Offre Mission PEN

Pen-Testing : Mission Tests de Pénétration
Offre Mission
PEN-TESTING
(Tests de Pénétration)
RWISSI Networking
Page 1
CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+
Pen-Testing : Mission Tests de Pénétration
Sommaire
I. Le Contexte Technologique ..........................................................................................................................3
II. Qu’est ce qu’un Pen-Testing ? .....................................................................................................................3
III. Pourquoi commander un Pen-Testing ? ..................................................................................................... 4
IV. Comment intervenons-nous ? ..................................................................................................................... 4
A. Phase 1 : Définition de la portée des tests ................................................................................................... 5
B. Phase 2 : Réalisation des tests de pénétration ............................................................................................. 6
C. Phase 3 : Établissement et diffusion des résultats ....................................................................................... 7
V. Pourquoi faire appel à nous? ........................................................................................................................ 7
VI. Notre consultant...........................................................................................................................................8
RWISSI Networking
Page 2
CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+
Pen-Testing : Mission Tests de Pénétration
I.
Le Contexte Technologique
De nos jours, les échanges électroniques sont devenus la clé de réussite de toute organisation.C’est ce qui
explique le rapide développement du commerce électronique et maintenant de l’e-Gouvernement ou l’eadministration.
L’ouverture électronique expose les organisations à une nouvelle forme de délinquance et de vandalisme : la
criminalité numérique. Pour se protéger et protéger leurs informations clés, les organisations mettent en oeuvre
une stratégie de sécurité en implémentant les tous derniers produits et services pour prévenir les fraudes, les
actes de vandalisme ou de sabotage et les attaques par déni de service.
Dans cette course à la sécurité informatique, la plupart des entreprises ont fortement investi dans des produits
et services de sécurité pour protéger leurs réseaux et systèmes d’exploitation contre la perte et la destruction
malveillante ou accidentelle des services et informations ; La majeure partie d’entre elles oublient trop souvent
une étape essentielle : vérifier que ces mesures de sécurité sont correctement implémentées et appliquées.
Face à des menaces Internet qui se veulent de plus en plus récurrentes et difficilement détectables, le « PenTesting » ou tests de pénétration permet aux organisations d’expérimenter de manière concrète leur
vulnérabilité aux attaques, mais sans en subir les conséquences.
II.
Qu’est ce qu’un Pen-Testing ?
D’une manière simple, un test de pénétration (ou “analyse de la sécurité, audit des vulnérabilités ou encore
analyse des risques techniques) est le processus par lequel sont évaluées les mesures de sécurité et
l’infrastructure de sécurité par une approche proactive.
Le Pen-Testing, en recherchant les faiblesses d’un environnement réseau et/ou d’un système d’information,
contribue à affiner la stratégie de sécurité d’une entreprise, à en identifier les faiblesses et à vérifier
l’adéquation de la sécurité mise en oeuvre avec le niveau de sécurité attendue. Les tests mettent également en
évidence les faiblesses qui peuvent être introduites après application des correctifs ou des mises à jour, ou à la
suite d’une mauvaise configuration des serveurs, routeurs et pare-feu.
L’exécution régulière de ces tests permet aux organisations d’identifier les failles de sécurité réseau
susceptibles d’entraîner la perte partielle ou totale de ses données ou équipements du fait d’exploits, de
RWISSI Networking
Page 3
CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+
Pen-Testing : Mission Tests de Pénétration
chevaux de Troie, d’attaques par déni de service ou d’autres types d’intrusions.
III.
Pourquoi commander un Pen-Testing ?
D’un point de vu management, une mission de tests de pénétration vous aide à mieux protéger votre entreprise
contre les attaques grâce à:
•
La prévention des pertes financières à cause des fraudes (pirates, extorqueur et employées mécontents)
ou à cause d’un dysfonctionnement d’un système ou d’un processus.
