kung-fu-ninja » et que rien ne droit de demander à ce que la liste des outils utilisés pour lui résiste. N’oubliez pas que le résultat, et ce pour quoi vous faire les tests apparaisse dans le rapport, et ce, tant sur le payez, c’est le rapport. C’est lui qui vous aidera vraiment à plan des outils commerciaux que des logiciels libres (open déterminer les risques, les vulnérabilités, les actions et les source). budgets auxquels vous devez accorder la priorité. Bon test de pénétration ! LE COÛT D’UN TEST DE PÉNÉTRATION Le coût d’un test de pénétration peut varier de façon 1. « Très mauvais test de pénétration », importante. Trop souvent, la décision de l’entreprise n’est http://pen-testing.sans.org/blog/2012/02/09/maximizing-value-in- basée que sur le prix du test de pénétration. C’est donc le pen-testing?reply-to-comment=101. 2. www.isecom.org/research/osstmm.html (en anglais). moins cher qui l’emporte ! Cependant, comme il s’agit de la 3. www.pentest-standard.org/ (en anglais). sécurité de son environnement technologique, de ses don- 4. csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf nées, de sa réputation, et de bien plus encore, l’organisation (en anglais). Automne 2012 SÉCUS | 14 |