Fait partie de notre série Security & Cybersecurity
Lire le guide completGuide des tests d'intrusion pour les entreprises : portée, méthodes et mesures correctives
Un test d'intrusion (pentest) simule des attaques réelles contre vos systèmes pour détecter les vulnérabilités avant les attaquants. Contrairement à l'analyse automatisée des vulnérabilités, les tests d'intrusion impliquent des professionnels de la sécurité qualifiés qui pensent comme des attaquants, enchaînent les vulnérabilités et testent vos défenses d'une manière que les outils automatisés ne peuvent pas faire.
Les recherches de Coalfire montrent que 73 % des tests d'intrusion découvrent au moins une vulnérabilité critique et 42 % trouvent un moyen de compromettre complètement le système. Pourtant, de nombreuses organisations effectuent des tests d'intrusion de manière médiocre, en les limitant trop étroitement, en sélectionnant le mauvais fournisseur ou en ne donnant pas suite aux résultats. Ce guide garantit que vous tirez le meilleur parti de votre investissement dans les tests d'intrusion.
Types de tests d'intrusion
| Tapez | Portée | Durée typique | Fourchette de coûts |
|---|---|---|---|
| Réseau externe | Systèmes et services accessibles sur Internet | 3-5 jours | 5 000 $ à 25 000 $ |
| Réseau interne | Systèmes accessibles depuis l'intérieur du réseau | 3-7 jours | 8 000 $ à 30 000 $ |
| Application Web | Applications web spécifiques | 3 à 10 jours par application | 5 000 $ à 20 000 $ par application |
| Application mobile | Applications iOS et/ou Android | 3-7 jours par plateforme | 5 000 $ à 15 000 $ par plateforme |
| Ingénierie sociale | Phishing, vishing, tests physiques | 5-10 jours | 5 000 $ à 20 000 $ |
| Équipe rouge | Simulation complète de l'adversaire (toutes les méthodes) | 2-4 semaines | 30 000 $ à 100 000 $+ |
| Sécurité du cloud | Configuration et services AWS/Azure/GCP | 3-7 jours | 8 000 $ à 25 000 $ |
| Tests API | Points de terminaison API et authentification | 3-5 jours | 5 000 $ à 15 000 $ |
Niveaux de connaissances
| Niveau | Descriptif | Simule |
|---|---|---|
| Boîte noire | Le testeur n'a aucune information sur la cible | Attaquant externe sans connaissance interne |
| Boîte grise | Le testeur dispose de quelques informations (informations d'identification, documents d'architecture) | Attaquant ayant obtenu l'accès initial |
| Boîte blanche | Le testeur a un accès complet au code source et à l'architecture | Menace interne, évaluation complète |
Cadrage de votre test d'intrusion
Étape 1 : Définir les objectifs
| Objectif | Type d'essai | Priorité |
|---|---|---|
| Se conformer à l'exigence PCI DSS 11.3 | Réseau externe + interne | Réglementaire |
| Valider la sécurité de la nouvelle application avant le lancement | Application Web | Élevé |
| Testez la sensibilité des employés au phishing | Ingénierie sociale | Moyen |
| Simulation complète de l'adversaire avant la réunion du conseil d'administration | Équipe rouge | Stratégique |
| Valider la posture de sécurité du cloud | Évaluation de la sécurité du cloud | Élevé |
Étape 2 : Définir la portée
Inclure :
- Toutes les adresses IP et domaines accessibles sur Internet
- Systèmes internes critiques (ERP, RH, financier)
- Applications Web (URL de production) -Points de terminaison de l'API
- Environnements et services cloud
- Mécanismes d'authentification
Exclure (avec justification) :
- Services hébergés tiers dont vous ne possédez pas
- Systèmes en développement actif (test staging à la place)
- Systèmes de production pendant les heures de pointe (horaires hors heures)
- Tests destructifs (DoS, destruction de données) sauf autorisation spécifique
Étape 3 : Définir les règles d'engagement
Documentez-les avant le début des tests :
| Règle | Spécification |
|---|---|
| Fenêtre de test | En semaine de 18 h 00 à 6 h 00, le week-end à tout moment |
| Contact d'urgence | [Nom, téléphone] si les tests provoquent des perturbations |
| Systèmes interdits | [Liste des systèmes à ne jamais tester] |
| Traitement des données | Le testeur peut accéder aux données réelles, mais pas les exfiltrer |
| Portée de l'ingénierie sociale | Phishing par e-mail uniquement, aucun test d'accès physique |