•
L’assurance de la “Due Diligence” et de la conformité par rapport aux législations en vigueur relatives
à votre coeur de métier, aux clients et aussi à vos associés. La non conformité peut avoir comme
conséquence la perte des marchés, des lourdes pénalités ou bien même la faillite.
•
La protection de votre image de marque en évitant la perte de confiance de vos clients et de votre
réputation dans le domaine.
D’un point de vu opérationnel, une mission de tests de pénétration vous aide à optimiser votre stratégie de
sécurité de l’information grâce à:
•
L’identification des vulnérabilités et la quantification de leurs impacts et de leur probabilités de
survenance pour qu’elles soient traitées d’une manière proactive; le budget nécessaire sera ainsi prévu
et les mesures correctives seront vite implémentées.
IV.
Comment intervenons-nous ?
L’objectif global d’un Pen-Testing est de découvrir les faiblesses de sécurité du réseau de l’entreprise que les
intrus peuvent exploiter. Différents types de test de pénétration sont nécessaires pour les différents
périphériques réseau. Par exemple, le test effectué pour un pare-feu sera différent de celui effectué pour
l’ordinateur d’un utilisateur standard. Même le test de pénétration des périphériques situés dans la zone
démilitarisée (DMZ) diffère d’une analyse visant à déterminer les points d’une possible pénétration réseau.
Le processus de test se décompose essentiellement en trois phases :
- Définition de la portée des tests
RWISSI Networking
Page 4
CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+
Pen-Testing : Mission Tests de Pénétration
- Réalisation des tests de pénétration
- Établissement et diffusion des résultats
A. Phase 1 : Définition de la portée des tests
La portée d’un test de pénétration est déterminée en fonction de l’importance des données situées sur la
machine à tester et des besoins de connectivité à un service donné. Au cours de cette phase, l’entreprise joue
un rôle majeur.
• Test intégral ou ciblé
L’organisation doit décider si elle souhaite effectuer un test intégral du réseau ou un test ciblé
sur certains périphériques uniquement, comme le pare-feu, ou les deux. Nous conseillons
généralement de procéder aux deux tests pour déterminer le degré d’exposition à
l’infrastructure publique, ainsi que la sécurité des différentes cibles.
Parmi les cibles à prendre en compte, on peut citer les pare-feu, les routeurs, les Serveurs
Web, les serveurs de messagerie, les serveurs FTP (File Transfer Protocol) et les serveurs
DNS (Domain-Name-System, Système de noms de domaine).
• Périphériques, systèmes et mots de passe
L’organisation doit également choisir le type de test à effectuer. Par exemple, recherche t-elle
uniquement les faiblesses pouvant entraîner l’altération d’un périphérique ou souhaite-t-elle
également connaître les possibilités d’attaques par déni de service? Par ailleurs, l’organisation
doit déterminer si elle nous autorise à intervenir sur son fichier de mots de passe pour tester le
choix des mots de passe par les utilisateurs, et si elle accepte de laisser ses périphériques faire l’objet d’un
piratage de ses mots de passe sur le réseau.
• Test local ou distant
L’organisation doit ensuite décider si les tests seront effectués à distance via Internet ou sur site via le réseau
local. Cette décision dépend très largement des cibles à tester et des mesures de sécurité existantes. Par
exemple, le test distant d’une machine située derrière un pare-feu masquant une traduction d’adresses réseau
pour l’accès à Internet échouera si le pare-feu bloque correctement l’accès à cette machine.
RWISSI Networking
Page 5
CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+
Pen-Testing : Mission Tests de Pénétration
B. Phase 2 : Réalisation des tests de pénétration
Le processus de test débute par la collecte du maximum d’informations possible sur l’architecture réseau, la
topologie et le matériel et les logiciels employés, pour permettre l’identification de toutes les faiblesses de
sécurité. La recherche d’informations publiques, telles que les enregistrements Whois, les dossiers de la U.S.
