{"id":463034,"date":"2022-11-14T15:55:31","date_gmt":"2022-11-14T17:55:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/quest-ce-quun-test-dintrusion-externe\/"},"modified":"2022-11-14T15:55:32","modified_gmt":"2022-11-14T17:55:32","slug":"quest-ce-quun-test-dintrusion-externe","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/quest-ce-quun-test-dintrusion-externe\/","title":{"rendered":"Qu&#8217;est-ce qu&#8217;un test d&#8217;intrusion externe\u00a0?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un test d&#8217;intrusion (\u00e9galement connu sous le nom de pentest) est une \u00e9valuation de la s\u00e9curit\u00e9 qui simule les activit\u00e9s d&#8217;attaquants du monde r\u00e9el pour identifier les failles de s\u00e9curit\u00e9 dans vos syst\u00e8mes ou applications informatiques. <\/p>\n<p>Le but du test est de comprendre quelles vuln\u00e9rabilit\u00e9s vous avez, comment elles pourraient \u00eatre exploit\u00e9es et quel serait l&#8217;impact si un attaquant r\u00e9ussissait.<\/p>\n<p>Habituellement effectu\u00e9 en premier, un pentest externe (\u00e9galement appel\u00e9 test de p\u00e9n\u00e9tration du r\u00e9seau externe) est une \u00e9valuation de vos syst\u00e8mes de p\u00e9rim\u00e8tre.  Votre p\u00e9rim\u00e8tre est constitu\u00e9 de tous les syst\u00e8mes directement accessibles depuis Internet.  Par d\u00e9finition, ils sont expos\u00e9s et sont donc les plus facilement et r\u00e9guli\u00e8rement attaqu\u00e9s.<\/p>\n<h2>Tester les faiblesses<\/h2>\n<p>Les pentests externes recherchent des moyens de compromettre ces syst\u00e8mes et services externes accessibles pour acc\u00e9der \u00e0 des informations sensibles et voir comment un attaquant pourrait cibler vos clients, clients ou utilisateurs. <\/p>\n<p>Dans un pentest externe de haute qualit\u00e9, le ou les professionnels de la s\u00e9curit\u00e9 copieront les activit\u00e9s de vrais pirates, comme l&#8217;ex\u00e9cution d&#8217;exploits pour tenter de prendre le contr\u00f4le de vos syst\u00e8mes.  Ils testeront \u00e9galement l&#8217;\u00e9tendue de toutes les faiblesses qu&#8217;ils trouveront pour voir jusqu&#8217;o\u00f9 un attaquant malveillant pourrait creuser dans votre r\u00e9seau et quel serait l&#8217;impact commercial d&#8217;une attaque r\u00e9ussie.<\/p>\n<h2>Ex\u00e9cutez d&#8217;abord des pentests externes<\/h2>\n<p>Les tests d&#8217;intrusion externes supposent que l&#8217;attaquant n&#8217;a pas eu d&#8217;acc\u00e8s pr\u00e9alable \u00e0 vos syst\u00e8mes ou r\u00e9seaux.  Ceci est diff\u00e9rent d&#8217;un test d&#8217;intrusion interne qui teste le sc\u00e9nario dans lequel un attaquant a d\u00e9j\u00e0 un pied sur une machine compromise ou se trouve physiquement dans le b\u00e2timent.  Il est g\u00e9n\u00e9ralement logique de couvrir d&#8217;abord les fondamentaux et d&#8217;envisager des tests internes apr\u00e8s avoir effectu\u00e9 une analyse r\u00e9guli\u00e8re des vuln\u00e9rabilit\u00e9s et des tests de p\u00e9n\u00e9tration externes.<\/p>\n<h2>Comment effectuer des tests d&#8217;intrusion externes<\/h2>\n<p>Alors, comment faites-vous pour obtenir un test d&#8217;intrusion externe\u00a0?  Planifier un pentest externe devrait \u00eatre aussi simple que de demander \u00e0 votre fournisseur de services g\u00e9r\u00e9s ou \u00e0 votre conseil informatique, et de les diriger vers vos syst\u00e8mes de p\u00e9rim\u00e8tre (une liste de domaines et d&#8217;adresses\/plages IP).