Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Contrôle de sécurité critique CIS 18. Test de pénétration

Contrôle de sécurité critique CIS 18. Test de pénétration

Jun 23, 2022

Le Centre pour la sécurité sur Internet (CIS) fournit des Critical Security Controls (CIS Controls) pour soutenir le domaine en évolution de la cybersécurité. CIS Control 18 couvre les tests d'intrusion (ce sujet était traité par le Control 20 dans la version précédente).

Le test d'intrusion est le lancement intentionnel de cyberattaques afin d'évaluer la sécurité d'une organisation. Des experts en tests d'intrusion réalisent ces tests pour pénétrer dans la sécurité de votre système et mettre en évidence les angles morts de vos sites web, applications ou réseau. En identifiant ces vulnérabilités, le test d'intrusion aide les entreprises à rester à la pointe de la gestion de la sécurité.

Contenu connexe sélectionné :

Bien qu'elle soit une meilleure pratique pour la sécurité, les tests de pénétration sont coûteux car ils sont compliqués et nécessitent donc des testeurs de pénétration expérimentés et réputés, également appelés « hackers éthiques ». Les tests peuvent introduire des risques, y compris l'arrêt de systèmes instables et la corruption ou la suppression de données. Le rapport de sortie présente également un risque, car il décrit les étapes pour franchir les défenses de l'organisation, il doit donc être soigneusement protégé.

Les tests d'intrusion sont souvent confondus avec une autre pratique intégrale (et souvent requise), les analyses de vulnérabilités, mais ils ont des méthodes et des objectifs différents. Les tests de vulnérabilité (CIS Control 7) utilisent des scans non intrusifs pour identifier les points faibles de la sécurité d'un système dans le but de découvrir des brèches de sécurité sans les exploiter. En revanche, les tests de pénétration utilisent des méthodes intrusives pour tester à quel point une cyberattaque pourrait être dommageable pour une organisation. Ils imitent une attaque réelle pour découvrir exactement quels actifs informatiques un attaquant pourrait accéder. L'utilisation conjointe des processus de tests de vulnérabilité et de tests d'intrusion peut produire une vue inclusive des déficiences de sécurité.

18.1 Établir et maintenir un programme de tests d'intrusion

Un programme de tests d'intrusion réussi aide votre entreprise à rester une longueur d'avance sur les pirates informatiques. Les tests de pénétration révèlent les lacunes dans le système de sécurité et démontrent la facilité avec laquelle il est possible de voler des actifs informatiques. Les spécificités de chaque programme de tests d'intrusion dépendent de la nature, de la taille, de la complexité et de la maturité de l'organisation. Voici quelques lignes directrices.