Securities Exchange Commission (SEC), les articles de presse relatifs aux sociétés, les brevets et les marques
commerciales, nous offre non seulement des informations générales mais leur permet également d’identifier
les informations que peuvent exploiter les pirates pour trouver des faiblesses.
Des outils comme l’utilitaire ping, Traceroute ou nslookup peuvent être employés pour récupérer des
informations de l’environnement cible et déterminer l’architecture, la topologie réseau, ainsi que le fournisseur
d’accès. Des outils comme les scanneurs de ports, NMAP (Network Mapping), SNMP (Simple Network
Management Protocol) et NAT (NetBios Auditing Tool), permettent de déterminer le matériel, les systèmes
d’exploitation, les niveaux de correction et les services exécutés sur chaque périphérique cible.
Après avoir collecté des informations sur l’ensemble des cibles, l’équipe exploite ces informations pour
configurer des outils d’analyse commerciaux, comme Internet Security Systems® Internet Scanner®, le
scanner CyberCop® de McAfee® et des freewares comme Nessus et Satan, pour rechercher les faiblesses.
L’utilisation de ces outils gratuits et payants accélère sensiblement le processus d’analyse. Au terme de
l’analyse de vulnérabilité, les faux
positifs et négatifs sont recherchés dans les résultats.
Toutes les faiblesses susceptibles de constituer une faille sont réexaminées à l’aide d’autres outils ou de scripts
personnalisés. Pour rechercher de nouvelles faiblesses non mises à jour dans les scanneurs des utilitaires
payants ou gratuits, nous effectuons d’autres tests et exécutons les tous derniers exploits. Cette dernière étape
est nécessaire car de nouveaux exploits apparaissent tous les jours et qu’il peut s’écouler des semaines, voire
des mois avant
que ces faiblesses ne soient insérées dans les bases de données de signatures de ces outils
d’analyse automatisés.
Une fois l’analyse terminée, nous recherchons d’autres points des tests de pénétration comme les faiblesses des
mots de passe et les attaques par déni de service. Pour détecter de telles attaques dans un environnement de
production sans arrêter le périphérique analysé, une entreprise peut créer un doublon du périphérique et placer
l’image miroir sur un poste similaire en vue du test.
RWISSI Networking
Page 6
CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+
Pen-Testing : Mission Tests de Pénétration
C.
Phase 3 : Établissement et diffusion des résultats
Une fois les tests de pénétration effectués, nous procédons à une analyse de toutes les informations obtenues.
Ensuite, nous répertorions et classons les faiblesses, organisons les risques en risques élevés, moyens ou
faibles, et proposons des correctifs en cas de faiblesses.
Le rapport final se décompose généralement comme suit :
•
Un rapport de synthèse récapitulant les résultats des tests de pénétration et fournissant des informations
sur les forces et faiblesses du système de sécurité en place. Les points clés des résultats de ces tests sont
également indiqués.
•
Un rapport technique plus détaillé des résultats, qui contient des informations sur les faiblesses de
chaque périphérique, la classification des risques et des suggestions de correction, notamment des
informations techniques complémentaires sur la manière de réparer chaque vulnérabilité.
•
Des informations complémentaires, comme les résultats bruts du scanneur, des enregistrements Whois,
des captures d’écran et des schémas, ainsi que les documents RFC et documents techniques
correspondants, en annexe.
Les résultats de l’analyse seront par la suite consolidés dans le rapport STAR (Security Test
Audit Report), qui sera remis à l’organisation.
V.
Pourquoi faire appel à nous?
Nous possédons le savoir-faire, l’expérience et la technologie pour identifier et détecter les faiblesses de
sécurité, et apporter des solutions performantes. Notre service d’analyse de sécurité, s’appuie sur des
méthodologies et des outils éprouvés pour détecter les faiblesses des réseaux et pour proposer les réparations
ou corrections nécessaires,
le cas échéant.
En outre, nous possédons en interne des ressources hautement qualifiées et certifiées pour mener à bien les
missions de Pen-Testing
RWISSI Networking
Page 7
CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+