{"id":3880,"date":"2021-07-01T11:10:06","date_gmt":"2021-07-01T09:10:06","guid":{"rendered":"https:\/\/www.vaadata.com\/blog\/?p=3880"},"modified":"2021-10-05T16:00:57","modified_gmt":"2021-10-05T14:00:57","slug":"pourquoi-il-est-important-de-tester-la-menace-interne-lors-dun-pentest","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/pourquoi-il-est-important-de-tester-la-menace-interne-lors-dun-pentest\/","title":{"rendered":"Pourquoi est-il important de tester la menace interne lors d\u2019un pentest ?"},"content":{"rendered":"\n<div class=\"wp-block-image\"><figure class=\"alignright size-large is-resized\"><img decoding=\"async\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/07\/insider-threat.jpg\" alt=\"tester-la-menace-interne-lors-dun-pentest\" class=\"wp-image-3900\" width=\"367\" height=\"184\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/07\/insider-threat.jpg 917w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/07\/insider-threat-300x150.jpg 300w\" sizes=\"(max-width: 367px) 100vw, 367px\" \/><\/figure><\/div>\n\n\n\n<p>Les risques \u00e9valu\u00e9s lors d\u2019un pentest se concentrent g\u00e9n\u00e9ralement sur les attaques perp\u00e9tr\u00e9es depuis l\u2019ext\u00e9rieur du syst\u00e8me d\u2019information. En effet, une approche classique consiste \u00e0 tester dans un premier temps les risques d\u2019attaques externes (pentest en boite noire), puis dans un second temps les risques d\u2019attaques \u00e0 partir d\u2019un acc\u00e8s client ou partenaire de l\u2019entreprise (pentest en boite grise).<\/p>\n\n\n\n<!--more-->\n\n\n\n<p>Les <strong>risques d\u2019attaques internes<\/strong>, notamment depuis un acc\u00e8s en tant que salari\u00e9 de l\u2019entreprise, sont fr\u00e9quemment consid\u00e9r\u00e9s comme moins importants. Hormis le fait que les attaques internes correspondent \u00e0 un volume d\u2019attaquants potentiels plus restreint, on peut supposer que <strong>la menace interne<\/strong> est sous-estim\u00e9e en partie \u00e0 cause de la confiance accord\u00e9e aux collaborateurs.<\/p>\n\n\n\n<p>Malheureusement, les actes malveillants commis par les collaborateurs d\u2019une entreprise sont de plus en plus nombreux, avec des cons\u00e9quences souvent plus graves, \u00e9tant donn\u00e9 la position privil\u00e9gi\u00e9e dont ils b\u00e9n\u00e9ficient et les informations auxquelles ils ont acc\u00e8s. D\u2019apr\u00e8s le <a href=\"https:\/\/www.cybersecurity-insiders.com\/portfolio\/2020-insider-threat-report-gurucul\/\" target=\"_blank\" rel=\"noreferrer noopener\">Insider Threat Report 2020<\/a>, pr\u00e8s de 70% des organisations interrog\u00e9es indiquent se sentir vuln\u00e9rables aux attaques internes, qu\u2019elles subissent par ailleurs plus fr\u00e9quemment.<\/p>\n\n\n\n<p><strong>\u00c9valuer et pr\u00e9venir la menace interne<\/strong> est donc indispensable pour toute organisation engag\u00e9e dans une d\u00e9marche de s\u00e9curit\u00e9. Et le <strong>pentest<\/strong> est l\u2019un des outils les plus efficaces pour identifier concr\u00e8tement l\u2019impact d\u2019une attaque interne. Nous proposons, dans cet article, d\u2019expliciter la nature des menaces internes et de pr\u00e9senter comment ce type de risque peut \u00eatre sp\u00e9cifiquement \u00e9valu\u00e9 lors d\u2019un pentest.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Qu\u2019est-ce qu\u2019une menace interne&nbsp;?<\/h2>\n\n\n\n<p>En cybers\u00e9curit\u00e9, une menace interne d\u00e9signe le risque informatique provenant des utilisateurs internes d\u2019une organisation ou d\u2019individus \u00e9troitement li\u00e9s \u00e0 cette derni\u00e8re. Ces utilisateurs peuvent \u00eatre des collaborateurs (actuels ou anciens), des clients, des&nbsp;prestataires, sous-traitants, partenaires, etc. Leur point commun&nbsp;: ils disposent d\u2019un acc\u00e8s direct ou indirect aux ressources de l\u2019organisation, qu\u2019ils peuvent utiliser intentionnellement ou non pour causer des dommages \u00e0 l\u2019infrastructure informatique et r\u00e9seau ou aux applications internes.