Article de reference

Test de pénétration

Un test d'intrusion , communément appelé pentest , est une cyberattaque simulée autorisée sur un système informatique, réalisée en temps réel pour évaluer la sécurité du système...

Un test d'intrusion , communément appelé pentest , est une cyberattaque simulée autorisée sur un système informatique, réalisée en temps réel pour évaluer la sécurité du système. Le test est effectué pour identifier les faiblesses (ou vulnérabilités ), y compris le potentiel pour des parties non autorisées d'accéder aux fonctionnalités et aux données du système, ainsi que ses points forts, permettant ainsi de réaliser une évaluation complète des risques.

Le processus consiste généralement à identifier les systèmes cibles et un objectif précis, puis à examiner les informations disponibles et à mettre en œuvre différents moyens pour atteindre cet objectif. Une cible de test d'intrusion peut être une boîte blanche (dont le contexte et les informations système sont fournis au testeur à l'avance) ou une boîte noire (dont seules les informations de base, hormis le nom de l'entreprise, sont fournies). Un test d'intrusion en boîte grise combine les deux (l'auditeur ne partageant que des informations limitées sur la cible). Il existe différents types de tests d'intrusion, selon l'objectif de l'organisation : réseaux (externes et internes), réseaux sans fil, applications web, ingénierie sociale et vérification de la remédiation. Un test d'intrusion permet d'identifier les vulnérabilités d'un système et d'estimer son niveau de vulnérabilité.

Le Centre national britannique de cybersécurité ( NCSC) définit les tests d'intrusion comme suit : « Une méthode permettant de s'assurer de la sécurité d'un système informatique en tentant de compromettre tout ou partie de sa sécurité, à l'aide des mêmes outils et techniques qu'un adversaire pourrait utiliser. » Les tests d'intrusion font partie intégrante d'un audit de sécurité complet . Par exemple, la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) exige des tests d'intrusion réguliers et après toute modification du système. Les tests d'intrusion peuvent également étayer les évaluations des risques, comme le décrit le cadre de gestion des risques du NIST (SP 800-53).

Il existe plusieurs cadres et méthodologies standardisés pour la réalisation de tests d'intrusion. Parmi ceux-ci figurent l'Open Source Security Testing Methodology Manual (OSSTMM), le Penetration Testing Execution Standard (PTES), la publication spéciale 800-115 du NIST , l'Information System Security Assessment Framework (ISSAF) et le guide de test OWASP . CREST, une association professionnelle à but non lucratif du secteur de la cybersécurité technique, propose la norme CREST Defensible Penetration Test, qui fournit au secteur des recommandations pour une activité d'assurance commercialement raisonnable lors de la réalisation de tests d'intrusion.

Depuis 2017, le terme « test d’intrusion en tant que service » (PTaaS) s’est popularisé. Il s’agit d’utiliser une plateforme pour lancer un test, en alternative au recours à des consultants.

But

Les objectifs d’un test d’intrusion varient selon le type d’activité approuvée pour chaque mission. L’objectif principal est de déceler les vulnérabilités susceptibles d’être exploitées par un acteur malveillant et d’en informer le client, en lui proposant des stratégies d’atténuation. Les rapports de test d’intrusion peuvent également évaluer les impacts potentiels sur l’organisation et suggérer des contre-mesures pour réduire les risques.