<\/p>\n<p>Un test d&#8217;intrusion externe est normalement ex\u00e9cut\u00e9 sur la base d&#8217;une &#8220;bo\u00eete noire&#8221;, ce qui signifie qu&#8217;aucune information privil\u00e9gi\u00e9e (telle que les informations d&#8217;identification de l&#8217;application, les sch\u00e9mas d&#8217;infrastructure ou le code source) n&#8217;est fournie aux testeurs.  Ceci est similaire \u00e0 l&#8217;endroit o\u00f9 un v\u00e9ritable pirate informatique ciblant votre organisation commencerait, une fois qu&#8217;il aurait d\u00e9couvert une liste de vos adresses IP et domaines.<\/p>\n<p>Mais il y a quelques indications importantes et une diligence raisonnable qu&#8217;il convient de garder \u00e0 l&#8217;esprit lors de l&#8217;organisation de votre test d&#8217;intrusion externe\u00a0:<\/p>\n<ul>\n<li><strong>Qui effectue votre test\u00a0? <\/strong>Sont-ils un testeur d&#8217;intrusion qualifi\u00e9\u00a0?  Vous pouvez en savoir plus sur les certifications de test d&#8217;intrusion et le choix d&#8217;un cabinet de conseil dans le guide sur <a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/blog\/how-to-choose-a-pentesting-company?utm_source=referral&amp;utm_campaign=thehackernews-external-penetration-testing\" target=\"_blank\">comment choisir une entreprise de test d&#8217;intrusion<\/a>.<\/li>\n<li><strong>Combien serez-vous factur\u00e9 ?<\/strong> Les devis sont normalement bas\u00e9s sur un taux journalier et votre travail est d\u00e9fini en fonction du nombre de jours n\u00e9cessaires pour effectuer l&#8217;\u00e9valuation.  Chacun de ceux-ci peut varier d&#8217;une entreprise \u00e0 l&#8217;autre, il peut donc \u00eatre int\u00e9ressant de faire le tour pour voir ce qui est propos\u00e9.<\/li>\n<li><strong>Qu&#8217;est-ce qui est inclus ?<\/strong> Les fournisseurs de services respectables devraient vous proposer une proposition ou un \u00e9nonc\u00e9 de travail qui d\u00e9crit le travail \u00e0 entreprendre.  Faites attention \u00e0 ce qui est \u00e0 l&#8217;int\u00e9rieur et \u00e0 ce qui ne l&#8217;est pas.<\/li>\n<li><strong>Quoi d&#8217;autre est recommand\u00e9?<\/strong> Choisissez un fournisseur qui inclut la v\u00e9rification de vos services expos\u00e9s pour la r\u00e9utilisation des informations d&#8217;identification viol\u00e9es, les attaques par pulv\u00e9risation de mots de passe et les tests d&#8217;applications Web sur des applications accessibles au public.<\/li>\n<li><strong>Faut-il inclure l&#8217;ing\u00e9nierie sociale ?<\/strong> Cela peut \u00eatre une bonne valeur ajout\u00e9e, bien que ce type de test r\u00e9ussisse presque toujours lorsqu&#8217;il est tent\u00e9 par un attaquant suffisamment d\u00e9termin\u00e9, il ne devrait donc pas \u00eatre une exigence stricte si votre budget est limit\u00e9.<\/li>\n<\/ul>\n<h2>Test d&#8217;intrusion externe vs analyse de vuln\u00e9rabilit\u00e9<\/h2>\n<p>Si vous \u00eates familier avec l&#8217;analyse des vuln\u00e9rabilit\u00e9s, vous remarquerez qu&#8217;un pentest externe partage certaines similitudes.  Alors, quelle est la diff\u00e9rence ?<\/p>\n<p>En r\u00e8gle g\u00e9n\u00e9rale, un test d&#8217;intrusion externe comprend une analyse compl\u00e8te <a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/external-vulnerability-scanner?utm_source=referral&amp;utm_campaign=thehackernews-external-penetration-testing\" target=\"_blank\">analyse de vuln\u00e9rabilit\u00e9 externe<\/a>, mais c&#8217;est juste l\u00e0 que \u00e7a commence.  