<\/p>\n\n\n\n<p>Dans la pratique, les clients, prestataires, sous-traitants et partenaires sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9s avec un statut interm\u00e9diaire entre les attaquants externes et les utilisateurs internes du syst\u00e8me d\u2019information d\u2019une entreprise. Il est courant de ne pas n\u00e9gliger les risques provenant de clients et de partenaires, mais de se montrer plus laxistes sur les risques internes, notamment dans les entreprises de petite et moyenne taille.<\/p>\n\n\n\n<p>Par ailleurs, contrairement \u00e0 une id\u00e9e r\u00e9pandue, toutes les menaces internes ne r\u00e9sultent pas de motifs malveillants ou d\u2019actions intentionnelles. Dans de nombreux cas en effet, des incidents de s\u00e9curit\u00e9 surviennent en raison d\u2019une n\u00e9gligence humaine, d\u2019erreurs ou de non-respect des mesures de s\u00e9curit\u00e9 ad\u00e9quates. Clic sur un email de phishing, postes de travail non mis \u00e0 jour, mots de passe faibles, perte d\u2019un \u00e9quipement professionnel, etc. sont autant de vecteurs de risques potentiels qui peuvent compromettre les ressources d\u2019une organisation.<\/p>\n\n\n\n<p>Les menaces internes malveillantes quant \u00e0 elles sont g\u00e9n\u00e9ralement initi\u00e9es par deux profils types d\u2019utilisateurs&nbsp;: &nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>D\u2019un c\u00f4t\u00e9, il y a ceux attir\u00e9s par l\u2019app\u00e2t du gain, qui peuvent user de leurs acc\u00e8s pour voler des donn\u00e9es sensibles, des documents strat\u00e9giques ou des propri\u00e9t\u00e9s intellectuelles (code source d\u2019une application par exemple) pour les revendre sur le march\u00e9 noir ou pour les utiliser \u00e0 des fins personnelles.<\/li><li>De l\u2019autre, il y a la menace provenant d\u2019attaquants internes motiv\u00e9s par la malveillance \u00e0 l\u2019\u00e9gard de leur employeur ou par le d\u00e9sir de vengeance, qui profitent de leur acc\u00e8s privil\u00e9gi\u00e9 aux ressources de l\u2019entreprise pour porter pr\u00e9judice \u00e0 celle-ci.<\/li><\/ul>\n\n\n\n<p>Aucune entreprise n\u2019est \u00e0 l\u2019abri de potentielles menaces internes, qu\u2019elles soient intentionnelles ou non. Cependant le risque est plus grand dans les entreprises&nbsp;de grandes tailles, celles avec un turnover \u00e9lev\u00e9, et, naturellement, celles qui ne sensibilisent pas &#8211; ou pas&nbsp;assez efficacement du moins &#8211; leurs collaborateurs sur les questions de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n<p>Au-del\u00e0 de l\u2019identification des risques internes et de la mise en place de contr\u00f4les ad\u00e9quats, il est possible via le pentest de simuler une attaque interne afin de mesurer l\u2019impact r\u00e9el et, dans le m\u00eame temps, tester concr\u00e8tement l\u2019efficacit\u00e9 des protections mises en place.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Types d\u2019attaques internes r\u00e9alis\u00e9es lors d\u2019un pentest<\/h2>\n\n\n\n<p>En fournissant aux pentesters les m\u00eames acc\u00e8s qu\u2019un salari\u00e9 de l\u2019entreprise, ceux-ci pourront simuler un attaquant interne malveillant et tenter d\u2019acc\u00e9der \u00e0 des ressources qui ne devraient pas leur \u00eatre accessibles.<\/p>\n\n\n\n<p>Le type de tests effectu\u00e9s va d\u00e9pendre de la cible du pentest&nbsp;: application web, infrastructure r\u00e9seau, facteurs humains (ing\u00e9nierie sociale), etc.<\/p>\n\n\n\n<h3 class=\"has-text-color wp-block-heading\" style=\"color:#d6e322\">Pentest d\u2019application web<\/h3>\n\n\n\n<p>Pour un <a href=\"https:\/\/www.vaadata.com\/fr\/pentest-web\/\" target=\"_blank\" rel=\"noreferrer noopener\">pentest d\u2019application web<\/a>, les pentesters auront acc\u00e8s&nbsp;\u00e0 un niveau de droit standard, s\u2019il s\u2019agit d\u2019une solution utilis\u00e9e en interne, ou auront acc\u00e8s au back-office, s\u2019il s\u2019agit d\u2019une plateforme utilis\u00e9e par des clients BtoB ou BtoC.