Histoire

Au milieu des années 1960, la popularité croissante des systèmes informatiques à temps partagé , qui permettaient d'accéder aux ressources via des lignes de communication, a engendré de nouvelles préoccupations en matière de sécurité. Comme l'expliquent les chercheurs Deborah Russell et GT Gangemi Sr., « les années 1960 ont marqué le véritable début de l'ère de la sécurité informatique »

En juin 1965, par exemple, plusieurs des plus grands experts américains en sécurité informatique ont tenu l'une des premières grandes conférences sur la sécurité des systèmes, organisée par le prestataire du gouvernement, la System Development Corporation (SDC). Au cours de cette conférence, il a été constaté qu'un employé de la SDC avait facilement réussi à contourner diverses mesures de sécurité ajoutées au système informatique à temps partagé AN/FSQ-32 de la SDC. Espérant que des études plus approfondies sur la sécurité des systèmes seraient utiles, les participants ont demandé que « des études soient menées dans des domaines tels que le contournement des protections de sécurité du système à temps partagé ». Autrement dit, les participants à la conférence ont formulé l'une des premières demandes officielles visant à utiliser les tests d'intrusion informatique comme outil d'étude de la sécurité des systèmes.

Lors de la Conférence conjointe sur l'informatique du printemps 1968, de nombreux spécialistes de renom se sont réunis pour discuter des problèmes de sécurité des systèmes. Au cours de cette conférence, les experts en sécurité informatique Willis Ware , Harold Petersen et Rein Turn, tous de la RAND Corporation , ainsi que Bernard Peters de la National Security Agency (NSA), ont utilisé le terme « pénétration » pour décrire une attaque contre un système informatique. Dans un article, Ware a évoqué les systèmes de temps partagé accessibles à distance utilisés par l'armée, avertissant que « des tentatives délibérées de pénétrer de tels systèmes informatiques doivent être anticipées ». Ses collègues Petersen et Turn partageaient les mêmes préoccupations, observant que les systèmes de communication en ligne « …sont vulnérables aux menaces à la vie privée », y compris « la pénétration délibérée ». Bernard Peters de la NSA a fait la même remarque, insistant sur le fait que les entrées et sorties informatiques « …pourraient fournir une grande quantité d'informations à un programme malveillant ». Au cours de la conférence, la pénétration informatique a été formellement identifiée comme une menace majeure pour les systèmes informatiques en ligne.

La menace que représentait l'intrusion informatique a ensuite été exposée dans un rapport majeur commandé par le département de la Défense des États-Unis (DoD) fin 1967. Concrètement, les responsables du DoD ont fait appel à Willis Ware pour diriger un groupe de travail composé d'experts de la NSA, de la CIA , du DoD, du monde universitaire et de l'industrie, afin d'évaluer formellement la sécurité des systèmes informatiques à temps partagé. S'appuyant sur de nombreux documents présentés lors de la Conférence conjointe sur l'informatique du printemps 1967, le groupe de travail a largement confirmé la menace que l'intrusion informatique faisait peser sur la sécurité des systèmes. Le rapport de Ware a d'abord été classifié, mais nombre des plus grands experts informatiques du pays l'ont rapidement reconnu comme le document de référence en matière de sécurité informatique. Plus récemment , Jeffrey R. Yost, de l' Institut Charles Babbage, a décrit le rapport Ware comme « …de loin l'étude la plus importante et la plus approfondie sur les questions techniques et opérationnelles relatives aux systèmes informatiques sécurisés de son époque. » De fait, le rapport Ware a réaffirmé la menace majeure que représentait l'intrusion informatique pour les nouveaux systèmes informatiques à temps partagé en ligne.

Afin de mieux comprendre les faiblesses des systèmes, le gouvernement fédéral et ses contractants ont rapidement commencé à organiser des équipes de spécialistes en intrusion, connues sous le nom de « tiger teams » , chargées de tester la sécurité des systèmes informatiques par le biais de tests d'intrusion. Deborah Russell et GT Gangemi Sr. ont déclaré que dans les années 1970, « les “tiger teams” ont fait leur apparition dans le domaine informatique. Ces équipes, parrainées par le gouvernement et l'industrie, étaient composées de pirates informatiques qui tentaient de contourner les défenses des systèmes informatiques afin de découvrir, et finalement de corriger, les failles de sécurité. »

