Droit de la sécurité informatique

Les aspects juridiques de la cybersécurité

Comment un test d'intrusion est-il réalisé ?

Publié le 27/03/2020 Vu 383 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Un test d’intrusion est réalisé en principe dans les conditions réelles. Les conditions dans lesquelles serait un pirate essayant de s’introduire sur un système informatisé.

Un test d’intrusion est réalisé en principe dans les conditions réelles. Les conditions dans lesquelles s

Comment un test d'intrusion est-il réalisé ?

L’objectif étant de démontrer l'existence de failles de sécurité dans l’application ou service audité.

Toutefois, quelques différences subsistes. Dans le cadre d’une mission d’audit le client est informé de la date de début des tests, de la date de fin et le périmètre de l’audit. Il est également invité à réaliser des sauvegardes avant le début de la mission afin de pouvoir récupérer des données qui seraient éventuellement endommagées.

Le pentester ne réalisera pas la même mission d’une mission à l’autre. Un test d’intrusion sur une application mobile sera différent d’un pentest sur du woocommerce. Toutefois, la méthodologie d’audit restera la même. Dans un premier temps il essayera d’identifier les vulnérabilités présentes sur l’application (code, port, configuration…).

S’il réussit il récupérera un maximum d’informations puis essayera de récupérer des accès à droits élevés. Sauf demande explicite du client, il ne procédera pas à des attaques DDOS visant à rendre HS l’application auditée.

En tout état de cause, le test d'intrusion ne peut être automatisé. L'humain est essentiel dans cette démarche. C'est la reproduction d'une vraie attaque informatique. Les scans de vulnérabilités sont bien évidemment utilisés par le pentester, mais il ne se limitera pas à ces outils. Les scans donnent des pistes mais sont limités et n'abordent pas l'ensemble d'un périmètre d'attaque.

A l’issue de la période de test, le spécialiste en sécurité informatique procédera à la rédaction des livrables à remettre au commanditaire. Parfois, lorsque cela est demandé il présentera les résultats de l’audit lors d’une réunion de restitution.

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

A propos de l'auteur
Blog de Droit de la sécurité informatique

Bienvenue sur le blog de Droit de la sécurité informatique

Rechercher
Dates de publications
Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles