Les opérateurs économiques doivent de plus en plus procéder à des tests d’intrusion pour évaluer la qualité de leur système de sécurité informatique. C’est un moyen efficace pour combattre le hacking.

Un test d’intrusion, c’est quoi ?

C’est un exercice qui consiste à rechercher les failles d’un système de sécurité ou d’un réseau informatique afin d’y apporter des corrections. On mesure la fiabilité des installations pour se donner des chances de résister aux assauts des hackers.

La finalité est de proposer un plan d’action pour renforcer le dispositif sécuritaire de l’entreprise pour minimiser les risques de cyberattaques.

Le procédé

Le test d’intrusion s’opère au moyen de simulations. Le testeur essaie de contourner ou neutraliser le système de sécurité informatique pour accéder aux données confidentielles. S’il réussit à le faire, c’est qu’il y a des vulnérabilités qui peuvent profiter aux cybercriminels.

Les évaluations peuvent porter sur le site web, le réseau, les applications et les configurations.

Les conditions du succès

Avant de commencer, le client et le testeur doivent s’accorder sur certains points. On doit savoir les délais impartis aux différentes simulations, le planning, le périmètre, les méthodes autorisées et les limites.

Les cocontractants doivent être en permanence en contact afin d’opérer en temps réel d’éventuels réajustements.

Quotidiennement, le prestataire doit faire le point au client pour qu’il sache l’état d’avancement des évaluations.

Après avoir détecté des vulnérabilités, le test d’intrusion doit se terminer par des propositions permettant de renforcer le dispositif sécuritaire de l’entreprise.

Les différents tests

Le test d’intrusion comprend 3 modalités :

  1. le testeur a des informations sur l’entreprise
  2. il a très peu d’informations
  3. il n’a aucune information

Même si le client ne fournit pas d’informations au prestataire, ce dernier est obligé de trouver des éléments pour détecter les faiblesses du système de sécurité. Pour y arriver, il peut se servir du web, du service whois, service DSN, ingénierie sociale, protocole de communication ICMP ou d’un snifer.