{{ctrl.userDetails.getName()}}
(pas vous?)
(pas vous?)
{{ctrl.userDetails.getName()}}
Toute entreprise est une proie potentielle pour les hackers. Et la meilleure façon d’identifier les failles de votre protection consiste à y lâcher un « hacker éthique ». Dieter Sarrazyn, Security Consultant et Partner de Toreon, lève un coin du voile sur le hacking éthique.
La sensibilisation est essentielle pour rallier l’adhésion des entreprises à la sécurité IT. Et le hacking éthique est une solution idéale pour ce faire. Un hacker éthique effectuera un « pentest » (abréviation de penetration test, test d’intrusion) afin de tester les vulnérabilités de l’infrastructure. Il utilisera les mêmes techniques et outils que les hackers malintentionnés, mais son objectif sera de repérer les points faibles de la protection et d'y remédier - et non de les exploiter. Telenet a établi un partenariat avec Toreon afin de réaliser un de ces pentests.
Ce partenariat a été établi en vertu de l’indépendance de Toreon. « En effet, nous ne sommes pas liés à des produits, fournisseurs ou opérateurs télécoms et pouvons donc dire ce qu’il en est exactement », entame Dieter. « Voilà pourquoi Telenet a opté pour nos services. Nous garantissons un avis objectif à ses clients. Nous n’enjolivons rien : si c’est bien, nous le disons ; et si ce n’est pas bien, nous le disons aussi. Même s’il s’agit d’une solution Telenet. »
Dieter Sarrazyn
Security Consultant et Partner de Toreon
Dieter esquisse brièvement l’approche standardisée de Toreon : « Lors d’une réunion de mise en route avec le client (et Telenet), nous déterminons les souhaits du client et l’ampleur du projet. Cette ampleur peut s’avérer très spécifique, comme un test axé sur la protection d’un site Web, d’une application Web ou d’une application mobile, ou un ciblage de données relatives aux clients ou au personnel. »
Mais elle peut aussi être très large, précise Dieter : « Pensez à un CEO qui a vu un reportage dans les actualités et se demande si la protection IT de son entreprise est suffisante. Nous déterminons alors ensemble dans quelle mesure le pentest sera effectué - et la sensibilisation commence déjà à ce moment-là. Ce que nous ne faisons jamais, c’est lancer des attaques DDoS ou mener des actions néfastes ou dangereuses. »
Toreon détermine le personnel affecté au projet en fonction de son ampleur. Dieter : « Parfois, c’est une seule personne, et parfois nous mobilisons toute une équipe. Notre propre équipe se compose d’experts certifiés ayant au moins 15 ans d’expérience et spécialisés dans diverses branches : hacking de réseaux, de sites Web, d’applications mobiles, etc. S’il nous manque une compétence spécifique en interne, nous pouvons faire appel à un réseau étendu de spécialistes. »n netwerken, van websites, van mobiele applicaties enz. Hebben we een bepaalde competentie niet in huis, dan kunnen we terugvallen op een uitgebreid netwerk van specialisten.”
Nous choisissons le type de pentest - Black Box, Grey Box ou White Box - en concertation avec le client. Dieter : « Dans le cadre d’un test Black Box, nous travaillons sans connaissance préalable de l’infrastructure. Nous n’avons qu’une URL, par exemple. C’est la procédure la plus agréable - nous devons beaucoup chercher et creuser - mais aussi la plus fastidieuse. Pour un White Box, nous passons cette étape et le client nous donne toutes les informations sur l’infrastructure : données-réseau, adresses IP internes, données des serveurs, etc. Nous pouvons ainsi effectuer directement des tests très ciblés. »
Le Grey Box est le stade intermédiaire entre le Black Box et le White Box. Dieter : « Nous obtenons alors des infos limitées : non seulement l’URL mais aussi les identifiants de connexion. En ce qui me concerne, le meilleur pentest est une combinaison qui commence par un Black Box et se poursuit par un Grey ou White Box au bout d’une période convenue. »
Un pentest s’effectue à 20 % via des outils et à 80 % manuellement. Dieter : « Les outils font effectivement partie de notre ‘arsenal’ mais la grande différence par rapport aux scans de vulnérabilité automatisés, c’est que nous n’en restons pas là. N’importe qui peut faire tourner un scanner de vulnérabilité. Ce qui compte, c’est ce qu’on fait avec les résultats. Nous n’utilisons les outils qu’en tant que point de départ, et nous poursuivons manuellement sur cette base. » Dieter estime néanmoins que les scans de vulnérabilité ont leur place : « Un pentest est un ‘instantané’. Ce qui est protégé maintenant peut ne plus l’être la semaine suivante. Idéalement, vous mènerez des scans de vulnérabilité réguliers et vous procéderez à un pentest si nécessaire. »
Dieter Sarrazyn
Security Consultant et Partner de Toreon
Après le pentest, Toreon établit un rapport avec ses conclusions et recommandations. Dieter : « Nous en parlons alors avec le client et Telenet. Nous estimons important qu’ils puissent donner leur feed-back. Parfois, ils ont déjà prévu des améliorations dont nous ignorons tout. Les moments de débriefing peuvent d’ailleurs avoir lieu au cours du projet. Si nous constatons des défauts flagrants, par exemple, nous les signalons directement. Ainsi, le client peut tout de suite réagir. »
Les tests et le rapportage s’effectuent, certes, avec la plus grande confidentialité. « Nous y accordons énormément d’importance », confirme Dieter. « Dans le cadre de notre partenariat avec Telenet, nous avons signé un Non Disclosure Agreement (NDA) et tous nos collaborateurs ont également signé un NDA individuel avec Toreon. De même, nous croyons beaucoup aux avantages d’une Coordinated Vulnerability Disclosure. Si nous décelons de nouvelles vulnérabilités dans des logiciels ou matériels, nous les signalons de façon responsable au vendeur et contribuons activement à leur résolution. Telenet dispose aussi d’un tel programme de Responsible Disclosure. »