En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

Sécurité du Réseau Interne
Comprendre les Tests d’Intrusions

Nos auditeurs techniques ont l’opportunité de mener des tests d’intrusion internes au sein de diverses entreprises. Dans cet article, nous aborderons les tests d’intrusion internes, leur importance et leur rôle dans le renforcement de la sécurité des réseaux internes.

Maillon de chaine fragilisé dans univers numérique

< Retour

Thématique : Vulnérabilités

Type de contenu : Article

Qu’est-ce que le Test d’Intrusion Interne (TI) ?

Le Test d’Intrusion Interne est un exercice qui se déroule dans l’intégralité du réseau de l’entreprise audité. Nous nous mettons à la place d’un attaquant qui a réussi à se connecter au réseau via une prise Ethernet, le poste d’un utilisateur compromis ou même par le Wi-Fi de l’entreprise. Notre objectif est de découvrir les vulnérabilités et les failles potentielles qui pourraient être exploitées par de véritables cybercriminels qui se retrouveraient dans cette situation.

 

Quelles sont nos cibles ?

1. Active Directory : Le Graal des Tests d’Intrusion

La cible principale de nos tests d’intrusion internes est l’Active Directory (AD). Pourquoi ? Parce que l’AD est le cœur névralgique de l’infrastructure informatique d’une entreprise et donc une cible de choix pour un attaquant. Qu’un compte soit possédé ou non, notre but est d’identifier et de simuler des scénarios de compromission du domaine. Ces scénarios ressemblent à ce que ferait un ransomware : prendre le contrôle de tous les postes et serveurs de l’entreprise. Nous pouvons ainsi simuler l’intrusion d’un appareil malveillant dans le réseau ou la compromission d’un poste de travail suite à un phishing. Les résultats de ces tests permettent à l’entreprise de renforcer la sécurité de ses serveurs et des postes de travail en déployant des contre-mesures adaptées.

2. Défauts de Sécurité dans les Équipements Réseau

Outre l’AD, nous examinons également les défauts de sécurité qui peuvent être présents dans les équipements réseau. Cela inclut les imprimantes, les caméras de surveillance, mais surtout les routeurs, les pare-feux et la ségrégation du réseau du périmètre. Ces éléments sont souvent négligés, mais ils peuvent constituer une augmentation de la surface interne accessible aux attaquants après exploitation.

3. Sécurité des Réseaux Wi-Fi

Enfin, nous testons la sécurité des réseaux Wi-Fi. Ces derniers facilitent l’introduction d’appareils inconnus dans le réseau, et ils présentent souvent des vulnérabilités méconnues des utilisateurs. Cet exercice permet aussi d’identifier ces faiblesses et de proposer des solutions pour les corriger.

Comment réalisons-nous cet exercice ?

1. La reconnaissance

La première étape, commune à tout test d’intrusion, consiste à reconnaître les actifs à attaquer. Pour cela, nous effectuons des scans réseau approfondis. Nous cherchons à identifier les points d’entrée potentiels, les serveurs, les postes de travail et les équipements réseau.

2. Techniques d’attaque

Une fois les cibles identifiées, différentes techniques peuvent être utilisées :

Réseau bleuté parasité par un sous-réseau en rouge

Empoisonnement du trafic réseau :
Nous interceptons des identifiants en manipulant le trafic réseau.

 

Password écrit à la place de chiffre d'un système à code

Test de mots de passe :
Nous tentons de réutiliser ou de casser des mots de passe, permettant aussi d’évaluer la politique de mot de passe de l’entreprise.

Hacker devant un ordinateur avec du code en surimpression

Exploitation de vulnérabilités connues :
Nous exploitons des vulnérabilités publiques pour compromettre rapidement des serveurs ou des applications critiques pour l’entreprise.

Mains sur un clavier numérique avec identité sécurisé

Recherche d’identifiants :
Nous cherchons des identifiants laissés dans des partages de fichiers accessibles sur le réseau.

3. Déplacement Latéral et Atteinte des Systèmes Critiques

Une fois en possession d’identifiants, nous nous déplaçons horizontalement entre les serveurs et les postes de travail. Notre objectif est d’accéder à des identifiants privilégiés et finalement d’atteindre les systèmes critiques et nos cibles. Toutefois, le défi réside dans le fait de réaliser ces actions sans être détecté par les sondes réseau, les équipes de sécurité, les antivirus, voire même les solutions de détection et de réponse aux incidents (EDR). C’est la partie pimentée du test d’intrusion interne !

Enfin, nous ne négligeons pas les applications métiers, notamment celles accessibles via le web. Elles offrent souvent des opportunités de déplacement latéral dans le réseau et d’accès à des informations sensibles.
Pour résumer, les tests d’intrusion internes visent à identifier et évidemment à corriger les vulnérabilités les plus critiques qu’un attaquant exploiterait dès son intrusion dans le réseau. Que ce soit avec ou sans compte en sa possession, notre mission est de renforcer la sécurité de manière proactive.

Consulter notre offre de tests d’intrusion