RESSOURCES

Toutes les ressources

Audit de vulnérabilités et Pentest : Intérêts, objectifs et différences

Description

Axe indispensable d’une démarche cybersécurité, les audits techniques sont l’un des principaux moyens de contrôles et de maintien du niveau de sécurité de son système d’information. Cette démarche, partie intégrante de la démarche ISO 27001, s’inscrit pleinement dans l’évaluation et la maîtrise des risques cybersécurité.
Les audits de vulnérabilités et les tests d’intrusion sont deux des approches habituellement utilisées dans ce cadre. Mais en connaissez-vous les différences et savez-vous comment les utiliser au mieux pour répondre à vos besoins ?
 

Qu’est-ce qu’un audit de vulnérabilité ?


C’est une approche basée sur l’utilisation d’outils automatisés (scanner, scripts…), préalablement configurés par rapport au contexte et aux technologies testées sur un système d’information. Ils s’appuient sur des bases de connaissances de vulnérabilités connues de différents OS, logiciels, services et équipements couramment utilisés.

 

Les objectifs d’un audit de vulnérabilité sont donc :

  • Détecter et lister les failles des systèmes audités (selon les modèles et version spécifique des services accessibles) ;
  • Rechercher des erreurs de configuration courantes, pouvant exposer le système d’information à des attaques ;
  • Fournir une évaluation de la criticité des vulnérabilités découvertes (généralement basé sur les standards CVSS)

Ce type d’audit est habituellement utilisé sur un périmètre assez large, et réalisé de façon récurrente (mensuel, trimestriel ou semestriel selon la sensibilité) afin de mettre en place des actions correctives continues répondant aux nouvelles failles régulièrement publiées. Ces actions viennent généralement compléter une politique de patch management.


Pour réaliser ce type de tests, une maîtrise des paramètres est nécessaire afin de ne pas perturber le fonctionnement du système d’information. Par ailleurs, pour qu’ils soient le plus pertinents et exploitables possibles, les résultats obtenus doivent être adaptés au contexte de l’entreprise par une personne ayant une connaissance fine des vulnérabilités et de leurs exploitabilités réelles.


On notera que ces tests restent cependant limités par leur faible capacité à déceler des failles logiques, se révélant donc peu adaptés pour auditer les infrastructures Cloud.

 

Qu’est-ce qu’un pentest ?


Le test d’intrusion, aussi connu sous le nom de « pentest », est une simulation de piratage qui identifie les possibilités de contourner les défenses mises en place en combinant et exploitant des failles. Le périmètre de réalisation est généralement limité et ciblé sur les éléments les plus sensibles du système d’information (site web, accès à des serveurs sensibles…). La démarche ISO 27001 recommande d’effectuer des tests d’intrusion au moins une fois par an, et systématiquement après une évolution majeure de l’architecture, d’une application ou d’un site web.

 

Les objectifs d’un pentest sont donc :

  • Rechercher et tester les scénarios qu’un attaquant pourrait mettre en œuvre pour s’introduire et compromettre le système d’information ;
  • Tester la robustesse et l’efficacité des mesures de protection mises en place ;
  • Rechercher et proposer les axes d’amélioration pour limiter les risques d’intrusion.

Un pentester ou hacker éthique va employer les mêmes techniques qu’un pirate pour réaliser des tentatives d’intrusion, s’arroger des droits et privilèges supplémentaires, obtenir des accès à des données confidentielles ou protégées.


Il s’appuiera pour cela sur des outils automatiques ou développés par ses soins, des scripts, et des commandes et actions manuelles. En recherchant et combinant différentes failles techniques ou de conception, il conçoit et met en œuvre des scénarios d’attaque pour contourner les protections mises en place et recherche les moyens d’étendre ses actions à l’ensemble du système d’information.


Les tests d’intrusion peuvent être réalisés sur des accès externes ou internes au système d’information, et sont effectués selon trois approches distinctes et complémentaires :

  • Sans information spécifique sur les éléments ciblés autre que les URL ou adresse IP. On parlera alors de tests en boîte noire (ou Black Box). Cette approche est systématiquement utilisée dans le cadre d’un pentest, afin de simuler les actions possibles d’un attaquant externe ou interne (visiteur, intrus…).
  • Avec un compte de connexion standard avec des droits minimums. On parlera alors de tests en boîte grise (ou Grey Box). Cette approche permet de simuler les actions possibles d’un attaquant ayant un compte de connexion (obtenu à la suite d’un phishing, stagiaire ou ancien collaborateur…) et cherchant à l’utiliser pour accéder de façon illégitime à des informations.
  • Avec l’ensemble des informations techniques et des comptes de connexion avec des privilèges élevés. On parlera alors de tests en boîte blanche (ou White Box). Cette approche est utilisée pour permettre une réalisation la plus étendue possible des tests d’intrusion.
     

Les audits de vulnérabilité et tests d’intrusion peuvent-ils avoir un impact sur le système d’information ?


Diverses mesures sont prises en amont et au cours de l’audit pour prévenir l’impact potentiel des tests sur la stabilité de l’environnement technologique et la continuité des opérations de production. Un plan d’audit est initialement mis en place afin de prendre en compte les risques techniques, les plages horaires de réalisation des tests… et prévenir tout impact potentiel.

Comment sont évalués les risques identifiés ?


