Test d’intrusion (Pentest – penetration test)

Le test d’intrusion est l’un des outils d’évaluation de la sécurité d’un système d’information, il peut être effectué dans le cadre d’un audit de sécurité dans des conditions particulières. Dans son référentiel d’exigences, l’ANSSI le présente comme suit : Le principe du test d’intrusion est de découvrir des vulnérabilités sur le système d’information audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système d’information, à la place d’un attaquant potentiel. Les vulnérabilités testées peuvent également avoir été identifiées au cours d’autres activités d’audit. Cette activité d’audit peut être réalisée soit depuis l’extérieur du système d’information audité (notamment depuis Internet ou le réseau interconnecté d’un tiers), soit depuis l’intérieur. Un test d’intrusion seul n’a pas vocation à être exhaustif. Il s’agit d’une activité qui doit être effectuée en complément d’autres activités d’audit afin d’en améliorer l’efficacité ou de démontrer la faisabilité de l’exploitation des failles et vulnérabilités découvertes à des fins de sensibilisation. Les tests de vulnérabilité, notamment automatisés, ne représentent pas à eux seuls une activité d’audit au sens du Référentiel . La relative facilité à se procurer des outils de test d’intrusion, il existe d’ailleurs des frameworks* dédiés, ne doit pas faire oublier que ces pratiques sont rigoureusement encadrées par la loi française (Code Pénal art 321-1). Voir Audit.