Donald MacKenzie, éminent spécialiste de l'histoire de la sécurité informatique, souligne également que « la RAND Corporation a mené, pour le compte du gouvernement, des études d'intrusion (expériences de contournement des contrôles de sécurité informatique) sur les premiers systèmes à temps partagé » Jeffrey R. Yost, du Charles Babbage Institute, reconnaît lui aussi, dans ses travaux sur l'histoire de la sécurité informatique, que la RAND Corporation et la SDC ont « réalisé certaines des premières études d'intrusion visant à infiltrer les systèmes à temps partagé afin d'en tester la vulnérabilité » . Dans la quasi-totalité de ces premières études, des équipes d'experts ont réussi à pénétrer tous les systèmes informatiques ciblés, les systèmes à temps partagé du pays étant faiblement protégés.

Parmi les premières actions menées par les équipes d'intervention rapide, les travaux de la RAND Corporation ont démontré l'utilité des tests d'intrusion comme outil d'évaluation de la sécurité des systèmes. À l'époque, un analyste de la RAND a noté que les tests avaient « démontré la praticité des tests d'intrusion comme outil d'évaluation de l'efficacité et de la pertinence des mesures de sécurité des données mises en œuvre ». De plus, plusieurs analystes de la RAND ont insisté sur le fait que les exercices de tests d'intrusion offraient tous de nombreux avantages justifiant leur utilisation continue. Comme ils l'ont noté dans un article : « Un testeur d'intrusion semble développer un état d'esprit diabolique dans sa recherche des faiblesses et des lacunes du système d'exploitation , ce qui est difficile à imiter. » Pour ces raisons, et d'autres encore, de nombreux analystes de la RAND ont recommandé la poursuite de l'étude des techniques d'intrusion pour leur utilité dans l'évaluation de la sécurité des systèmes.

James P. Anderson était l'un des plus grands experts en intrusion informatique durant ces années formatrices. Il avait collaboré avec la NSA, RAND et d'autres agences gouvernementales pour étudier la sécurité des systèmes. Début 1971, l'US Air Force confia à sa société privée une étude de sécurité de son système de temps partagé au Pentagone. Dans son étude, Anderson mit en évidence plusieurs facteurs clés de l'intrusion informatique et décrivit une séquence d'attaque générale en plusieurs étapes :

  1. Trouver une vulnérabilité exploitable.
  2. Concevoir une attaque autour de cette faille.
  3. Tester l'attaque.
  4. Saisissez une ligne en cours d'utilisation.
  5. L'attaque commence.
  6. Exploiter cette faille pour récupérer des informations.

Au fil du temps, la description par Anderson des étapes générales d'une intrusion informatique a guidé de nombreux autres experts en sécurité, qui se sont appuyés sur cette technique pour évaluer la sécurité des systèmes informatiques à temps partagé.

Au cours des années suivantes, les tests d'intrusion informatique, en tant qu'outil d'évaluation de la sécurité, se sont perfectionnés et sophistiqués. Au début des années 1980, le journaliste William Broad a brièvement résumé les efforts déployés par les équipes d'intervention spéciales pour évaluer la sécurité des systèmes. Comme l'a rapporté Broad, le rapport commandé par le département de la Défense et rédigé par Willis Ware « …a démontré comment des espions pouvaient s'introduire activement dans des ordinateurs, voler ou copier des fichiers électroniques et contourner les dispositifs protégeant normalement les informations ultrasecrètes. Cette étude a déclenché plus d'une décennie d'activités discrètes menées par des groupes d'informaticiens d'élite travaillant pour le gouvernement, qui ont tenté de pénétrer des systèmes informatiques sensibles. Ils ont réussi à chaque fois. »

Bien que ces différentes études aient pu laisser penser que la sécurité informatique aux États-Unis demeurait un problème majeur, le chercheur Edward Hunt a récemment soulevé une question plus générale concernant l'étude approfondie de la pénétration informatique en tant qu'outil de sécurité. Dans un article récent sur l'histoire des tests d'intrusion, Hunt suggère que le secteur de la défense a finalement « créé nombre des outils utilisés dans la cyberguerre moderne », en définissant et en étudiant avec soin les nombreuses façons dont les pirates informatiques pouvaient s'introduire dans les systèmes ciblés.