Toutes les sorties des outils d&#8217;analyse seront examin\u00e9es manuellement par un pentester pour supprimer les faux positifs, ex\u00e9cuter des exploits pour v\u00e9rifier l&#8217;\u00e9tendue\/l&#8217;impact de la faiblesse et &#8220;encha\u00eener&#8221; plusieurs faiblesses pour produire des exploits plus percutants. <\/p>\n<p>L\u00e0 o\u00f9 un scanner de vuln\u00e9rabilit\u00e9 signalerait simplement qu&#8217;un service pr\u00e9sente une faiblesse critique, un pentest tenterait d&#8217;exploiter cette faiblesse et de prendre le contr\u00f4le du syst\u00e8me.  En cas de succ\u00e8s, le pentester utilisera son acc\u00e8s pour aller plus loin et compromettre d&#8217;autres syst\u00e8mes et services.<\/p>\n<h2>Les pentests plongent profond\u00e9ment dans les vuln\u00e9rabilit\u00e9s<\/h2>\n<p>Alors que les scanners de vuln\u00e9rabilit\u00e9 identifient souvent les probl\u00e8mes potentiels, un testeur d&#8217;intrusion les explorerait en profondeur et indiquerait si la faiblesse n\u00e9cessite ou non une attention particuli\u00e8re.  Par exemple, les scanners de vuln\u00e9rabilit\u00e9 signalent r\u00e9guli\u00e8rement la \u00ab\u00a0liste des r\u00e9pertoires\u00a0\u00bb, o\u00f9 les serveurs Web offrent une liste de tous les fichiers et dossiers sur le serveur.  Ce n&#8217;est pas n\u00e9cessairement une vuln\u00e9rabilit\u00e9 en soi, mais cela n\u00e9cessite une enqu\u00eate.<\/p>\n<p>Si un fichier sensible (comme un fichier de configuration de sauvegarde contenant des informations d&#8217;identification) est expos\u00e9 et r\u00e9pertori\u00e9 par liste de r\u00e9pertoires, un simple probl\u00e8me d&#8217;information (tel que signal\u00e9 par un scanner de vuln\u00e9rabilit\u00e9) peut rapidement se transformer en un risque \u00e0 fort impact pour votre organisation.  Le travail du pentester consiste \u00e0 examiner attentivement les r\u00e9sultats d&#8217;une gamme d&#8217;outils, pour s&#8217;assurer que rien n&#8217;est laiss\u00e9 au hasard.<\/p>\n<h2>Et si j&#8217;ai besoin de tests plus rigoureux ?<\/h2>\n<p>Certaines autres activit\u00e9s qu&#8217;un v\u00e9ritable attaquant effectuerait et qui ne sont pas effectu\u00e9es par les scanners de vuln\u00e9rabilit\u00e9 peuvent \u00e9galement \u00eatre incluses, mais elles varient d&#8217;un testeur \u00e0 l&#8217;autre.  V\u00e9rifiez la proposition ou posez des questions avant de programmer le pentest si vous souhaitez qu&#8217;elles soient prises en compte.  Par exemple:<\/p>\n<ul>\n<li>Attaques de devinettes de mot de passe soutenues (pulv\u00e9risation, force brute) pour tenter de compromettre les comptes d&#8217;utilisateurs sur les VPN expos\u00e9s et d&#8217;autres services<\/li>\n<li>Gratter le dark web et les bases de donn\u00e9es de violation des informations d&#8217;identification connues de vos employ\u00e9s et les int\u00e9grer dans des panneaux et des services administratifs<\/li>\n<li>Test d&#8217;application Web lorsqu&#8217;un m\u00e9canisme d&#8217;auto-inscription est disponible<\/li>\n<li>Attaques d&#8217;ing\u00e9nierie sociale telles que l&#8217;hame\u00e7onnage de vos employ\u00e9s<\/li>\n<\/ul>\n<h2>Les pentests ne peuvent pas remplacer les tests de vuln\u00e9rabilit\u00e9 r\u00e9guliers<\/h2>\n<p>N&#8217;oubliez pas que de nouvelles vuln\u00e9rabilit\u00e9s critiques sont d\u00e9couvertes quotidiennement et que les attaquants exploitent g\u00e9n\u00e9ralement les faiblesses les plus graves dans la semaine suivant leur d\u00e9couverte. <\/p>\n<p>Bien qu&#8217;un test d&#8217;intrusion externe soit une \u00e9valuation importante pour examiner en profondeur la s\u00e9curit\u00e9 de vos syst\u00e8mes expos\u00e9s, il est pr\u00e9f\u00e9rable de l&#8217;utiliser comme un service suppl\u00e9mentaire pour compl\u00e9ter l&#8217;analyse r\u00e9guli\u00e8re des vuln\u00e9rabilit\u00e9s &#8211; que vous devriez d\u00e9j\u00e0 avoir en place\u00a0!