  • Périmètre — Un programme de tests d'intrusion doit inclure à la fois des tests externes et internes. Entre ceux-ci, le périmètre du test peut inclure certains ou tous les éléments suivants :
    • Réseau
    • Matériel
    • Applications Web
    • API
    • Wi-Fi
    • Accès physique aux locaux
  • Type — Il existe trois types de tests d'intrusion, selon la quantité d'informations que vous fournissez pour le pré-test :
    • Boîte noire : Les testeurs procèdent sans connaissance des systèmes internes.
    • White-box : l’organisation fournit des informations complètes sur la cible.
    • Boîte grise : Ces évaluations se situent dans un entre-deux, l'organisation fournissant des informations partielles au testeur.
  • Limitations — Assurez-vous de noter les limitations qui pourraient entraver l'efficacité des tests, telles que :
    • Portée: En raison d'un manque de ressources ou de budget, une organisation peut choisir de limiter la portée des tests d'intrusion, ce qui peut entraîner des angles morts potentiels dans leur sécurité.
    • Temps: Alors que les testeurs d'intrusion structurent chaque test dans un cadre temporel défini, les adversaires n'ont pas de limites de temps et peuvent passer des semaines ou des mois sur une attaque.
    • Méthode: Certaines méthodes de test d'intrusion pourraient provoquer un crash du système cible, donc ces techniques sont exclues lors d'un test de pénétration professionnel.
    • Compétences : Un testeur de pénétration peut n'avoir étudié qu'un type spécifique de technologie, ce qui pourrait limiter leur perspective.
    • Expérience: Les testeurs d'intrusion peuvent se limiter à penser dans le cadre établi, en suivant simplement la structure et les protocoles qui leur sont donnés. Les véritables adversaires peuvent être plus créatifs dans leurs approches.
  • Fréquence — Les CIS Controls recommandent aux organisations de réaliser des tests d'intrusion externes et internes régulièrement — au moins une fois par an — et après tout changement significatif dans l'infrastructure ou le logiciel.
  • Point de contact — Seulement quelques personnes sélectionnées devraient être informées de la réalisation d'un test de pénétration. Pour chaque test de routine, désignez un point de contact spécifique au sein de l'organisation pour communiquer avec l'équipe de test de pénétration. Si des problèmes surviennent pendant la réalisation du test, cette personne pourra gérer les
  • Remédiation et retest — Après la fin du test, l'organisation devrait déterminer les changements nécessaires aux politiques et aux mesures techniques pour améliorer la sécurité. Les tests d'intrusion devraient être répétés une fois ces actions réalisées.

Étapes d'un programme de test d'intrusion

Le processus de test d'intrusion comporte sept phases. Les six premières prendront environ 10 jours, selon l'étendue. L'étape finale, la remédiation, prend souvent plus de temps.

  1. Pré-engagement — Le processus commence par la définition des objectifs. L'organisation et les testeurs décident quels actifs de l'entreprise sont dans le champ d'application du test et quels aspects de la sécurité seront testés.
  2. Reconnaissance — Le testeur recueille des informations sur les actifs dans le cadre de l'opération de test de pénétration. Les testeurs peuvent soit s'engager activement directement avec le réseau pour recueillir des informations, soit suivre passivement le trafic réseau et tracer les empreintes OS et internet.
  3. Découverte — La phase de découverte comprend deux parties. D'abord, le testeur peut rassembler plus d'informations, telles que les noms d'hôte, les adresses IP, et les détails des applications et services. Ensuite, le testeur effectuera un scan de vulnérabilité pour rechercher des failles de sécurité dans le réseau, les applications, les dispositifs et les services. En plus des vulnérabilités comme les systèmes non patchés, les testeurs pourraient découvrir des erreurs dans la sécurité des politiques, des faiblesses dans les protocoles de sécurité, et des problèmes de conformité par rapport à des normes telles que PCI DSS, GDPR ou HIPAA. Bien que l'utilisation de logiciels de scan de vulnérabilité soit beaucoup plus efficace, engager une équipe pour effectuer un scan manuel offre une compréhension plus complète des lacunes de sécurité.
  4. Analyse de vulnérabilité — Ensuite, le testeur priorise les vulnérabilités découvertes. Bien que ce classement puisse être quelque peu subjectif, les experts en tests d'intrusion utilisent le Common Vulnerability Scoring System (CVSS), un système de classement quantitatif accepté mondialement.
  5. Exploitation — Les testeurs tentent d'utiliser les vulnérabilités pour accéder à l'environnement informatique. Ils utilisent les mêmes techniques qu'un pirate informatique, y compris les courriels de phishing, l'ingénierie sociale et la découverte des identifiants des utilisateurs. Une fois à l'intérieur, les testeurs évalueront à quels actifs ils ont accès. Ils noteront l'étendue de l'accès, la facilité de maintenir l'accès, la durée pendant laquelle la brèche reste non détectée et les risques potentiels.
  6. Rapports et recommandations — Les testeurs fournissent un rapport détaillé sur les vulnérabilités identifiées et les risques associés, ainsi que des recommandations pour la réparation.
  7. Remédiation et nouvelle analyse — Les équipes informatiques de l'organisation s'efforcent de combler les failles et de corriger les vulnérabilités. Les testeurs d'intrusion effectuent ensuite une nouvelle analyse du réseau pour évaluer l'efficacité des efforts de remédiation.