| Profondeur d'exploitation | Prouvez l'accès mais ne modifiez pas les données de production |
| Fréquence de communication | Mise à jour quotidienne de l'état, notification immédiate des découvertes critiques |
Sélection d'un fournisseur de tests d'intrusion
Critères d'évaluation
| Critère | Poids | Questions à poser |
|---|---|---|
| Certifications | 20% | OSCP, CREST, GPEN, CEH parmi les membres de l'équipe ? |
| Expérience | 25% | Des années d'activité ? Expérience dans l'industrie? Des engagements similaires ? |
| Méthodologie | 20% | Quelle méthodologie (OWASP, PTES, NIST) ? Comment testent-ils ? |
| Qualité des rapports | 15% | Pouvez-vous voir un exemple de rapport ? Des conseils de remédiation sont-ils inclus ? |
| Références | 10% | Pouvez-vous parler avec 3 anciens clients ? |
| Assurance | 10% | Responsabilité professionnelle et cyberassurance actuelles ? |
Drapeaux rouges
- Le fournisseur propose uniquement une analyse automatisée (pas de véritables tests d'intrusion)
- Aucun testeur nommé avec des certifications reconnues
- Prix extrêmement bas (<3 000 $ pour un engagement de plusieurs jours)
- Pas de discussion sur les règles d'engagement
- Le modèle de rapport ne contient aucune instruction de correction
- Le fournisseur ne peut pas expliquer sa méthodologie
Comprendre votre rapport de test d'intrusion
Indices de gravité des vulnérabilités
| Gravité | Score CVSS | Descriptif | Chronologie des mesures correctives |
|---|---|---|---|
| Critique | 9.0-10.0 | Compromission immédiate du système possible | Dans les 48 heures |
| Élevé | 7.0-8.9 | Impact significatif sur la sécurité | Dans les 2 semaines |
| Moyen | 4.0-6.9 | Impact modéré, peut nécessiter des conditions spécifiques | Dans les 30 jours |
| Faible | 0,1-3,9 | Impact mineur, exploitabilité limitée | Dans les 90 jours |
| Informatif | 0 | Recommandations de bonnes pratiques | Prochaine maintenance programmée |
Ce que contient un bon rapport
- Résumé --- Langage axé sur les risques commerciaux, pas de jargon technique
- Méthodologie --- Qu'est-ce qui a été testé et comment
- Résultats avec gravité, preuves et impact commercial - Conseils de remédiation pour chaque constatation (spécifiques, exploitables)
- Résultats positifs --- Ce que vous faites bien
- Recommandations stratégiques pour l'amélioration de la sécurité
- Annexes avec données brutes et preuves techniques détaillées
Processus de remédiation
Étape 1 : Triage (jours 1-2)
- Examiner toutes les conclusions avec l'équipe informatique et de sécurité
- Valider les résultats (confirmer qu'ils sont réels et non de faux positifs)
- Attribuer des propriétaires pour chaque constatation
- Prioriser en fonction de la gravité et du risque commercial
Étape 2 : Planifier (jours 3 à 7)
| Trouver | Propriétaire | Approche corrective | Chronologie | Dépendances |
|---|---|---|---|---|
| Injection SQL lors de la connexion | Responsable du développement | Validation des entrées + requêtes paramétrées | 48 heures | Aucun |
| Mot de passe administrateur par défaut | Administrateur informatique | Rotation des mots de passe + application des politiques | 24 heures | Aucun |
| TLS manquant sur l'API interne | Équipe Plateforme | Déploiement de certificat | 2 semaines | Achat de certificats |
| Système d'exploitation de serveur obsolète | Opérations informatiques | Planification des correctifs | 30 jours | Changer de fenêtre |
Étape 3 : Corriger (varie)
- Corrigez immédiatement les résultats critiques et élevés
- Regrouper les résultats du support dans la prochaine fenêtre de maintenance
- Programmer des résultats faibles pour le prochain trimestre
Étape 4 : Vérification (post-remédiation)
- Demander un nouveau test des résultats critiques et élevés (la plupart des fournisseurs incluent des nouveaux tests limités)
- Documenter les preuves de remédiation
- Mettre à jour le registre des risques
Calendrier des tests d'intrusion
| Évaluation | Fréquence | Déclencheur |
|---|---|---|
| Réseau externe | Annuellement (minimum) | Également après des changements majeurs dans l'infrastructure |
| Application Web | Annuellement + avant les versions majeures | Lancement d'une nouvelle application, mise à jour importante |