Outils

Une grande variété d' outils d'évaluation de la sécurité sont disponibles pour aider aux tests d'intrusion, y compris des logiciels gratuits et des logiciels commerciaux .

méthodologie de l'hypothèse de défaut

La méthodologie d'hypothèses de failles est une technique d'analyse de systèmes et de prédiction de pénétration qui consiste à établir une liste de failles hypothétiques dans un système logiciel à partir de l'analyse de ses spécifications et de sa documentation. Cette liste est ensuite hiérarchisée en fonction de la probabilité estimée de l'existence réelle de chaque faille et de la facilité d'exploitation, jusqu'à l'obtention d'un contrôle ou d'une compromission. La liste hiérarchisée ainsi obtenue oriente les tests du système.

Distributions de systèmes d'exploitation spécialisées

Plusieurs distributions de systèmes d'exploitation sont conçues pour les tests d'intrusion. Ces distributions contiennent généralement un ensemble d'outils préinstallés et préconfigurés. Le testeur d'intrusion n'a pas à rechercher chaque outil individuellement, ce qui pourrait accroître le risque de complications, telles que des erreurs de compilation, des problèmes de dépendances et des erreurs de configuration. De plus, l'acquisition d'outils supplémentaires peut s'avérer peu pratique dans le contexte du testeur.

Voici quelques exemples notables de systèmes d'exploitation utilisés pour les tests d'intrusion :

De nombreux autres systèmes d'exploitation spécialisés facilitent les tests d'intrusion, chacun étant plus ou moins dédié à un domaine spécifique. Plusieurs distributions Linux intègrent des vulnérabilités connues au niveau du système d'exploitation et des applications, et peuvent servir de cibles d'entraînement. Ces systèmes permettent aux nouveaux professionnels de la sécurité de tester les outils de sécurité les plus récents dans un environnement de laboratoire. On peut citer par exemple Damn Vulnerable Linux (DVL), l'environnement de test web OWASP (WTW) et Metasploitable.

cadres logiciels

Outils matériels

Il existe des outils matériels spécifiquement conçus pour les tests d'intrusion. Cependant, tous les outils utilisés dans ce contexte ne sont pas spécifiquement destinés à cette tâche. Certains appareils, comme les équipements de mesure et de débogage, sont détournés de leur usage initial pour les tests d'intrusion en raison de leurs fonctionnalités avancées et de leur polyvalence.

  • Proxmark3 — outil matériel multifonctionnel pour l'analyse de sécurité de l'identification par radiofréquence (RFID).
  • BadUSB — ensemble d'outils permettant d'exploiter les vulnérabilités des périphériques USB pour injecter des frappes de touches ou des charges utiles malveillantes.
  • Flipper Zero — un appareil multifonctionnel portable et open source permettant de réaliser des tests d'intrusion sur des protocoles sans fil tels que Sub-GHz, RFID, NFC, infrarouge et Bluetooth.
  • Raspberry Pi — un ordinateur monocarte compact et polyvalent, couramment utilisé dans les tests d'intrusion pour des tâches telles que la reconnaissance et l'exploitation de réseaux.
  • SDR (Software-defined Radio) — outil polyvalent pour analyser et attaquer les communications et les protocoles radio, notamment l'interception, l'émulation, le décodage et la transmission des signaux.
  • ChipWhisperer — un outil matériel spécialisé pour les attaques par canaux auxiliaires, permettant l'analyse des implémentations cryptographiques et des vulnérabilités via la consommation d'énergie ou les émissions électromagnétiques.

phases des tests d'intrusion

Le processus de test d'intrusion peut être simplifié en sept phases :

