Penetration Testing réseau : Externe ou Interne ? Lequel choisir ?

Ce guide vous fournit tout ce dont vous avez besoin pour comprendre, délimiter et exécuter ce type de test, avec des conseils pratiques que vous pouvez appliquer immédiatement.

Tests réseau externes

Le Penetration Testing externe évalue votre infrastructure exposée à Internet du point de vue d'un attaquant externe. Le testeur simule un attaquant sans accès interne, sondant vos plages d'IP publiques, vos serveurs web, vos serveurs de messagerie, vos points d'accès VPN, votre infrastructure DNS et tout autre service exposé à Internet. L'objectif : identifier si un attaquant externe peut franchir votre périmètre et accéder aux systèmes internes.

Tests réseau internes

Le Penetration Testing interne commence à l'intérieur de votre réseau, simulant un scénario où un attaquant a déjà pris pied, peut-être par le biais de phishing, d'un endpoint compromis ou d'un initié malveillant. Le testeur évalue s'il peut élever ses privilèges, se déplacer latéralement à travers les segments de réseau, accéder à des données sensibles, compromettre Active Directory et atteindre des systèmes critiques qui devraient être protégés par une segmentation.

Tests de segmentation

La segmentation du réseau est votre stratégie de défense en profondeur, isolant les systèmes sensibles (comme votre environnement de données de titulaires de carte ou vos bases de données ePHI) du reste du réseau. Les tests de segmentation vérifient que ces limites sont effectivement respectées. Un utilisateur sur le WiFi invité peut-il accéder à votre base de données de production ? Un poste de travail compromis au marketing peut-il accéder au serveur financier ? Pour la conformité PCI DSS, les tests de segmentation sont obligatoires.

Sécurité Active Directory

Active Directory est l'épine dorsale de la plupart des réseaux d'entreprise, et la cible principale pour le mouvement latéral et l'élévation de privilèges. Le pentesting interne doit évaluer les politiques de mot de passe, la sécurité Kerberos (Kerberoasting, AS-REP Roasting), les mauvaises configurations de Group Policy, les vulnérabilités de délégation et les chemins qu'un attaquant pourrait emprunter d'un compte utilisateur standard à un administrateur de domaine.

Quand vous avez besoin des deux

La plupart des cadres de conformité exigent des tests externes et internes. PCI DSS mandate explicitement les deux. Les auditeurs SOC 2 s'attendent à ce que des preuves montrent que les deux perspectives ont été évaluées. Et d'un point de vue de la sécurité, tester uniquement le périmètre tout en ignorant ce qui se passe après une violation, c'est comme verrouiller votre porte d'entrée tout en laissant toutes les pièces à l'intérieur grandes ouvertes.

L'essentiel

Le Penetration Testing réseau évalue l'infrastructure dont dépendent vos applications et vos données, à la fois de l'extérieur vers l'intérieur et de l'intérieur vers l'extérieur. Penetrify couvre les deux perspectives avec une analyse automatisée pour une large couverture de l'infrastructure et des tests manuels d'experts pour les attaques Active Directory, les contournements de segmentation et les chemins de mouvement latéral qui déterminent votre exposition réelle.

Foire aux questions

Qu'est-ce que le Penetration Testing réseau ?

Le Penetration Testing réseau évalue votre infrastructure réseau (routeurs, commutateurs, pare-feu, serveurs, endpoints) à la recherche de vulnérabilités qui pourraient permettre à un attaquant d'obtenir un accès non autorisé, d'élever ses privilèges ou de se déplacer latéralement vers des systèmes sensibles.

Quelle est la différence entre le pentesting externe et interne ?

Les tests externes simulent un attaquant externe ciblant vos systèmes exposés à Internet. Les tests internes simulent un attaquant qui a déjà pris pied à l'intérieur de votre réseau. Les deux perspectives sont nécessaires pour une évaluation de sécurité complète.

À quelle fréquence faut-il effectuer un pentesting réseau ?

Au minimum une fois par an, comme l'exigent la plupart des cadres de conformité. Les tests internes doivent également suivre les changements importants du réseau : nouveaux segments, modifications des règles de pare-feu, restructuration Active Directory ou modifications de la connectivité cloud.