<\/p>\n\n\n\n<p>Si la solution est utilis\u00e9e en interne&nbsp;: l\u2019objectif est d\u2019aller plus loin que les tests en boite noire, et de trouver des failles accessibles \u00e0 un utilisateur authentifi\u00e9. Cela permet notamment de v\u00e9rifier le bon cloisonnement des niveaux de droits, de tester les possibilit\u00e9s de comportement non conforme ainsi que l\u2019ensemble des failles techniques qui pourraient \u00eatre exploit\u00e9es par une personne malveillante.<\/p>\n\n\n\n<p>Pour une plateforme utilis\u00e9e par des clients&nbsp;: avoir acc\u00e8s au back-office est pertinent notamment s\u2019il existe plusieurs niveaux de privil\u00e8ges pour les utilisateurs du back-office, afin de tester les cloisonnements. Dans le cas contraire, avoir acc\u00e8s au back-office peut pr\u00e9senter un int\u00e9r\u00eat pour tester les possibilit\u00e9s d\u2019acc\u00e8s \u00e0 d\u2019autres pans du SI. Cela peut permettre de tester les risques en cas de prise de contr\u00f4le du back-office par un attaquant, que ce soit via l\u2019exploitation d\u2019une faille technique ou via un vol d\u2019identifiants.<\/p>\n\n\n\n<p>Un exemple couramment constat\u00e9 aupr\u00e8s de nos clients est d\u2019avoir une plateforme web s\u00e9curis\u00e9e lorsqu\u2019elle est \u00e0 destination de clients BtoB ou BtoC. Les applications \u00e0 usage interne (une application back-office par exemple) sont quant \u00e0 elles g\u00e9n\u00e9ralement solide face aux attaques externes. En revanche, d\u00e8s l\u2019authentification en tant qu\u2019utilisateur interne ou administrateur, il est tr\u00e8s fr\u00e9quent de constater \u00e0 la fois un manque de granularit\u00e9 et un manque de vigilance sur les failles de s\u00e9curit\u00e9.<\/p>\n\n\n\n<p>Dans certains cas, les applications \u00e0 usage interne sont mal prot\u00e9g\u00e9es y compris face aux attaques externes, parce qu\u2019elles ne sont pas identifi\u00e9es comme \u00e9tant \u00e0 prot\u00e9ger, consid\u00e9r\u00e9es comme peu sensibles ou non r\u00e9pertori\u00e9es comme \u00e9l\u00e9ment expos\u00e9 en ligne. Or, la prise de contr\u00f4le d\u2019une application web vuln\u00e9rable peut repr\u00e9senter un risque important, si celle-ci se trouve sur le m\u00eame serveur que d\u2019autres applications web ou si elle communique avec d\u2019autres \u00e9l\u00e9ments.<\/p>\n\n\n\n<h3 class=\"has-text-color wp-block-heading\" style=\"color:#d6e322\">Pentest de r\u00e9seau interne &nbsp;<\/h3>\n\n\n\n<p>Un <a href=\"https:\/\/www.vaadata.com\/fr\/pentest-infrastructure-reseau\/\" target=\"_blank\" rel=\"noreferrer noopener\">pentest de r\u00e9seau interne<\/a> inclut g\u00e9n\u00e9ralement la prise en compte de la menace interne. Il est tr\u00e8s rare en effet que les tests se limitent aux risques d\u2019attaques externes (test d\u2019intrusion r\u00e9seau en boite noire), permettant notamment de tester les possibilit\u00e9s d\u2019acc\u00e8s au r\u00e9seau WI-FI sans identifiant de connexion. Dans ce cas de figure, des vuln\u00e9rabilit\u00e9s au niveau des technologies utilis\u00e9es (WEP\/WPS\/WPA) ou des attaques par force brute peuvent permettre \u00e0 un attaquant externe d\u2019acc\u00e9der \u00e0 votre r\u00e9seau.<\/p>\n\n\n\n<p>G\u00e9n\u00e9ralement, pour des tests sur le r\u00e9seau interne, les pentesters disposent d\u2019acc\u00e8s au moins \u00e9quivalents \u00e0 ceux des collaborateurs ayant un niveau minimum de droits sur le SI de l\u2019entreprise&nbsp;: poste de travail, compte standard sur le domaine, acc\u00e8s au r\u00e9seau filaire et\/ou WI-FI, etc. Cela permet de tester le cloisonnement des droits (possibilit\u00e9s d\u2019acc\u00e8s \u00e0 des ressources critiques ou de prise de contr\u00f4le de serveurs ou de postes administrateurs, etc.), ainsi que toutes les vuln\u00e9rabilit\u00e9s techniques qui pourraient \u00eatre exploit\u00e9es par un collaborateur malveillant ou un attaquant externe ayant obtenu un acc\u00e8s \u00e0 votre r\u00e9seau.