  1. Reconnaissance : Action de recueillir des informations importantes sur un système cible. Ces informations peuvent être utilisées pour mieux attaquer la cible. Par exemple, les moteurs de recherche open source peuvent servir à trouver des données exploitables dans une attaque d’ingénierie sociale .
  2. Analyse du système : utilise des outils techniques pour approfondir la connaissance du système par l’attaquant. Par exemple, Nmap peut être utilisé pour rechercher les ports ouverts.
  3. Obtention d'un accès : Grâce aux données recueillies lors des phases de reconnaissance et d'analyse, l'attaquant peut utiliser un programme malveillant pour exploiter le système ciblé. Par exemple, Metasploit permet d'automatiser les attaques sur les vulnérabilités connues. Une fois une vulnérabilité exploitée, l'attaquant peut accéder à d'autres machines et le processus se répète : il recherche de nouvelles vulnérabilités et tente de les exploiter. Ce processus est appelé « pivotement ».
  4. Maintien de l'accès : Le maintien de l'accès nécessite de prendre les mesures nécessaires pour pouvoir rester en permanence dans l'environnement cible afin de collecter le maximum de données possible.
  5. Effacement des traces : L'attaquant doit effacer toute trace de compromission du système de la victime, tout type de données collectées, les événements de journalisation, afin de rester anonyme.
  6. Rapports : Les vulnérabilités sont classées à l’aide d’une matrice de risques et documentées dans un rapport contenant un résumé, une description de la vulnérabilité et des recommandations pour sa correction.
  7. Remédiation et nouveaux tests : Une fois que l’organisation cible a évalué le rapport de test d’intrusion et corrigé les éléments en fonction de son appétit pour le risque interne, un nouveau test de ces vulnérabilités est effectué afin de confirmer que la remédiation a été réussie, et un rapport de nouveau test réduit est fourni présentant les résultats.

Tests DDoS continus

La fréquence et l'ampleur croissantes des attaques par déni de service distribué (DDoS), qui ont plus que doublé en 2025 pour atteindre plus de 47 millions, avec des attaques hypervolumétriques en croissance de 700 % d'une année sur l'autre , ont suscité un intérêt pour les approches continues de validation de la sécurité DDoS.

Contrairement aux tests d'intrusion classiques, généralement effectués lors de fenêtres de maintenance planifiées, les tests DDoS continus consistent en des simulations continues et à faible impact de trafic DDoS contre des environnements de production ou équivalents, afin de valider les défenses aux niveaux réseau (L3), transport (L4) et application (L7). Les fournisseurs de plateformes cloud, tels que Microsoft Azure, ont intégré les tests DDoS continus à leurs écosystèmes de sécurité et proposent des partenaires de simulation agréés, notamment MazeBolt, Red Button et RedWolf, pour une utilisation sur des environnements protégés.

Cette approche s'inscrit dans le cadre plus large de la gestion continue de l'exposition aux menaces (CTEM), un cadre introduit par Gartner en 2022 qui préconise l'identification, la priorisation et la validation continues des vulnérabilités de sécurité plutôt que des évaluations périodiques. Gartner estime que les organisations adoptant des programmes de gestion continue de l'exposition auront trois fois moins de risques de subir une violation de données d'ici 2026. Les partisans des tests DDoS continus soutiennent qu'ils pallient les limites des évaluations ponctuelles, notamment la détection des dérives de configuration dans l'infrastructure de protection et la production de preuves vérifiables à des fins de gouvernance et de conformité réglementaire.

vulnérabilités

Les opérations légales permettant à un testeur d'exécuter une opération illégale incluent les commandes SQL non échappées, les mots de passe hachés non modifiés dans les projets dont le code source est visible, les relations humaines et les anciennes fonctions de hachage ou cryptographiques. Une seule faille peut ne pas suffire à permettre une exploitation critique. Il est presque toujours nécessaire d'exploiter plusieurs failles connues et de structurer la charge utile de manière à ce qu'elle apparaisse comme une opération valide. Metasploit fournit une bibliothèque Ruby pour les tâches courantes et maintient une base de données d'exploits connus.