La criticité des failles est évaluée selon 4 niveaux (critique, élevé, modéré, faible). Les critères sont habituellement basés sur la norme du Common Vulnerability Scoring System (CVSS) et sur le contexte de l’entreprise. Deux critères principaux sont pris en compte pour évaluer le niveau de risque :

  • L’impact potentiel : L’impact potentiel d’une attaque est basé sur les effets qu’elle produirait en termes de Disponibilité, Confidentialité et d’Intégrité des données ou du système d’information.
  • Exploitabilité : L’exploitabilité potentielle d’une vulnérabilité mesure la complexité à utiliser une faille. Elle influe sur la vraisemblance, l’occurrence et la probabilité qu’un scénario d’attaque se réalise. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple : vecteur d’accès, authentification, complexité opérationnelle et technique, etc.)

 

Quels retours sur investissement ?


Les audits de vulnérabilité et les tests d’intrusion permettent, par leurs approches différentes et complémentaires, de détecter des failles de sécurité techniques comme logiques, et de les corriger avant qu’elles ne soient exploitées dans le cadre d’une attaque. Ils contribuent donc à prévenir les risques de fuites de données ou de piratages potentiels, aux conséquences importantes : perte financière, de productivité, d’opportunité, d’image, risques légaux et contractuels, risques d’accidents…
Les entreprises stockent majoritairement leurs données stratégiques et commerciales de manière dématérialisée. Leur intégrité et leur confidentialité sont une source de valeur trop souvent sous-estimée. Ils sont une part importante des actifs immatériels de l’entreprise, un savoir-faire et une valeur propre que les audits de sécurité contribuent à préserver. Un audit de sécurité est donc un investissement permettant de mieux maîtriser ses risques cybersécurité. Il s’inscrit dans la démarche stratégique de l’entreprise.
 

Conclusion


Choisir entre un pentest et un audit de vulnérabilités dépend de votre contexte : des mesures de sécurité déjà faites ou en place, les risques spécifiques, l’enveloppe budgétaire… Ces deux types de prestation, complémentaires, répondent à des besoins et à des situations différentes. Il est donc important d’échanger au préalable avec nos directeurs de projet pour vous accompagner dans le choix de l’approche la plus adaptée.
 

Télécharger l'infographie

Mentions légales

Informations générales

  • Dénomination ou raison sociale : Vialis
  • Adresse et numéro de téléphone du siège social : 64 rue de Miromesnil, 75008 Paris - FRANCE - Tél.+33 (0)1 55 06 11 91
  • Inscription RCS ou chambre des métiers : RCS PARIS B 509 081 006
  • Directeur de la publication : Roland Mor, DP

Hébergement et réalisation du site

Droits de propriété intellectuelle et industrielle

La structure générale, ainsi que les logiciels, textes, images, informations, documents, services et tout autre élément composant ce site sont protégés notamment au titre du droit d'auteur par les dispositions du Code de la Propriété Intellectuelle ou toute autre réglementation relative à la propriété intellectuelle. Toute représentation et/ou reproduction totale ou partielle de ce site (ou de l'un quelconque des éléments qui le composent) par quelque procédé que ce soit, sans l'autorisation expresse préalable de Vialis est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.Tous documents téléchargeables sont également protégés par le droit d'auteur, leur utilisation est limitée à la seule prestation de service assurée par l'éditeur via le site transformation.quodagis.fr/ Egalement, les marques et/ou logos figurant sur ce site sont des marques déposées et/ou des créations protégées, propriété exclusive de Vialis.Toute reproduction ou représentation totale ou partielle de ces marques et/ou de ces logos, sans l'autorisation expresse préalable de l'éditeur est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.

Protection des informations

Google Analytics utilise des cookies, qui sont des fichiers texte placés sur votre ordinateur, pour aider le site internet à analyser l'utilisation du site par ses utilisateurs.Les données générées par les cookies concernant votre utilisation du site (y compris votre adresse IP) seront transmises et stockées par Google sur des serveurs situés aux Etats-Unis.Google utilisera cette information dans le but d'évaluer votre utilisation du site, de compiler des rapports sur l'activité du site à destination de son éditeur et de fournir d'autres services relatifs à l'activité du site et à l'utilisation d'Internet.Google est susceptible de communiquer ces données à des tiers en cas d'obligation légale ou lorsque ces tiers traitent ces données pour le compte de Google, y compris notamment l'éditeur de ce site.Google ne recoupera pas votre adresse IP avec toute autre donnée détenue par Google.Vous pouvez désactiver l'utilisation de cookies en sélectionnant les paramètres appropriés de votre navigateur. Cependant, une telle désactivation pourrait empêcher l'utilisation de certaines fonctionnalités de ce site.En utilisant ce site internet, vous consentez expressément au traitement de vos données nominatives par Google dans les conditions et pour les finalités décrites ci-dessus.

Informatique et liberté | Données Personnelles

L’utilisateur est informé que les informations qu’il communique par les formulaires présents sur le site de Vialis groupe QUODAGIS sont nécessaires pour répondre à sa demande et sont destinées aux services en charge de répondre à sa demande à des fins de suivi de cette demande. Les informations recueillies font également l’objet d’un traitement destiné à communiquer sur des évènements, des offres promotionnelles, des actualités ou tout autre document de communication. Vos données ne sont pas partagées avec des tiers.
Conformément aux articles 38, 39, 40, 41 et 42 de la loi Informatique et liberté du 6 janvier 1978, chaque utilisateur ayant déposé des informations nominatives le concernant sur le site, dispose des droits d'opposition, d'accès et de rectification de ces données. Ainsi, il peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte ou l'utilisation, la communication ou la conservation est interdite. Chaque utilisateur peut exercer ses droits en écrivant à Vialis groupe QUODAGIS, 64 rue de Miromesnil, 75008 PARIS - FRANCE.