Connaître l’audit de sécurité interne : ce que vous devez savoir

Lorsque l’on parle attaque informatique, on pense souvent à un activiste ou un criminel assis devant son écran à l’autre bout de la planète… alors que la moitié des attaques implique des acteurs internes, selon le Insider Threat Report 2018. Ainsi, 58 % des sondés ont confirmé avoir subi une cyberattaque liée à la menace interne. Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre l’extérieur.

Description

Audit de sécurité interne

Lors d’un audit de sécurité interne, les tests d’intrusion se font depuis l’intérieur de l’entreprise ou parfois via un VPN. Le plus souvent, les pentesters se déplacent dans les locaux de l’entreprise, amènent leur matériel et se mettent dans la configuration d’un attaquant interne.

Pourquoi faire un audit interne

Le pentest interne permet de mesurer le risque de compromission de votre réseau interne. Il s’agit de repérer les mauvaises configurations, d’identifier les vulnérabilités internes exploitables par un attaquant et de mesurer les conséquences sur le réseau interne si une machine était compromise. Ensuite, des solutions sont proposées afin que les failles soient corrigées.

Différences avec un audit externe

La première différence est que l’on peut tester la sécurité de plus d’éléments depuis l’intérieur d’une organisation. L’attaquant extérieur n’a en effet qu’une vue limitée du réseau interne de sa cible.

La deuxième différence notable est que le profil des attaquants n’est pas le même. Tout employé et les personnels liés d’une manière ou d’une autre à l’entreprise et ses locaux (prestataires, fournisseurs, invités, etc.) peuvent être, intentionnellement ou non, à la source d’une attaque ou d’une fuite de données sensibles. Leur accès au réseau interne de l’entreprise est un risque potentiel.

La troisième différence est que des attaques par ingénierie sociale supplémentaires sont possibles, comme le dépôt de clés USB. Vous pouvez d’ailleurs lire cet article qui détaille les attaques USB.

Mise en oeuvre

Lors de la préparation d’un audit de sécurité interne, la première étape est de définir le scénario d’intrusion. Le pentester se mettra-t-il dans la peau d’un stagiaire, d’un employé ou d’un visiteur ? Aura-t-il accès à une connexion filaire ou Wi-Fi ? Aura-t-il accès à un réseau réservé aux invités ou au réseau utilisé par les employés ? Plusieurs scénarios peuvent être choisis pour mener un audit le plus exhaustif possible.

Cartographie

Une fois sur place, le pentester commence à cartographier le réseau, à répertorier tous les serveurs, proxies, routeurs, postes de travail ou autres hôtes, accessibles. Même une imprimante peut être utilisée à des fins malveillantes en interceptant les documents en cours d’impression par exemple.

Vient ensuite une identification plus poussée des machines. Il faut déterminer leur type et leur rôle dans le réseau. Après cela, le pentester scanne les ports de tous les hôtes qu’il a trouvés à la recherche des services utilisés. Une énumération des utilisateurs du réseau est également faite.

Identification des vulnérabilités

Après le scan de ports, les versions des services et systèmes d’exploitation utilisés sont étudiées. Le pentester recherche celles qui ne sont plus à jour ou plus maintenues. Ne pas mettre à jour son matériel, c’est s’exposer à des vulnérabilités connues et souvent documentées, avec donc des attaques qui ont fait leurs preuves.

L’audit se poursuit par l’écoute du trafic sur le réseau avec un analyseur de paquet comme Wireshark. Certains protocoles de communication ne sont pas sécurisés mais continuent d’être utilisés. De la même manière, les communications Wi-Fi doivent être chiffrées afin de garantir que les données envoyées ne soient pas lisibles par un attaquant. Les méthodes de chiffrement comme le WEP (Wired Equivalent Privacy) et certaines versions du WPA (Wi-Fi Protected Access) sont facilement crackables.

Le pentester vérifie ensuite que les différents réseaux sont bien hermétiquement séparés les uns des autres. Il peut par exemple arriver que dans les zones réservées aux invités se trouvent des prises Ethernet oubliées et liées au réseau d’entreprise, annulant ainsi l’utilité d’un Wi-Fi dédié.

Exploitation des vulnérabilités

Une fois toutes les vulnérabilités énumérées, le pentester se lance dans leur exploitation en se concentrant sur les plus représentatives ou les plus intéressantes du point de vue d’un attaquant.

À partir des versions des services, il peut trouver les login et mots de passe par défaut des différents services et hôtes. Il arrive souvent que ces derniers ne soient pas modifiés. En interceptant le trafic réseau (avec par exemple de l’empoisonnement de cache ARP), des identifiants valides sont parfois récupérés.

Les mots de passe par défaut et ceux récupérés par interception sont testés. Des attaques ciblées contre les hôtes vulnérables sont lancées pour gagner en privilège dans le réseau et récupérer des données sensibles. D’autres attaques sont lancées pour vérifier à la fin de l’audit si elles ont été repérées par le système de défense du réseau de l’entreprise.

Que faire suite à l’audit ?

Une fois l’audit fini, la première chose à faire est de corriger les failles qui ont été détectées, c’est-à-dire faire des mises à jour, remplacer les systèmes trop vieux pour être gardés, s’assurer que les applications et le personnel n’ont accès qu’à ce dont ils ont besoin sur le réseau. Les droits de chacun doivent être gérés avec attention et le personnel doit être sensibilisé à la cybersécurité.

L’idéal, enfin, est de mettre en place un système de monitoring du réseau (IDS / IPS) afin que les activités suspectes, comme le scan de ports, soient repérées et bloquées.