Norme d’exécution des tests d’intrusion (PTES)
Actualités & l'oeil de nos experts
Notre équipe effectue une veille permanente sur les nouvelles technologies et sur les failles de sécurités découvertes au fil des mois. A travers ce blog, nous vous apportons conseils et discipline pour vos systèmes informatiques.
Norme d’exécution des tests d’intrusion (PTES)
QU’EST-CE QUE LA NORME D’EXÉCUTION DES TESTS D’INTRUSION (PTES) ?
PTES (penetration testing execution standard) fait référence à la norme d’exécution des tests d’intrusion et fournit la meilleure approche de test lors de la réalisation de tests d’intrusion. Les testeurs ont un aperçu des différentes étapes de la procédure de pentesting, y compris les phases de reconnaissance, de communication et de modélisation des menaces.
La norme prévoit sept phases de la procédure de test d’intrusion ainsi que des recommandations appropriées afin que l’entreprise puisse prendre les bonnes décisions pour sa sécurité.
Les 7 étapes :
1. Pré-engagement
La première section du PTES régit les procédures standard pour les interactions préalables à l’engagement. Dans la plupart des cas, ces interactions s’étendent du premier contact entre le client et l’organisme de test d’intrusion jusqu’à la négociation finale avant le début du test d’intrusion. Le PTES précise des orientations particulières pour les paramètres suivants lors de ces réunions :
- Objectifs du test d’intrusion – Le testeur et le client doivent établir les objectifs spécifiques du test d’intrusion.
- Portée de l’analyse – Après avoir établi des objectifs, le pentester et le client doivent s’entendre sur la portée et l’échelle du pentest.
- Règles d’engagement – Le pentester et le client doivent également établir des attentes et des limites clés concernant les comportements autorisés.
2. Collecte de renseignements
Ensuite, le PTES définit les spécifications de l’étape de collecte de renseignements d’un test d’intrusion. À ce stade, le pentester utilisera toutes les informations accessibles au public et effectuera des recherches de base en suivant les règles d’engagement. Ce processus, également appelé open source intelligence (OSINT), compile toutes les informations pouvant être utiles aux étapes ultérieures du processus de test.
3. Modélisation des menaces
La prochaine étape d’un processus de test d’intrusion est la modélisation des menaces . Cela implique de cartographier les actifs particuliers les plus susceptibles d’être ciblés par le pirate éthique, ainsi que les ressources (humaines et autres) pouvant être utilisées pour cibler ces actifs. À cette étape, le pentester mobilisera les données trouvées à l’étape précédente pour commencer à planifier l’attaque.
Le pirate identifiera quels actifs sont les plus précieux et lesquels sont les plus vulnérables. Cette étape prépare le terrain pour la suivante en identifiant les acteurs individuels et les motifs qui peuvent être exploités, ainsi que tout logiciel ou matériel qui peut être exploitable.
4. Analyse de vulnérabilité
L’étape suivante, l’analyse de la vulnérabilité , implique une collecte supplémentaire d’informations, cette fois liées à des failles ou des faiblesses spécifiques dans les systèmes de cybersécurité du client.
Résultat final des renseignements recueillis lors des étapes précédentes, cette étape utilise enfin tous les renseignements pour hiérarchiser les vulnérabilités spécifiques connues ou suspectées
Par ces moyens et d’autres, l’attaquant compile une liste ciblée de vulnérabilités qui seront priorisées lors de l’attaque. Ceci conclut les étapes de planification.
5. Exploitation
Toute la préparation ci-dessus trouve sa récompense dans la phase d’ exploitation . Il s’agit sans doute de l’étape la plus importante d’un test d’intrusion, car elle inclut l’intégration réelle de l’attaque.
L’attaquant utilisera toutes les informations disponibles pour lancer une ou plusieurs frappes ciblées. Ces attaques seront de nature différente en fonction des objectifs définis dans les interactions préalables à l’engagement.
L’attaquant voudra rester non détecté aussi longtemps que possible, idéalement tout au long de l’offensive. Ils voudront agir rapidement, plonger aussi profondément que possible dans les systèmes du client. Et ils voudront identifier et exploiter autant de chemins d’accès ramifiés que possible.
En adhérant à ces principes, le pentester maximisera les résultats et les informations sur l’attaque. Plus l’attaque est robuste, plus les informations ultimes générées sont robustes.
6. Post-exploitation
Dans la phase de post-exploitation , le pirate passe à un nouveau mode d’attaque, en pénétrant puis en explorant la pleine capacité de tout contrôle saisi. Cette étape cruciale est au centre de certains tests d’intrusion, en particulier des analyses internes.
À ce stade, les objectifs du pirate informatique varieront en fonction de la portée convenue avec le client.
Il est crucial que les deux parties aient des attentes bien définies pour cette étape. Si les exploitations dévoilent des faiblesses plus profondes et plus complexes que le client n’avait pas anticipées, les révélations aggravantes dans la phase de post-exploitation peuvent conduire à un afflux de portée et à d’autres conflits potentiels.
7. Rapports
L’étape finale, l’établissement de rapports , comprend un processus relativement simple tant que les étapes précédentes ont été réalisées conformément aux normes requises.
Le signalement étant la fin de tout test d’intrusion, c’est là que les directives du PTES suivent leur cours.
Le PTES est nécessaire en raison de la complexité, de la difficulté et de la sensibilité inhérentes au processus de test d’intrusion. Ces mêmes qualités sont la raison pour laquelle vous avez besoin de professionnels qualifiés pour vous aider à rendre les tests d’intrusion transparents pour votre entreprise.
