Méthodologies et normes de tests d'intrusion – IBM Blog

L'espace en ligne continue de croître rapidement, ouvrant davantage de possibilités de cyberattaques au sein d'un système informatique, d'un réseau ou d'une application Web. Pour atténuer et se préparer à ces risques, les tests d'intrusion sont une étape nécessaire pour détecter les failles de sécurité qu'un attaquant pourrait utiliser.

Qu'est-ce qu'un test d'intrusion ?

A test de pénétration, ou « pen test », est un test de sécurité exécuté pour simuler une cyberattaque en action. UN cyberattaque peut inclure une tentative de phishing ou une violation d’un système de sécurité réseau. Il existe différents types de tests d'intrusion disponibles pour une organisation en fonction des contrôles de sécurité nécessaires. Le test peut être exécuté manuellement ou avec des outils automatisés dans le cadre d’un plan d’action spécifique ou d’une méthodologie de test d’intrusion.

Pourquoi les tests d’intrusion et qui est impliqué ?

Les termes "piratage éthique» et « tests d'intrusion » sont parfois utilisés de manière interchangeable, mais il y a une différence. Le piratage éthique est un domaine plus large cybersécurité domaine qui inclut toute utilisation de compétences en piratage informatique pour améliorer la sécurité du réseau. Les tests d’intrusion ne sont qu’une des méthodes utilisées par les pirates informatiques éthiques. Les pirates éthiques peuvent également fournir une analyse des logiciels malveillants, une évaluation des risques et d'autres outils et techniques de piratage pour découvrir et corriger les faiblesses de sécurité plutôt que de causer des dommages.

IBM Coût d'un rapport de violation de données 2023 a révélé que le coût moyen mondial d'une violation de données en 2023 était de 4.45 millions de dollars, soit une augmentation de 15 % sur 3 ans. Une façon d’atténuer ces violations consiste à effectuer des tests d’intrusion précis et ciblés.

Les entreprises embauchent des pen tester pour lancer des attaques simulées contre leurs applications, réseaux et autres actifs. En organisant de fausses attaques, les testeurs d'intrusion aident équipes de sécurité découvrez les vulnérabilités de sécurité critiques et améliorez la posture de sécurité globale. Ces attaques sont souvent menées par des équipes rouges ou des équipes de sécurité offensives. Le équipe rouge simule les tactiques, techniques et procédures (TTP) d'un véritable attaquant contre le propre système de l'organisation afin d'évaluer les risques de sécurité.

Il existe plusieurs méthodologies de tests d’intrusion à prendre en compte lorsque vous vous lancez dans le processus de test d’intrusion. Le choix de l'organisation dépendra de la catégorie de l'organisation cible, de l'objectif du pen test et de la portée du test de sécurité. Il n’existe pas d’approche universelle. Cela nécessite qu'une organisation comprenne ses problèmes de sécurité et sa politique de sécurité pour qu'il y ait une analyse de vulnérabilité équitable avant le processus de test d'intrusion.

Regardez des démos de tests d'intrusion de X-Force

5 principales méthodologies de tests d'intrusion

L’une des premières étapes du processus de test d’intrusion consiste à décider de la méthodologie à suivre.

Ci-dessous, nous examinerons cinq des cadres de tests d'intrusion et des méthodologies de tests d'intrusion les plus populaires pour aider à guider les parties prenantes et les organisations vers la meilleure méthode pour leurs besoins spécifiques et à garantir qu'elle couvre tous les domaines requis.

1. Manuel de méthodologie des tests de sécurité Open Source

Le manuel de méthodologie de test de sécurité open source (OSSTMM) est l'une des normes de tests d'intrusion les plus populaires. Cette méthodologie est évaluée par des pairs pour les tests de sécurité et a été créée par l'Institut pour la sécurité et les méthodologies ouvertes (ISECOM).

La méthode repose sur une approche scientifique du pen testing avec des guides accessibles et adaptables pour les testeurs. L'OSSTMM inclut des fonctionnalités clés, telles qu'une orientation opérationnelle, des tests de canaux, des mesures et une analyse de confiance dans sa méthodologie.

OSSTMM fournit un cadre pour les tests de pénétration du réseau et l'évaluation de la vulnérabilité pour les professionnels des tests d'intrusion. Il s'agit d'un cadre permettant aux fournisseurs de trouver et de résoudre les vulnérabilités, telles que les données sensibles et les problèmes d'authentification.

2. Ouvrez le projet de sécurité des applications Web

OWASP, abréviation de Open Web Application Security Project, est une organisation open source dédiée à la sécurité des applications Web.

L'objectif de l'organisation à but non lucratif est de rendre tout son matériel gratuit et facilement accessible à toute personne souhaitant améliorer la sécurité de ses propres applications Web. L'OWASP possède son propre Top 10 (le lien réside en dehors de ibm.com), qui est un rapport bien tenu décrivant les plus grands problèmes de sécurité et les risques pour les applications Web, tels que les scripts intersites, l'authentification brisée et le passage derrière un pare-feu. L'OWASP utilise la liste des 10 meilleurs comme base pour son guide de test OWASP. 

