Article de reference

Tests de sécurité

Les tests de sécurité sont un processus destiné à détecter les failles dans les mécanismes de sécurité d'un système d'information et à lui permettre ainsi de protéger les donnée...

Les tests de sécurité sont un processus destiné à détecter les failles dans les mécanismes de sécurité d'un système d'information et à lui permettre ainsi de protéger les données et de maintenir les fonctionnalités prévues. En raison des limites logiques des tests de sécurité, la réussite du processus de test de sécurité n'indique pas qu'il n'existe aucune faille ou que le système satisfait adéquatement aux exigences de sécurité.

Les exigences de sécurité typiques peuvent inclure des éléments spécifiques de confidentialité , d'intégrité , d'authentification , de disponibilité, d'autorisation et de non-répudiation . Les exigences de sécurité réellement testées dépendent des exigences de sécurité mises en œuvre par le système. Le terme « test de sécurité » a plusieurs significations différentes et peut être réalisé de différentes manières. Ainsi, une taxonomie de sécurité nous aide à comprendre ces différentes approches et significations en fournissant un niveau de base sur lequel travailler.

Confidentialité

  • Une mesure de sécurité qui protège contre la divulgation d’informations à des parties autres que le destinataire prévu n’est en aucun cas la seule façon de garantir la sécurité.

Intégrité

L'intégrité des informations fait référence à la protection des informations contre toute modification par des parties non autorisées.

  • Une mesure destinée à permettre au récepteur de déterminer que les informations fournies par un système sont correctes.
  • Les schémas d’intégrité utilisent souvent certaines des mêmes technologies sous-jacentes que les schémas de confidentialité, mais ils impliquent généralement l’ajout d’informations à une communication, pour former la base d’un contrôle algorithmique, plutôt que le codage de l’ensemble de la communication.
  • Pour vérifier si les informations correctes sont transférées d'une application à une autre.

Authentification

Il peut s’agir de confirmer l’identité d’une personne, de retracer l’origine d’un artefact, de s’assurer qu’un produit est bien ce que son emballage et son étiquetage prétendent être, ou de s’assurer qu’un programme informatique est fiable.

Autorisation

  • Le processus permettant de déterminer si un demandeur est autorisé à recevoir un service ou à effectuer une opération.
  • Le contrôle d’accès est un exemple d’autorisation.

Disponibilité

  • Assurer que les services d’information et de communication seront prêts à être utilisés au moment prévu.
  • Les informations doivent être tenues à la disposition des personnes autorisées lorsqu’elles en ont besoin.

Non-répudiation

  • En matière de sécurité numérique, la non-répudiation consiste à garantir qu'un message transféré a été envoyé et reçu par les parties qui prétendent l'avoir envoyé et reçu. La non-répudiation est un moyen de garantir que l'expéditeur d'un message ne peut pas ultérieurement nier avoir envoyé le message et que le destinataire ne peut pas nier avoir reçu le message.
  • Un identifiant d'expéditeur est généralement un en-tête transmis avec le message qui reconnaît la source du message.

Taxonomie

Termes courants utilisés pour la réalisation de tests de sécurité :

  • Découverte - L'objectif de cette étape est d'identifier les systèmes concernés et les services utilisés. Elle n'a pas pour but de découvrir des vulnérabilités, mais la détection de version peut mettre en évidence des versions obsolètes de logiciels /micrologiciels et ainsi indiquer des vulnérabilités potentielles.
  • Analyse des vulnérabilités : après la phase de découverte, cette analyse recherche les problèmes de sécurité connus en utilisant des outils automatisés pour faire correspondre les conditions aux vulnérabilités connues. Le niveau de risque signalé est défini automatiquement par l'outil sans vérification ni interprétation manuelle par le fournisseur de tests. Cette analyse peut être complétée par une analyse basée sur les informations d'identification qui cherche à supprimer certains faux positifs courants en utilisant les informations d'identification fournies pour s'authentifier auprès d'un service (tels que les comptes Windows locaux).
  • Évaluation de la vulnérabilité : cette méthode utilise la découverte et l'analyse des vulnérabilités pour identifier les vulnérabilités de sécurité et replace les résultats dans le contexte de l'environnement testé. Un exemple consisterait à supprimer les faux positifs courants du rapport et à déterminer les niveaux de risque à appliquer à chaque résultat du rapport pour améliorer la compréhension et le contexte de l'entreprise.
  • Évaluation de la sécurité - S'appuie sur l'évaluation des vulnérabilités en ajoutant une vérification manuelle pour confirmer l'exposition, mais n'inclut pas l'exploitation des vulnérabilités pour obtenir un accès supplémentaire. La vérification peut prendre la forme d'un accès autorisé à un système pour confirmer les paramètres du système et impliquer l'examen des journaux, des réponses du système, des messages d'erreur, des codes, etc. Une évaluation de la sécurité cherche à obtenir une couverture étendue des systèmes testés, mais pas la profondeur d'exposition à laquelle une vulnérabilité spécifique pourrait conduire.
  • Test de pénétration - Le test de pénétration simule une attaque par une partie malveillante. Il s'appuie sur les étapes précédentes et implique l'exploitation des vulnérabilités trouvées pour obtenir un accès supplémentaire. L'utilisation de cette approche permettra de comprendre la capacité d'un attaquant à accéder à des informations confidentielles, à affecter l'intégrité des données ou la disponibilité d'un service et l'impact respectif. Chaque test est abordé à l'aide d'une méthodologie cohérente et complète de manière à permettre au testeur d'utiliser ses capacités de résolution de problèmes, les résultats d'une gamme d'outils et ses propres connaissances des réseaux et des systèmes pour trouver des vulnérabilités qui pourraient ou non être identifiées par des outils automatisés. Cette approche examine la profondeur de l'attaque par rapport à l'approche d'évaluation de la sécurité qui examine la couverture plus large.
  • Audit de sécurité - Piloté par une fonction d'audit et de gestion des risques pour examiner un problème de contrôle ou de conformité spécifique. Caractérisé par une portée étroite, ce type d'engagement peut faire appel à l'une des approches décrites précédemment ( évaluation de la vulnérabilité , évaluation de la sécurité, test de pénétration).
  • Examen de sécurité - Vérification que les normes de sécurité internes ou industrielles ont été appliquées aux composants du système ou au produit. Cette vérification est généralement effectuée par une analyse des écarts et utilise des examens de la construction et du code ou en examinant les documents de conception et les diagrammes d'architecture. Cette activité n'utilise aucune des approches précédentes (évaluation de la vulnérabilité, évaluation de la sécurité, test de pénétration, audit de sécurité)

Outils

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index