Lorsque le budget et le temps sont limités, le fuzzing est une technique courante pour découvrir les vulnérabilités. Son objectif est de provoquer une erreur non gérée par le biais d'entrées aléatoires. Le testeur utilise ces entrées aléatoires pour accéder aux chemins d'exécution les moins fréquemment utilisés. Les chemins d'exécution les plus fréquentés sont généralement exempts d'erreurs. Les erreurs sont utiles car elles révèlent soit davantage d'informations, comme les plantages de serveur HTTP avec leurs traces d'exécution complètes, soit sont directement exploitables, comme les dépassements de tampon .

Imaginez un site web comportant 100 champs de saisie de texte. Certains sont vulnérables aux injections SQL sur certaines chaînes de caractères. En soumettant des chaînes aléatoires dans ces champs pendant un certain temps, on devrait atteindre le chemin de code vulnérable. L'erreur se manifeste par une page HTML partiellement affichée et corrompue en raison d'une erreur SQL. Dans ce cas, seuls les champs de texte sont considérés comme des flux d'entrée. Cependant, les systèmes logiciels possèdent de nombreux flux d'entrée possibles, tels que les cookies et les données de session, le flux de fichiers téléchargés, les canaux RPC ou la mémoire. Des erreurs peuvent survenir dans n'importe lequel de ces flux. L'objectif du test est d'abord de provoquer une erreur non gérée, puis de comprendre la faille à partir du cas de test ayant échoué. Les testeurs développent un outil automatisé pour tester leur compréhension de la faille jusqu'à ce qu'elle soit correcte. Ensuite, il peut devenir évident comment encapsuler la charge utile pour que le système cible déclenche son exécution. Si cette approche n'est pas viable, on peut espérer qu'une autre erreur produite par le fuzzer s'avère plus fructueuse. L'utilisation d'un fuzzer permet de gagner du temps en évitant de tester des chemins de code où les exploits sont peu probables.

Charge utile

L'opération illégale, ou charge utile dans la terminologie Metasploit, peut inclure des fonctions permettant d'enregistrer les frappes au clavier, de prendre des captures d'écran, d'installer des logiciels publicitaires , de voler des identifiants, de créer des portes dérobées à l'aide de shellcode ou de modifier des données. Certaines entreprises gèrent d'importantes bases de données d'exploits connus et proposent des produits qui testent automatiquement les systèmes cibles afin d'y détecter les vulnérabilités.

Services de tests d'intrusion standardisés pour les gouvernements

L’ Administration des services généraux (GSA) a standardisé le service de « test d’intrusion » en tant que service de soutien pré-validé, afin de remédier rapidement aux vulnérabilités potentielles et de stopper les adversaires avant qu’ils n’affectent les administrations fédérales, étatiques et locales américaines. Ces services sont généralement désignés sous le nom de Services de cybersécurité hautement adaptatifs (HACS) et sont répertoriés sur le site web US GSA Advantage.

Cette initiative a permis d'identifier des prestataires de services clés, dont les compétences techniques ont été rigoureusement évaluées, afin de garantir la fourniture de ces services de pénétration de données avancés. Ce service de la GSA vise à accélérer la commande et le déploiement de ces services, à réduire la duplication des contrats du gouvernement américain et à protéger et soutenir l'infrastructure américaine de manière plus efficace et plus rapide.

