Mis à jour le 01/10/2018
  • 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

Ce cours est en vidéo.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Préparez votre pentest

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Maintenant que nos outils sont prêts, pour terminer cette première partie, nous allons voir comment préparer son test d'intrusion et quels sont les critères pour définir le périmètre.

Définissez le périmètre du test d’intrusion

Comme vous l'avez vu dans les chapitres précédents, il est très important de déterminer la menace contre laquelle vous voulez vous protéger : les attaques internes ou les attaques externes.

Ensuite, en fonction de cela, il faut définir un périmètre qui peut être :

  • Un serveur : dans le cas d'une application en ligne, d'un serveur Web, ou d'un serveur interne à l'entreprise qui héberge différents services.

  • Une partie du réseau : par exemple la partie DMZ du réseau, les machines de développement, ou encore les serveurs de production.

  • L’IP publique de l’entreprise : dans le cas d'une petite entreprise qui ne possède qu'une connexion Internet et que l’objectif est de s'assurer que personne ne puisse pénétrer de l'extérieur.

  • Plusieurs IP publiques : dans le cas d'une plus grosse entreprise qui possède une plage d’IP publiques avec plusieurs serveurs en hébergement.

  • Tout le réseau interne : le réseau local LAN complet dans le cas où l'entreprise veuille s'assurer que toutes ses machines internes sont sécurisées.

Par exemple, si vous voulez tester une application utilisée en interne, il faudra intégrer dans le périmètre tous les serveurs hébergeant les composants de l’application (serveur Web, base de données, etc.).

Les autorisations, interlocuteurs et documents

Avant tout démarrage de test d'intrusion, il est indispensable d'avoir un accord écrit et signé de la cible que l'on va tester. Dans le cas contraire, une tentative d'intrusion sans autorisation est punie par la loi :

Article 509-1 du Code pénal : « Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d’un système de traitement ou de transmission automatisée de données sera puni d’un emprisonnement de deux mois à deux ans et d’une amende de 500 euros à 25 000 euros ou de l’une de ces deux peines ».

Le « mandat d'autorisation de test de pénétration » doit être signé par le représentant légal de l’entreprise ou le responsable des systèmes d’informations. Voilà ci-dessous un exemple demande de mandat :

Je soussigné (prénom, nom) en tant que (fonction) de l’entreprise (nom) par la présente, autorise la société ExpInfo, spécialisée en cybersécurité, à effectuer un test d’intrusion dans notre système d’information.

Il peut également être précisé sur ce mandat la date et l'heure à laquelle sera réalisé le test d'intrusion, l'adresse IP publique à partir de laquelle seront effectués les tests en cas de test d'intrusion externe. 

En résumé

  • Pour préparer un pentest, il faut déterminer le périmètre du test d'intrusion

  • Il y a 5 critères : le serveur, la partie réseau, l’IP publique de l’entreprise, les IP publiques, le réseau interne.

  • Il est impératif d'avoir une autorisation écrite et signée de l'entreprise cible du test d'intrusion sous peine de sanction pénale.

Pour aller plus loin

Exemple de certificat de réussite
Exemple de certificat de réussite