<\/p>\n<h2>\u00c0 propos de l&#8217;intrus<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/?utm_source=referral&amp;utm_campaign=thehackernews-external-penetration-testing\" target=\"_blank\">Intrus<\/a> est une soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 qui aide les organisations \u00e0 r\u00e9duire leur surface d&#8217;attaque en fournissant des services continus d&#8217;analyse des vuln\u00e9rabilit\u00e9s et de tests d&#8217;intrusion.  Le puissant scanner d&#8217;Intruder est con\u00e7u pour identifier rapidement les failles \u00e0 fort impact, les modifications de la surface d&#8217;attaque et analyser rapidement l&#8217;infrastructure \u00e0 la recherche de menaces \u00e9mergentes.  En ex\u00e9cutant des milliers de v\u00e9rifications, qui incluent l&#8217;identification des erreurs de configuration, des correctifs manquants et des probl\u00e8mes de couche Web, Intruder rend l&#8217;analyse des vuln\u00e9rabilit\u00e9s de niveau entreprise facile et accessible \u00e0 tous.  Les rapports de haute qualit\u00e9 d&#8217;Intruder sont parfaits pour \u00eatre transmis \u00e0 des clients potentiels ou pour se conformer aux r\u00e9glementations de s\u00e9curit\u00e9, telles que ISO 27001 et SOC 2.<\/p>\n<p>Intruder propose un essai gratuit de 30 jours de sa plateforme d&#8217;\u00e9valuation des vuln\u00e9rabilit\u00e9s.  Visitez leur site Web aujourd&#8217;hui pour l&#8217;essayer!<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/what-is-external-penetration-test.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un test d&#8217;intrusion (\u00e9galement connu sous le nom de pentest) est une \u00e9valuation de la s\u00e9curit\u00e9 qui simule les activit\u00e9s d&#8217;attaquants du monde r\u00e9el pour identifier les failles de s\u00e9curit\u00e9 dans vos syst\u00e8mes ou applications informatiques. Le but du test est de comprendre quelles vuln\u00e9rabilit\u00e9s vous avez, comment elles pourraient \u00eatre exploit\u00e9es et quel serait [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":463035,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,52953,2605,4157,4159,4171,4170,4167,4160,4163,4162,473,2828,4172,4169,1058,4166,4164],"class_list":["post-463034","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dintrusion","tag-externe","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-questce","tag-quun","tag-securite-informatique","tag-securite-internet","tag-test","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/463034","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=463034"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/463034\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/463035"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=463034"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=463034"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=463034"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}