Les risques évalués lors d’un pentest se concentrent généralement sur les attaques perpétrées depuis l’extérieur du système d’information. En effet, une approche classique consiste à tester dans un premier temps les risques d’attaques externes (pentest en boite noire), puis dans un second temps les risques d’attaques à partir d’un accès client ou partenaire de l’entreprise (pentest en boite grise).
Les risques d’attaques internes, notamment depuis un accès en tant que salarié de l’entreprise, sont fréquemment considérés comme moins importants. Hormis le fait que les attaques internes correspondent à un volume d’attaquants potentiels plus restreint, on peut supposer que la menace interne est sous-estimée en partie à cause de la confiance accordée aux collaborateurs.
Malheureusement, les actes malveillants commis par les collaborateurs d’une entreprise sont de plus en plus nombreux, avec des conséquences souvent plus graves, étant donné la position privilégiée dont ils bénéficient et les informations auxquelles ils ont accès. D’après le Insider Threat Report 2020, près de 70% des organisations interrogées indiquent se sentir vulnérables aux attaques internes, qu’elles subissent par ailleurs plus fréquemment.
Évaluer et prévenir la menace interne est donc indispensable pour toute organisation engagée dans une démarche de sécurité. Et le pentest est l’un des outils les plus efficaces pour identifier concrètement l’impact d’une attaque interne. Nous proposons, dans cet article, d’expliciter la nature des menaces internes et de présenter comment ce type de risque peut être spécifiquement évalué lors d’un pentest.
Qu’est-ce qu’une menace interne ?
En cybersécurité, une menace interne désigne le risque informatique provenant des utilisateurs internes d’une organisation ou d’individus étroitement liés à cette dernière. Ces utilisateurs peuvent être des collaborateurs (actuels ou anciens), des clients, des prestataires, sous-traitants, partenaires, etc. Leur point commun : ils disposent d’un accès direct ou indirect aux ressources de l’organisation, qu’ils peuvent utiliser intentionnellement ou non pour causer des dommages à l’infrastructure informatique et réseau ou aux applications internes.
Dans la pratique, les clients, prestataires, sous-traitants et partenaires sont généralement considérés avec un statut intermédiaire entre les attaquants externes et les utilisateurs internes du système d’information d’une entreprise. Il est courant de ne pas négliger les risques provenant de clients et de partenaires, mais de se montrer plus laxistes sur les risques internes, notamment dans les entreprises de petite et moyenne taille.
Par ailleurs, contrairement à une idée répandue, toutes les menaces internes ne résultent pas de motifs malveillants ou d’actions intentionnelles. Dans de nombreux cas en effet, des incidents de sécurité surviennent en raison d’une négligence humaine, d’erreurs ou de non-respect des mesures de sécurité adéquates. Clic sur un email de phishing, postes de travail non mis à jour, mots de passe faibles, perte d’un équipement professionnel, etc. sont autant de vecteurs de risques potentiels qui peuvent compromettre les ressources d’une organisation.
Les menaces internes malveillantes quant à elles sont généralement initiées par deux profils types d’utilisateurs :
- D’un côté, il y a ceux attirés par l’appât du gain, qui peuvent user de leurs accès pour voler des données sensibles, des documents stratégiques ou des propriétés intellectuelles (code source d’une application par exemple) pour les revendre sur le marché noir ou pour les utiliser à des fins personnelles.
- De l’autre, il y a la menace provenant d’attaquants internes motivés par la malveillance à l’égard de leur employeur ou par le désir de vengeance, qui profitent de leur accès privilégié aux ressources de l’entreprise pour porter préjudice à celle-ci.
Aucune entreprise n’est à l’abri de potentielles menaces internes, qu’elles soient intentionnelles ou non. Cependant le risque est plus grand dans les entreprises de grandes tailles, celles avec un turnover élevé, et, naturellement, celles qui ne sensibilisent pas – ou pas assez efficacement du moins – leurs collaborateurs sur les questions de cybersécurité.
Au-delà de l’identification des risques internes et de la mise en place de contrôles adéquats, il est possible via le pentest de simuler une attaque interne afin de mesurer l’impact réel et, dans le même temps, tester concrètement l’efficacité des protections mises en place.
Types d’attaques internes réalisées lors d’un pentest
En fournissant aux pentesters les mêmes accès qu’un salarié de l’entreprise, ceux-ci pourront simuler un attaquant interne malveillant et tenter d’accéder à des ressources qui ne devraient pas leur être accessibles.
Le type de tests effectués va dépendre de la cible du pentest : application web, infrastructure réseau, facteurs humains (ingénierie sociale), etc.
Pentest d’application web
Pour un pentest d’application web, les pentesters auront accès à un niveau de droit standard, s’il s’agit d’une solution utilisée en interne, ou auront accès au back-office, s’il s’agit d’une plateforme utilisée par des clients BtoB ou BtoC.
