INTRODUCTION À LA SÉCURITÉ INFORMATIQUE (Partie 5)
TEST D’INTRUSION
Les tests d’intrusion (en anglais penetration tests, abrégés en pen tests) consiste à éprouver les moyens de protection d’un système d’information en essayant de s’introduire dans le système en situation réelle.
On distingue généralement deux méthodes distinctes :
La méthode dite « boîte noire » (en anglais « black box ») consistant à essayer d’infiltrer le réseau sans aucune connaissance du système, afin de réaliser un test en situation réelle ;
La méthode dite « boîte blanche » (en anglais « white box ») consistant à tenter de s’introduire dans le système en ayant connaissance de l’ensemble du système, afin d’éprouver au maximum la sécurité du réseau.
Une telle démarche doit nécessairement être réalisé avec l’accord (par écrit de préférence) du plus haut niveau de la hiérarchie de l’entreprise, dans la mesure où elle peut aboutir à des dégâts éventuels et étant donné que les méthodes mises en oeuvre sont interdites par la loi en l’absence de l’autorisation du propriétaire du système.
Un test d’intrusion, lorsqu’il met en évidence une faille, est un bon moyen de sensibiliser les acteurs d’un projet. A contrario, il ne permet pas de garantir la sécurité du système, dans la mesure où des vulnérabilités peuvent avoir échappé aux testeurs. Les audits de sécurité permettent d’obtenir un bien meilleur niveau de confiance dans la sécurité d’un système étant donné qu’ils prennent en compte des aspects organisationnels et humains et que la sécurité est analysée de l’intérieur.
Plusieurs outils existent actuellement afin d’effectuer ces tests. On retiendra particulièrement le projet Metasploit développé par HD Moore, disponible à cette adresse: https://www.metasploit.com/ .
PHASE DE DÉTECTION DES INCIDENTS OU FAILLES DE SÉCURITÉ
Afin d’être complètement fiable, un système d’information sécurisé doit disposer de mesures permettant de détecter les incidents.
Il existe ainsi des systèmes de détection d’intrusion (notés IDS pour Intrusion Detection Systems) chargés de surveiller le réseau et capables de déclencher une alerte lorsqu’une requête est suspecte ou non conforme à la politique de sécurité.
La disposition de ces sondes et leur paramétrage doivent être soigneusement étudiés car ce type de dispositif est susceptible de génèrer de nombreuses fausses alertes.