Tests de pénétration

Le test de pénétration est un bilan complet des failles découvertes sur le site Internet analysé.

Chaque vulnérabilité découverte au préalable est vérifiée, et dans la mesure du possible exploitée. Une appréciation fine de la gravité est ensuite réalisée, en fonction

  • de l’exploitation (complexité, plausibilité),
  • de l’impact de la faille sur le fonctionnement du site Internet, sur la confidentialité des données de ce dernier et sur les éventuelles autres failles que la faille permet d’exploiter (scénarios croisés)
  • du potentiel de remédiation

Cet audit est approfondi, exhaustif et effectué selon une méthodologie reconnue (OWASP); l’audit peut se faire selon deux niveaux de profondeurs:

  • Top 10 : 10 failles les plus dangereuses référencées chaque année
  • Complet : toutes les failles connues (méthodologie complète)

Le test de pénétration d’ vous fournit un rapport complet et détaillé de chacune des failles, avec des recommandations et des détails techniques pour tester, reproduire et corriger les problèmes.

Les avantages d’un test de pénétration effectué par sont les suivants:

  • crédibilité – le test est approfondi, exhaustif et basé sur une méthodologie reconnue mondialement
  • coût – le test révèle les failles avérées uniquement – vous évitez ainsi aux développeurs de votre site Internet une coûteuse perte de temps pour remédier à des vulnérabilités non exploitables, voire à des faux positifs
  • fiabilité – appréciation fine de la menace et des impacts potentiels
  • réalisme – les scénarios et la méthodologie appliqués reflètent fidèlement la façon dont les cybercriminels attaqueront votre site Internet

Vous trouverez ci-dessous les deux modes d’audit plus en détail:

Top 10

L’OWASP (Open Web Application Security Project) met régulièrement en place une liste comprenant les dix menaces de sécurité web les plus  dangereuses. Le Top 10 de l’OWASP représente un large consensus par rapport aux problèmes de sécurité les plus critiques que l’on peut trouver dans des applications web. Les membres de ce projet incluent une variété d’experts en sécurité à travers le globe qui mettent leur expertise et leur expérience en commun afin de produire cette liste.

Cela permet d’accélérer le processus d’audit en se focalisant sur les failles qui devraient être corrigées le plus rapidement. Si l’efficacité et la validité de ce test n’est plus à démontrer, certaines failles légères, non appréciées lors de ce test, peuvent en combinaison, poser des problèmes de sécurité plus graves. C’est pourquoi les clients désireux d’avoir un aperçu complet et détaillé des problèmes de sécurité ou qui ont des exigences élevées (certifications ou labellisation) choisiront plutôt un audit complet.

La dernière version (2013) définit les dix risques de sécurité applicatifs web les plus critiques ainsi :

  • A1 – Injection
  • A2 – Violation de Gestion d’Authentification et de Session
  • A3 – Cross-Site Scripting (XSS)
  • A4 – Références directes non sécurisées à un objet
  • A5 – Mauvaise configuration de sécurité
  • A6 – Exposition de données sensibles
  • A7 – Manque de contrôle d’accès au niveau fonctionnel
  • A8 – Falsification de requête intersite (CSRF)
  • A9 – Utilisation de composants avec des vulnérabilités connues
  • A10 – Redirections et renvois non validés

Vous trouverez la description détaillée de cette liste en version française sur le site de l’OWASP – vous pouvez également la consulter ici au format PDF.

Complet

Le test de pénétration complet est en adéquation avec la méthodologie OWASP 4.0. L’ensemble des contrôles proposés sont testés, ce qui comprend autant les failles les plus dangereuses (voir top10) que les problèmes de sécurité plus légers.

Les organisations ayant des exigences de sécurité élevées, qui souhaitent obtenir une certification (ISO2700) ou doivent se plier à des contrôles réguliers (données médicales et financières) par exemple, devraient songer à effectuer un test de pénétration complet sur leur site web.

La version 4 de la méthodologie OWASP repose sur 12 catégories générales, composées chacune de multiples contrôles spécifiques, pour un total de près d’une centaine de contrôles. Vous pouvez consulter la liste des catégories et contrôles sur le site de l’OWASP.