Dans notre monde hyperconnecté, les cyberattaques se multiplient. Aucune entreprise n’est à l’abri, quelle que soit sa taille. Sans tomber dans la paranoïa, il est important de se protéger et de protéger les données de son entreprise. La paralysie du système d’information ou pire, la perte des données de l’entreprise, peut s’avérer catastrophique. Imaginez que vous n’ayez plus accès à vos fichiers clients, à votre logiciel RH, à votre comptabilité. C’est l’un des modes d’attaque des hackers malveillants. Votre système est infiltré et toutes vos données cryptées. Vous ne pouvez les récupérer qu’à condition de payer une rançon. Et la porte d’entrée du hacker est bien souvent un site web insuffisamment protégé. Le test d’intrusion informatique est un outil particulièrement efficace pour détecter puis corriger les vulnérabilités de sécurité de votre site web.

test d'intrusion informatique

 

Pourquoi sécuriser son site web ?

Est-ce vraiment si important de sécuriser son site web ? Après tout, il n’est souvent pas directement en lien avec les applications et les données de l’entreprise. Ce n’est qu’une vitrine, aucune information confidentielle n’est affichée. Et pourtant…

Un site web mal configuré peut présenter une faille de sécurité. Il peut s’agir de l’utilisation d’un mot de passe trop faible, d’une configuration laissée par défaut après l’installation, de l’utilisation d’un module présentant des failles connues, de mises à jour non faites… Le hacker va exploiter cette faille dans un premier temps pour obtenir des droits d’accès supérieurs. A partir de ce moment-là, il aura accès à un certain nombre d’informations sensibles : utilisateurs, mots de passe, accès à la base de données… Il peut alors essayer d’obtenir en plus de droits sur le serveur en lui-même, et à partir de là, rebondir sur votre réseau informatique. Dès lors qu’il aura un accès et des droits suffisants, il sera en mesure de causer des dommages.

Il est donc particulièrement important de sécuriser son site web, non pas forcément à cause de ce qu’il contient, mais parce qu’il peut servir de porte d’entrée au hacker pour aller plus loin dans le système d’information.

 

Le choix du test d’intrusion informatique

Un test d’intrusion informatique est réalisé par des experts en cybersécurité. Ils vont utiliser les mêmes techniques qu’un hacker pour tenter de forcer l’accès à un système informatique. L’intérêt est que le test est réalisé dans des conditions proches d’une attaque réelle et qu’il est donc très concret.

Le test d’intrusion, aussi appelé Pentest, va permettre d’identifier clairement les vulnérabilités de votre site web en termes de cybersécurité. Mais il ne s’arrête pas là. Contrairement à un audit de sécurité classique qui va se contenter d’énumérer les vulnérabilités, les experts vont produire un rapport complet contenant des actions concrètes à mettre en place pour corriger et prévenir les failles de sécurité du site web.

tes d intrusion intuity

Les différents types de tests d’intrusion

Il existe différents types de tests d’intrusion. Les différences portent essentiellement sur l’organisation du test et sur la façon de travailler des experts. Quel que soit le type de test d’intrusion retenu, un rapport complet vous est remis à son issue.

Test d’intrusion « Boîte Noire »

Le test d’intrusion « Boîte Noire » est celui qui se rapproche le plus d’une cyberattaque réelle. Les auditeurs se placent à l’extérieur de l’entreprise, dans les mêmes conditions qu’un hacker. L’équipe en charge de la gestion du site web n’est pas au courant qu’un test d’intrusion est en cours et pourront réagir si elle le détecte. Les failles de sécurité exploitables sur le site web depuis l’extérieur seront identifiées et utilisées.

Test d’intrusion « Boîte Blanche »

Le test d’intrusion « Boîte Blanche » est l’exact opposé sur test d’intrusion « Boîte Noire ». Les auditeurs vont travailler en étroite collaboration avec l’équipe de l’entreprise. Ils disposeront de tous les accès et de toutes les documentations, techniques ou non, liées au site web et à sa gestion. Proche d’un audit de sécurité classique, le test d’intrusion « Boîte Blanche » est beaucoup plus complet avec des propositions d’actions concrètes à la fin.

Test d’intrusion « Boîte Grise »

Entre les deux autres types de tests, on trouve le test d’intrusion « Boîte Grise ». Le test d’intrusion va être mené depuis l’intérieur de l’entreprise. L’auditeur disposera des mêmes droits et accès que n’importe quel salarié. Son objectif va être d’essayer d’obtenir des droits supérieurs et des accès qu’il ne devrait pas avoir sur le site web afin d’accéder à des informations confidentielles.

test d'intrusion pentester

Avec le code “GCHARTIER5”, bénéficiez de 5% de remise immédiate sur le montant HT de l’abonnement mensuel pendant toute la durée d’engagement (SAFE 5 ou SAFE 10)

Intuity et les tests d’intrusion

Intuity propose depuis 2018 des services dans tous les domaines de la cybersécurité, et notamment des tests d’intrusion informatique.

En fonction de vos souhaits et de vos besoins, ils sont en mesure de réaliser des tests d’intrusion « Boîte Noire », « Boîte Blanche » ou « Boîte Grise ». Votre site web sera audité et les vulnérabilités logicielles et de configuration pourront être identifiées.

Les recherches porteront notamment sur les éléments suivants :

  • Versions logicielles anciennes / mises à jour manquantes,
  • Configuration laissée par défaut après l’installation,
  • Mauvaise configuration,
  • Mots de passe trop simples,
  • Modules non mis à jour / présentant des failles de sécurité connues,
  • etc …

Un test d’intrusion informatique se déroule en six phases distinctes :

  1. Réunion de lancement : démarche, planning du test… Naturellement, en cas de test d’intrusion de type « Blackbox », cette réunion n’a pas lieu.
  2. Définition de la cible : test d’intrusion sur l’ensemble du site web et/ou des services qui y sont liés ou sur une partie plus restreinte. Le périmètre de l’audit et la stratégie à appliquer doivent être définis au plus tôt.
  3. Réalisation du test d’intrusion : contrôles, tests manuels et automatisés.
  4. Rédaction du rapport d’audit : synthèse des vulnérabilités identifiées.
  5. Réunion de présentation des résultats : présentation des actions concrètes à mettre en place et du rapport coût/bénéfice par rapport au risque encouru.
  6. Suivi du plan d’action : définition du planning, suivi de la mise en œuvre des préconisations.

 

Sécuriser votre site web

A partir du rapport complet fourni par la société Intuity à l’issue du test d’intrusion, vous allez devoir mettre en œuvre les préconisations en matière de cybersécurité.

Je vous propose de vous accompagner durant toute cette phase délicate de sécurisation de votre site web. En étroite collaboration avec vos équipes, nous déterminerons un planning des actions à mettre en œuvre à partir du rapport fourni. J’appliquerai ensuite les recommandations des experts Intuity afin de vous assurer une sécurité optimale de votre site web.

Grégory Chartier
Publié par Grégory Chartier

Expert Prestashop