18.2 Réalisez des tests de pénétration externes périodiques

Les tests de pénétration externes ciblent l'accès périphérique aux systèmes de votre organisation. Plus précisément, un test de pénétration externe utilise le réseau public pour s'introduire dans le système. L'objectif est de tester jusqu'où un attaquant extérieur pourrait aller. En simulant le comportement d'un pirate, les testeurs fourniront une perspective objective sur la résilience et les vulnérabilités de votre entreprise. Le test de pénétration externe suit les sept phases détaillées ci-dessus.

Vous et le testeur vous mettez d'accord sur la portée du test de pénétration à travers une discussion juridique. Puisque le test de pénétration externe cible les serveurs visibles de l'extérieur, il peut inclure des sites web, des applications, des utilisateurs, des API et des réseaux entiers. Alors que certains tests peuvent cibler un aspect de vos actifs, la plupart profiteront du test pour obtenir une vue plus holistique de vos faiblesses cybernétiques. En conformité avec le CIS Control 18, réalisez des tests de pénétration externes au moins annuellement.

18.3. Remédier aux résultats du test de pénétration

La dernière étape du test de pénétration consiste à améliorer votre position défensive. Priorisez les recommandations issues du test et choisissez celles à mettre en œuvre afin de réduire les vulnérabilités et de renforcer la posture de sécurité de votre entreprise. Les organisations peuvent choisir de ne pas remédier à certains points faibles, en particulier si leur score sur le CVSS est faible et qu'ils sont difficiles ou coûteux à résoudre.

18.4. Validez les mesures de sécurité

Après que les professionnels de l'informatique internes ont travaillé aux côtés de l'équipe de test d'intrusion pour remédier aux problèmes, il est crucial de retester les systèmes pour vérifier que des changements adéquats ont été effectués. Notez que cette étape de validation pourrait nécessiter de modifier les techniques de balayage pour mieux identifier les faiblesses du système.

18.5. Réalisez des tests de pénétration internes périodiques

Le besoin de tests de pénétration internes découle du potentiel de dommages que peuvent causer des employés malveillants ou négligents, des partenaires commerciaux et des clients. Cela fournit un complément critique aux tests de pénétration externes. Les testeurs de pénétration internes ciblent les systèmes de l'entreprise en utilisant un accès interne au réseau derrière le pare-feu. Les tests de pénétration internes vous aident à évaluer les dommages potentiels et les risques pour les actifs si un utilisateur interne exploite le système.

Comme les tests de pénétration externes, les tests internes suivent les sept étapes décrites précédemment et peuvent être en boîte noire, blanche ou grise. Les testeurs utiliseront leur accès interne pour tenter de contourner les contrôles d'accès. L'équipe peut tester les systèmes informatiques physiques, les appareils mobiles et les caméras de sécurité, ainsi que le comportement des employés et les procédures. De plus, les testeurs peuvent essayer d'exploiter un périmètre similaire à un test de pénétration externe, incluant les réseaux sans fil, les pare-feu et les systèmes de détection et de prévention des intrusions, afin de révéler des vulnérabilités plus importantes.

Résumé

Les tests d'intrusion sont une pratique complexe et spécialisée. Réaliser régulièrement des tests d'intrusion est une partie critique des meilleures pratiques de sécurité des données. Les tests d'intrusion externes et internes combinés peuvent révéler des faiblesses essentielles dans les systèmes informatiques, démontrer de manière frappante à quel point les données et autres actifs sont vulnérables aux violations, et guider un effort de remédiation robuste pour renforcer la cybersécurité.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Attributs Active Directory : Dernière connexion

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité