Les réseaux, données et applications peuvent être sécurisés de diverses manières mais au final, c’est la pratique qui nous apprend ce qui fonctionne ou non. Lors d’un test d’intrusion (penetration test ou ‘pen test’), les vulnérabilités sont non seulement détectées mais aussi mises à profit. Xavier Mertens, Principal Security Consultant : “Le ‘pen tester’ procède comme un hacker criminel, mais avec l’autorisation du propriétaire afin d’optimiser la protection de l’environnement par la suite.”

Les spécialistes en protection de Telenet mènent régulièrement de tels ‘pen tests’, par exemple lors de la phase d’acceptation d’un nouveau système, après une importante modification d’un environnement donné ou après un grave incident de sécurité. Ce type de test est aussi effectué périodiquement dans le cadre d’une politique de sécurité, afin de vérifier si les systèmes sont encore à jour.

Lorsqu’un pen tester reçoit des informations préalables sur l’environnement à tester, on parle d’un white box pen test. Dans le cas d’un black box pen test, le pen tester procède comme un hacker externe et ne reçoit aucune information préalable. Si l’on veut vérifier comment les collaborateurs internes réagissent en cas d’intrusion, il ne faut certes pas les avertir. Mais il doit toujours y avoir au moins un gestionnaire au courant. Ce dernier devra pouvoir reconnaître le pen test en tant que tel et le distinguer d’une véritable intrusion mal intentionnée. Il pourra également prévenir une montée d’adrénaline inutile chez le personnel non informé.

L’ampleur du pen test, le moment du test, et le rapportage relatif aux vulnérabilités constatées sont tous extrêmement importants. Un pen test peut viser un seul aspect, comme la sensibilisation envers la sécurité dans votre organisation, mais aussi être déployé à bien plus grande échelle. Dans ce cas, le pen tester tentera d’accéder à vos systèmes par le biais du social engineering. Quoi qu’il en soit, il est impératif de déterminer ce qui est autorisé ou non avant chaque pen test. Il importe aussi de conclure des accords clairs concernant le rapportage. Les conclusions du pen test doivent, en effet, déboucher sur des points d’action susceptibles d’optimiser la protection.