Tests d'intrusion
Une intrusion suit habituellement à un certain scénario dont le but est défini par le client. Il peut être large, comme "Nous voulons savoir si un étranger peut accéder à des données confidentielles internes par le biais de l'Internet" ou peut être plus spécifique, par exemple : "Nous avons une application très sensible et voulons savoir si des utilisateurs non autorisés peuvent y accéder".Un test d'intrusion se déroule dans un cadre temporel prédéfini. Des limites peuvent être assignées à ce que les testeurs sont autorisés à faire. Par exemple, pas d'attaque par saturation, ou pas de piratage psychologique.
Les résultats de tests d'intrusion peuvent être très diversement utilisés dans une organisation soucieuse de sa sécurité. On peut citer comme exemples :
- Sensibilisation. Les résultats de tests d'intrusion peuvent constituer une révélation pour la société. La démonstration de "Voici comment on peut pénétrer dans le système de messagerie électronique et lire le courriel du PDG" tend à faire prendre conscience de la nécessité de mesures de sécurité. Un test peut aussi identifier des zones inquiétantes où des tests plus approfondis sont nécessaires.
- Test de réponse à des incidents. Un test d'intrusion simule une attaque pirate. Il met ainsi à l'épreuve les procédures de réponse aux incidents de l'organisation et de savoir si l'attaque a été perçue et comment le personnel a réagi.
- Mise en lumière des vulnérabilités. L'une des principales étapes de l'évaluation des risques est la mise en lumière des vulnérabilités. Les résultats d'un test d'intrusion peuvent apporter à cette étape des contributions importantes, en incluant des vulnérbilités qui ont été découvertes et dont la pertinence a été vérifiée (élimination des faux positifs).
- Probabilité d'attaque et évaluation d'impact. Une fois les vulnérabilités identifiées par une évaluation des risques, il faut mesurer la probabilité de leur occurrence et leurs impacts. Les résultats d'un test d'intrusion peuvent apporter des contributions utiles à ce processus, puisqu'ils sont fondés sur des outils et techniques de piratage et sont donc représentatifs d'un environnement de menace réel.