La valeur ajoutée d’un test d’intrusion, si on le compare à un simple scan de vulnérabilités, est le fait de mettre les résultats obtenus dans un contexte spécifique permettant de déterminer les vrais risques encourus par une société à cause d’une certaine vulnérabilité. Par exemple, un scanner automatisé ne sera pas en mesure de différencier l’impact d’une injection SQL sur un serveur Web hébergé chez un fournisseur externe ne contenant aucune donnée sensible et une injection SQL sur un site dont la base de données est hébergée sur le réseau interne et dont la compromission aboutirait à un accès distant sur le réseau privé de l’entreprise.
Il est donc évident que le contexte dans lequel une faille est découverte est important. Le pentester peut alors utiliser son expérience pour déterminer la criticité de cette dernière. Mais souvent cela ne suffit pas à donner une réelle idée du risque encouru par la société. En effet, en tant que pentester, il n’est pas toujours facile d’identifier quels sont les actifs critiques d’une société. Est-ce que le vol du contenu d’un site d’e-banking a le même impact que sur un site journalistique? La réponse semble évidente, du fait que la plupart des informations sur le deuxième site est de toute façon accessible à tout le monde. Mais dans la plupart des cas, la réponse n’est pas aussi simple et il est toujours embêtant de passer du temps à exploiter une faille pour récupérer des données pour se rendre compte au final qu’elles n’ont aucune réelle valeur pour le client.
Afin d’éviter ce type de problème, il est très important de définir un ou plusieurs buts lors du démarage d’un test d’intrusion. Un simple “piratez notre réseau” ne suffit pas. Afin que le test soit réussi et surtout utile pour un client, il faut tout d’abord déterminer avec lui quels sont les vrais risques liés à une attaque informatique pour l’entreprise. Quelle information doit être protégée à tout prix? Cela permet alors aux pentesters de cibler plus précisément leurs attaques et au final de pouvoir présenter des résultats pertinents qui peuvent être utilisés pour améliorer le niveau de sécurité.
On peut par exemple imaginer quelques buts tels que les suivants:
- Accéder à distance au réseau interne
- Par des attaques techniques
- Par du social engineering
- Compromettre un compte administrateur de l’application X en partant d’un compte lambda
- Devenir administrateur du domaine depuis un poste client
Certains de ces buts peuvent paraitre évidents et certains diront qu’il s’agit du but de tout test d’intrusion, mais ce n’est pas toujours le cas, d’où l’importance de définir à l’avance les buts du test en collaboration avec le client. Cela lui permettra d’exploiter de la meilleure manière les résultats du test.