Securi-toile

Vous êtez sur : Sécurité Informatique

Test d'intrusion

Share

C'est quoi ?

Définition : le test d'intrusion (en anglais penetration tests, abrégés en pen tests) consiste à tester les protections d'un système d'information en essayant de s'introduire dans le système en situation réelle.

Il existe deux méthodes :

La méthode dite «boîte noire» (en anglais «black box») consistant à essayer de s'introduire sur le réseau sans aucune connaissance du système, afin de réaliser un test en situation réelle.
La méthode dite «boîte blanche» (en anglais «white box») consistant à tenter de s'introduire dans le système en ayant connaissance de l'ensemble du système, afin d'éprouver au maximum la sécurité du réseau.

A quoi ça sert ?

Un test d'intrusion permet de mettre en évidence une faille soit pour sensibiliser les acteurs d'un projet soit pour ne pas garantir la sécurité du système. Des vulnérabilités peuvent avoir échappé aux testeurs internes, il est donc conseillé de faire des audits de sécurité afin d'obtenir une confiance dans la sécurité d'un système, car ils prennent en compte les aspects organisationnels et humains et que la sécurité.

Le test d'intrusion est utile dans de nombreux cas de figure :

Pour se rassurer.
Pour valider une architecture dite sécurisée.
Pour tester son prestataire de sécurité actuel.
Mettre en conditions réelles une équipe de réponse aux attaques.
Pour s'assurer du déclenchement approprié des alarmes.
Pour s'assurer du suivi des procédures de sécurité.

Comment cela se déroule un test d'intrusion ?

Les conditions du test d'intrusion seront fixés avec votre SI.

Quelles sont les exigences à avoir ?

Pour satisfaire à cette prestation, il y a des exigences, à savoir :

Un contrat ou un bon de commande explicite doit être rédigé.
Il doit comporter la liste exhaustive des systèmes à tester.
Le demandeur doit fournir l'assurance écrite de la propriété des systèmes.
Le prestataire se doit d'avoir une déontologie irréprochable.
Le nom des personnes référente chez le prestataire durant la mision.

Est ce fiable ?

Les tests sont fiables dans la majorité des cas, cependant les tests d'intrusions ne font pas la sécurité, il est nécessaire d'avoir des exploitants compétents, disponibles et une gestion rigoureuse dans le temps. La mise en oeuvre d'une solution de sécurité viable doit également comprendre la mise en place d'une politique de sécurité adéquate, un audit interne, une véritable sécurisation des systèmes et réseaux au sens technique du terme, ainsi qu'un personnel formé et adapté.

A propos

Sécurite informatique Eric Seguinard

Securi-Toile

eric.seguinard @ securi-toile.com

9 Bd de la République

Istres 13800 France

06 10 81 62 02

Du lundi au vendredi de 9h à 19h.

Eric Seguinard consultant expert en sécurité web, des solutions et conseils pour votre sécurité informatique, audits de sécurité boîte blanche et audits de sécurité boîte noire, tests d'intrusion.