<\/p>\n\n\n\n<p>N\u00e9anmoins, les risques d\u2019attaques internes par des utilisateurs disposant de plus de privil\u00e8ges sur le SI de l\u2019entreprise ne doivent pas \u00eatre n\u00e9glig\u00e9s ou sous-estim\u00e9s, comme nous l\u2019observons souvent. En effet, toute personne peut constituer une menace, et dans la plupart des \u00e9quipes IT par exemple, les utilisateurs ne disposent pas tous d\u2019un niveau d\u2019acc\u00e8s maximum. Ainsi, fournir diff\u00e9rents types d\u2019acc\u00e8s (acc\u00e8s collaborateur standard comme des acc\u00e8s sp\u00e9cifiques plus \u00e9lev\u00e9s) permet une analyse plus d\u00e9taill\u00e9e et plus compl\u00e8te des risques d\u2019attaques internes. Ceci est d\u2019autant plus pertinent et important si l\u2019entreprise a mis en place des cloisonnements sp\u00e9cifiques par type de m\u00e9tier (r\u00e9seau s\u00e9par\u00e9, acc\u00e8s \u00e0 des outils sp\u00e9cifiques, etc.).<\/p>\n\n\n\n<h3 class=\"has-text-color wp-block-heading\" style=\"color:#d6e322\">Pentest d\u2019ing\u00e9nierie sociale<\/h3>\n\n\n\n<p>Lors d\u2019un <a href=\"https:\/\/www.vaadata.com\/fr\/pentest-ingenierie-sociale\/\" target=\"_blank\" rel=\"noreferrer noopener\">pentest d\u2019ing\u00e9nierie sociale<\/a>, les pentesters auront acc\u00e8s au m\u00eame niveau d\u2019information que les collaborateurs de l\u2019entreprise. Selon les cas de figure, cela peut \u00eatre&nbsp;: liste compl\u00e8te des noms, pr\u00e9noms, fonctions et coordonn\u00e9es, adresses email, d\u00e9tails internes du fonctionnement de certaines \u00e9quipes, informations pr\u00e9cises sur les outils internes et les technologies utilis\u00e9es.<\/p>\n\n\n\n<p>En principe, le niveau d\u2019information fourni aux pentesters va d\u00e9pendre de ce qu\u2019on veut tester comme niveau de menace interne. Donner un maximum d\u2019information peut fausser les tests, car, la plupart du temps, les attaques internes s\u2019appuient sur une connaissance partielle (ou imparfaite) de l\u2019entreprise. C\u2019est pourquoi il est int\u00e9ressant de fournir uniquement les informations dont disposent r\u00e9ellement les collaborateurs (activit\u00e9 de l\u2019entreprise, outils internes, organigrammes, coordonn\u00e9es) afin que les pentesters puissent construire et ex\u00e9cuter des sc\u00e9narios d\u2019attaque r\u00e9alistes. &nbsp;<\/p>\n\n\n\n<p>Exemples concrets de tests d\u2019ing\u00e9nierie sociale qui correspondent \u00e0 des risques provenant d\u2019un attaquant interne ou d\u2019une personne ayant obtenu des informations sur l\u2019entreprise&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Rebondir sur&nbsp;l\u2019actualit\u00e9 interne de l\u2019entreprise pour amener des personnes \u00e0 ouvrir un fichier pi\u00e9g\u00e9 envoy\u00e9 par email.<\/li><li>Utiliser la connaissance des relations entre les diff\u00e9rents services de l\u2019entreprise et les personnes qui y travaillent pour usurper une identit\u00e9.<\/li><li>Conna\u00eetre les outils utilis\u00e9s en interne pour les cloner et tenter de voler des identifiants.<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Les risques \u00e9valu\u00e9s lors d\u2019un pentest se concentrent g\u00e9n\u00e9ralement sur les attaques perp\u00e9tr\u00e9es depuis l\u2019ext\u00e9rieur du syst\u00e8me d\u2019information. En effet, une approche classique consiste \u00e0 tester dans un premier temps les risques d\u2019attaques externes (pentest en boite noire), puis dans un second temps les risques d\u2019attaques \u00e0 partir d\u2019un acc\u00e8s client ou partenaire de l\u2019entreprise<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":{"0":"post-3880","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-solutions-fr"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/3880","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=3880"}],"version-history":[{"count":7,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/3880\/revisions"}],"predecessor-version":[{"id":4204,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/3880\/revisions\/4204"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=3880"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=3880"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=3880"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}