Les tests d'intrusion (norme 132-45A ) sont des tests de sécurité où des évaluateurs de services simulent des attaques réelles afin d'identifier les méthodes permettant de contourner les dispositifs de sécurité d'une application, d'un système ou d'un réseau. Les services de tests d'intrusion de HACS évaluent généralement l'efficacité des mesures de sécurité préventives et de détection mises en œuvre par l'organisation pour protéger ses actifs et ses données. Dans le cadre de ce service, des hackers éthiques certifiés mènent généralement une attaque simulée sur un ou plusieurs systèmes, applications ou autre cible de l'environnement, à la recherche de failles de sécurité. Après les tests, ils documentent les vulnérabilités et indiquent quelles défenses sont efficaces et lesquelles peuvent être contournées ou exploitées.

Au Royaume-Uni, les services de tests d’intrusion sont standardisés par des organismes professionnels travaillant en collaboration avec le Centre national de cybersécurité.

Les résultats des tests d'intrusion varient en fonction des normes et des méthodologies utilisées. Il existe cinq normes de tests d'intrusion : Open Source Security Testing Methodology Manual (OSSTMM), Open Web Application Security Project (OWASP), National Institute of Standards and Technology (NIST00), Information System Security Assessment Framework (ISSAF) et Penetration Testing Methodologies and Standards (PTES).

Aux États-Unis, dans le secteur de la santé, les tests d'intrusion sont de plus en plus reconnus comme un élément essentiel de la conformité réglementaire. Si la version initiale de la règle de sécurité de la loi HIPAA ( Health Insurance Portability and Accountability Act ) de 2003 exigeait des entités concernées qu'elles réalisent des analyses de risques sans pour autant imposer explicitement les tests d'intrusion, l' avis de proposition de réglementation de décembre 2024, visant à mettre à jour cette règle, proposait de rendre obligatoire un test d'intrusion annuel pour toutes les entités réglementées, ainsi qu'une analyse des vulnérabilités au moins tous les six mois. La ​​publication spéciale 800-115 du NIST ( National Institute of Standards and Technology ), intitulée « Guide technique des tests et de l'évaluation de la sécurité de l'information » , fournit un cadre de référence fréquemment utilisé par les organismes de santé qui effectuent des tests d'intrusion pour se conformer aux exigences fédérales en matière de sécurité.

Tests d'intrusion et intelligence artificielle

Avec l'avènement des modèles de langage étendus (LLM) fin 2022, les chercheurs ont exploré comment les méthodes d'intelligence artificielle pourraient être utilisées pour les tests d'intrusion. Étant donné que les tests d'intrusion réalisés dans les grandes organisations reposent déjà sur l'utilisation de logiciels semi-automatisés tels que Nmap , Wireshark et Metasploit , l'hypothèse était de vérifier si les LLM pouvaient effectuer des tests d'intrusion automatiquement lorsqu'ils avaient accès à ces outils et au même environnement. Parmi les principaux défis figurent l'automatisation complète du processus, la compréhension du contexte et l'apprentissage des expériences passées par le LLM, ainsi que la garantie de la précision des commandes exécutées.

exigences réglementaires

Plusieurs réglementations sectorielles et projets de règles imposent ou recommandent des tests d'intrusion périodiques dans le cadre du programme de sécurité d'une organisation. La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), exigence 11.4, impose aux organisations qui traitent des données de cartes de paiement de réaliser des tests d'intrusion externes et internes au moins une fois par an et après toute modification importante de leur infrastructure.

Dans le secteur de la santé, le Département américain de la Santé et des Services sociaux a proposé en décembre 2024 un avis de proposition de réglementation (NPRM) visant à mettre à jour la règle de sécurité HIPAA , qui obligerait les entités couvertes et leurs partenaires commerciaux à effectuer des tests d'intrusion au moins une fois par an. Cela représente un changement par rapport au cadre actuel de la règle de sécurité HIPAA, qui exige une analyse des risques mais n'impose pas explicitement de tests d'intrusion.

La publication spéciale 800-53 du National Institute of Standards and Technology (NIST) inclut la famille de contrôles CA-8 pour les tests d'intrusion, recommandant aux organisations de réaliser de tels tests pour identifier les vulnérabilités qui pourraient être exploitées par des adversaires.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index