Si la solution est utilisée en interne : l’objectif est d’aller plus loin que les tests en boite noire, et de trouver des failles accessibles à un utilisateur authentifié. Cela permet notamment de vérifier le bon cloisonnement des niveaux de droits, de tester les possibilités de comportement non conforme ainsi que l’ensemble des failles techniques qui pourraient être exploitées par une personne malveillante.
Pour une plateforme utilisée par des clients : avoir accès au back-office est pertinent notamment s’il existe plusieurs niveaux de privilèges pour les utilisateurs du back-office, afin de tester les cloisonnements. Dans le cas contraire, avoir accès au back-office peut présenter un intérêt pour tester les possibilités d’accès à d’autres pans du SI. Cela peut permettre de tester les risques en cas de prise de contrôle du back-office par un attaquant, que ce soit via l’exploitation d’une faille technique ou via un vol d’identifiants.
Un exemple couramment constaté auprès de nos clients est d’avoir une plateforme web sécurisée lorsqu’elle est à destination de clients BtoB ou BtoC. Les applications à usage interne (une application back-office par exemple) sont quant à elles généralement solide face aux attaques externes. En revanche, dès l’authentification en tant qu’utilisateur interne ou administrateur, il est très fréquent de constater à la fois un manque de granularité et un manque de vigilance sur les failles de sécurité.
Dans certains cas, les applications à usage interne sont mal protégées y compris face aux attaques externes, parce qu’elles ne sont pas identifiées comme étant à protéger, considérées comme peu sensibles ou non répertoriées comme élément exposé en ligne. Or, la prise de contrôle d’une application web vulnérable peut représenter un risque important, si celle-ci se trouve sur le même serveur que d’autres applications web ou si elle communique avec d’autres éléments.
Pentest de réseau interne
Un pentest de réseau interne inclut généralement la prise en compte de la menace interne. Il est très rare en effet que les tests se limitent aux risques d’attaques externes (test d’intrusion réseau en boite noire), permettant notamment de tester les possibilités d’accès au réseau WI-FI sans identifiant de connexion. Dans ce cas de figure, des vulnérabilités au niveau des technologies utilisées (WEP/WPS/WPA) ou des attaques par force brute peuvent permettre à un attaquant externe d’accéder à votre réseau.
Généralement, pour des tests sur le réseau interne, les pentesters disposent d’accès au moins équivalents à ceux des collaborateurs ayant un niveau minimum de droits sur le SI de l’entreprise : poste de travail, compte standard sur le domaine, accès au réseau filaire et/ou WI-FI, etc. Cela permet de tester le cloisonnement des droits (possibilités d’accès à des ressources critiques ou de prise de contrôle de serveurs ou de postes administrateurs, etc.), ainsi que toutes les vulnérabilités techniques qui pourraient être exploitées par un collaborateur malveillant ou un attaquant externe ayant obtenu un accès à votre réseau.
Néanmoins, les risques d’attaques internes par des utilisateurs disposant de plus de privilèges sur le SI de l’entreprise ne doivent pas être négligés ou sous-estimés, comme nous l’observons souvent. En effet, toute personne peut constituer une menace, et dans la plupart des équipes IT par exemple, les utilisateurs ne disposent pas tous d’un niveau d’accès maximum. Ainsi, fournir différents types d’accès (accès collaborateur standard comme des accès spécifiques plus élevés) permet une analyse plus détaillée et plus complète des risques d’attaques internes. Ceci est d’autant plus pertinent et important si l’entreprise a mis en place des cloisonnements spécifiques par type de métier (réseau séparé, accès à des outils spécifiques, etc.).
Pentest d’ingénierie sociale
Lors d’un pentest d’ingénierie sociale, les pentesters auront accès au même niveau d’information que les collaborateurs de l’entreprise. Selon les cas de figure, cela peut être : liste complète des noms, prénoms, fonctions et coordonnées, adresses email, détails internes du fonctionnement de certaines équipes, informations précises sur les outils internes et les technologies utilisées.
En principe, le niveau d’information fourni aux pentesters va dépendre de ce qu’on veut tester comme niveau de menace interne. Donner un maximum d’information peut fausser les tests, car, la plupart du temps, les attaques internes s’appuient sur une connaissance partielle (ou imparfaite) de l’entreprise. C’est pourquoi il est intéressant de fournir uniquement les informations dont disposent réellement les collaborateurs (activité de l’entreprise, outils internes, organigrammes, coordonnées) afin que les pentesters puissent construire et exécuter des scénarios d’attaque réalistes.
Exemples concrets de tests d’ingénierie sociale qui correspondent à des risques provenant d’un attaquant interne ou d’une personne ayant obtenu des informations sur l’entreprise :
- Rebondir sur l’actualité interne de l’entreprise pour amener des personnes à ouvrir un fichier piégé envoyé par email.
- Utiliser la connaissance des relations entre les différents services de l’entreprise et les personnes qui y travaillent pour usurper une identité.
- Connaître les outils utilisés en interne pour les cloner et tenter de voler des identifiants.