| Réseau interne | Annuellement | Aussi après les changements de réseau de bureau |
| Sécurité du cloud | Annuellement | Également après des changements majeurs dans l'architecture cloud |
| Ingénierie sociale | Semestriellement | Des simulations de phishing en cours complètent cela |
| Équipe rouge | Tous les 2 ans | Assurance au niveau du conseil d'administration, après d'importants investissements en matière de sécurité |
Ressources connexes
- Modèle de plan de réponse aux incidents --- Que faire lorsque des vulnérabilités sont exploitées
- Guide de mise en œuvre Zero Trust --- Défenses architecturales -Bonnes pratiques en matière de sécurité du cloud --- Sécurité spécifique au cloud
- Sécurité et authentification des API --- Sécurisation des API ciblées par les pentests
Les tests d'intrusion sont la vérification de la réalité de votre programme de sécurité. Cela révèle l’écart entre ce que vous pensez être votre niveau de sécurité et ce qu’un attaquant trouverait. Contactez ECOSIRE pour la coordination de l'évaluation de la sécurité et des tests d'intrusion.
Rédigé par
ECOSIRE Research and Development Team
Création de produits numériques de niveau entreprise chez ECOSIRE. Partage d'analyses sur les intégrations Odoo, l'automatisation e-commerce et les solutions d'entreprise propulsées par l'IA.
Articles connexes
Meilleures pratiques de sécurité des agents IA : protection des systèmes autonomes
Guide complet sur la sécurisation des agents IA couvrant la défense contre les injections rapides, les limites d'autorisation, la protection des données, la journalisation d'audit et la sécurité opérationnelle.
Détection de fraude par IA pour le commerce électronique : protégez vos revenus sans bloquer les bons clients
Déployez une détection de fraude par IA qui détecte plus de 95 % des transactions frauduleuses tout en réduisant les faux positifs de 50 à 70 %. Couvre les modèles, les règles et la mise en œuvre.
Meilleures pratiques de sécurité cloud pour les PME : protégez votre cloud sans équipe de sécurité
Sécurisez votre infrastructure cloud avec les meilleures pratiques pratiques en matière d'IAM, de protection des données, de surveillance et de conformité que les PME peuvent mettre en œuvre sans équipe de sécurité dédiée.
Plus de Security & Cybersecurity
Meilleures pratiques de sécurité des agents IA : protection des systèmes autonomes
Guide complet sur la sécurisation des agents IA couvrant la défense contre les injections rapides, les limites d'autorisation, la protection des données, la journalisation d'audit et la sécurité opérationnelle.
Meilleures pratiques de sécurité cloud pour les PME : protégez votre cloud sans équipe de sécurité
Sécurisez votre infrastructure cloud avec les meilleures pratiques pratiques en matière d'IAM, de protection des données, de surveillance et de conformité que les PME peuvent mettre en œuvre sans équipe de sécurité dédiée.
Exigences réglementaires en matière de cybersécurité par région : une carte de conformité pour les entreprises mondiales
Parcourez les réglementations en matière de cybersécurité aux États-Unis, dans l’UE, au Royaume-Uni, dans la région APAC et au Moyen-Orient. Couvre les règles NIS2, DORA, SEC, les exigences en matière d'infrastructure critique et les délais de conformité.
Gestion de la sécurité des points finaux : protégez chaque appareil de votre organisation
Mettez en œuvre la gestion de la sécurité des points finaux avec les meilleures pratiques en matière de protection des appareils, de déploiement EDR, de gestion des correctifs et de politiques BYOD pour les effectifs modernes.
Modèle de plan de réponse aux incidents : préparer, détecter, répondre, récupérer
Créez un plan de réponse aux incidents avec notre modèle complet couvrant la préparation, la détection, le confinement, l'éradication, la récupération et l'examen post-incident.
Conception d'un programme de formation de sensibilisation à la sécurité : réduire les risques humains de 70 %
Concevez un programme de formation de sensibilisation à la sécurité qui réduit les taux de clics de phishing de 70 % grâce à un contenu attrayant, des simulations et des résultats mesurables.