Le guide est divisé en trois parties : cadre de test OWASP pour le développement d'applications Web, méthodologie de test d'applications Web et reporting. La méthodologie d'application Web peut être utilisée séparément ou dans le cadre du cadre de test Web pour les tests d'intrusion d'applications Web, les tests d'intrusion d'applications mobiles, les tests d'intrusion d'API et les tests d'intrusion IoT.

3. Norme d’exécution des tests d’intrusion

PTES, ou Penetration Testing Execution Standard, est une méthode complète de test d’intrusion.

PTES a été conçu par une équipe de professionnels de la sécurité de l'information et est composé de sept sections principales couvrant tous les aspects des tests d'intrusion. L’objectif du PTES est de disposer de directives techniques décrivant ce que les organisations doivent attendre d’un test d’intrusion et de les guider tout au long du processus, en commençant dès la phase de pré-engagement.

Le PTES vise à servir de référence pour les tests d’intrusion et à fournir une méthodologie standardisée pour les professionnels et les organisations de sécurité. Le guide fournit une gamme de ressources, telles que les meilleures pratiques à chaque étape du processus de test d'intrusion, du début à la fin. Certaines caractéristiques clés de PTES sont l’exploitation et la post-exploitation. L'exploitation fait référence au processus d'accès à un système grâce à des techniques de pénétration telles que ingénierie sociale et le piratage de mots de passe. La post-exploitation se produit lorsque les données sont extraites d’un système compromis et que l’accès est maintenu.

4. Cadre d'évaluation de la sécurité des systèmes d'information

Le cadre d'évaluation de la sécurité des systèmes d'information (ISSAF) est un cadre de tests d'intrusion pris en charge par l'Information Systems Security Group (OISSG).

Cette méthodologie n'est plus maintenue et n'est probablement pas la meilleure source d'informations les plus à jour. Cependant, l’un de ses principaux atouts est qu’il relie les étapes individuelles du test d’intrusion à des outils de test d’intrusion spécifiques. Ce type de format peut être une bonne base pour créer une méthodologie individualisée.

5. Institut national des normes et de la technologie  

NIST, abréviation de National Institute of Standards and Technology, est un cadre de cybersécurité qui fournit un ensemble de normes de test d'intrusion que le gouvernement fédéral et les organisations extérieures doivent suivre. Le NIST est une agence au sein du Département américain du Commerce et doit être considéré comme la norme minimale à suivre.

Les tests d'intrusion du NIST s'alignent sur les directives envoyées par le NIST. Pour se conformer à ces directives, les organisations doivent effectuer des tests d'intrusion en suivant l'ensemble de directives prédéterminées.

Étapes du test du stylet

Définir une portée

Avant le début d’un test d’intrusion, l’équipe de test et l’entreprise définissent la portée du test. La portée décrit quels systèmes seront testés, quand les tests auront lieu et les méthodes que les testeurs de stylet peuvent utiliser. La portée détermine également la quantité d’informations dont les testeurs de stylet disposeront à l’avance.

Commencer le test

La prochaine étape consisterait à tester le plan de cadrage et à évaluer les vulnérabilités et les fonctionnalités. Au cours de cette étape, une analyse du réseau et des vulnérabilités peut être effectuée pour mieux comprendre l'infrastructure de l'organisation. Des tests internes et des tests externes peuvent être effectués en fonction des besoins de l'organisation. Il existe une variété de tests que les testeurs de stylet peuvent effectuer, notamment un test en boîte noire, un test en boîte blanche et un test en boîte grise. Chacun fournit différents degrés d’informations sur le système cible.

Une fois qu'une vue d'ensemble du réseau est établie, les testeurs peuvent commencer à analyser le système et les applications dans le cadre donné. Au cours de cette étape, les pen testers collectent autant d’informations que possible pour comprendre toute mauvaise configuration.

Rapport sur les conclusions

La dernière étape consiste à rendre compte et à débriefer. Dans cette étape, il est important d’élaborer un rapport de test d’intrusion avec tous les résultats du pen test décrivant les vulnérabilités identifiées. Le rapport doit inclure un plan d'atténuation et les risques potentiels si des mesures correctives ne sont pas prises.

Tests d'intrusion et IBM

Si vous essayez de tout tester, vous perdrez votre temps, votre budget et vos ressources. En utilisant une plateforme de communication et de collaboration avec des données historiques, vous pouvez centraliser, gérer et hiérarchiser les réseaux, applications, appareils et autres actifs à haut risque pour optimiser votre programme de tests de sécurité. Le portail X-Force® Red permet à toutes les personnes impliquées dans la remédiation de consulter les résultats des tests immédiatement après la découverte des vulnérabilités et de planifier des tests de sécurité à leur convenance.

Explorez les services de tests d'intrusion réseau de X-Force