Audit d’intrusion physique… tout ce que vous avez toujours voulu savoir sans jamais oser le demander

Publié le 05/07/2022
Audit-intrusion-physique>

Vous avez un doute quant au niveau de sécurité de votre système d’information ? Suite au départ d’une personne à la DSI, vous souhaitez vérifier que votre infrastructure informatique n’est pas exposée à des risques et qu’elle est toujours maîtrisée ? Sans céder à la panique, la cybersécurité ne doit jamais être prise à la légère et doit faire partie de vos priorités. Et nous pouvons vous aider.

Les ingénieurs systèmes et réseaux du Groupe Asten et nos spécialistes sécurité vous aident à établir un état des lieux complet de votre sécurité et vous accompagne pour sécuriser votre architecture informatique et vous protéger des cybermenaces.

L’objectif de notre audit de cybersécurité est simple : vous aider à dresser un état des lieux complet des points techniques fiables et de ceux à optimiser afin de diminuer les risques.

Audit d’intrusion physique : le contexte

Imaginons que vous êtes un industriel qui dispose de plusieurs sites sensibles répartis en France, avec laboratoire de recherche, unité de production et périmètre de sécurité pointu. Votre DSI souhaite faire un état des lieux de la sécurité et de la protection de ces sites. Vous allez alors nous demander d’auditer chacun de vos sites pour savoir où vous en êtes en termes de sécurité globale. Cela va vous permettre également d’évaluer la sécurité des sites les uns par rapport aux autres et d’éprouver votre protection.

Pas de bricolage, un périmètre bien défini

Dans le cadre de notre audit de cybersécurité et des tests d’intrusion, nous établissons avec vous le périmètre précis ainsi que la profondeur du champ d’actions, notamment dans le cadre des tests d’intrusion : c’est vous qui définissez jusqu’où vous souhaitez que nous allions (accès au réseau interne, exfiltration de données, audit physique d’accès au site, etc.).

Dans tous les cas, l’audit de cybersécurité est couvert par un dispositif de confidentialité évidemment très strict et un contrat en bonne et dûe forme.

Audit d’intrusion physique : la méthodologie

Revenons à notre exemple. Vous êtes un industriel et vous avez programmé avec nous les dates de chacun des audits, pour chacun de vos sites industriels en France.

Question méthode, la fin justifie les moyens ! 

Le jour J, les auditeurs vont installer leur QG non loin du site et commencer un travail croisant le physique et le digital. Se poser avec les PC, commencer à scruter le réseau, repérer les entrées, portails, caméra de surveillance… La 1e journée va être consacrée au repérage et aux premières actions, les 3 autres à l’intrusion pure.

Comme à l’armée, « c’est le terrain qui commande ». C’est donc une fois sur place que notre équipe de gentils hackers va échafauder son plan pour arriver à ses fins : soit en mode caché, soit sous couverture, derrière une identité bidon (technicien, homme de ménage, voire en arborant une tenue « empruntée » sur place !).

Le Saint Graal, la salle serveur !

Le but étant d’atteindre le graal : la salle serveur tout en relevant les failles croisées sur le chemin. En se mettant dans la peau d’un activiste par exemple, ils vont pointer les éléments sensibles qui pourraient leur permettre de nuire au site :

  • Relevé des vannes de gaz, d’eau (…) accessibles
  • Repérage des surfaces où on pourrait déplier un drapeau
  • Photographie des documents sensibles non protégés, des paperboards mal effacés, des dossiers qui traînent
  • Connexion à des PC ouverts ou des ports Ethernet accessibles
  • Passage de portes censées être infranchissables
  • Entrée dans des zones interdites
  • « Emprunt » de PC portables ou du petit matériel couteux ou susceptible de contenir des informations intéressantes

Tout au long de leur progression, ils vont vous tenir au courant par sms. C’est important, car c’est vous qui désamorcerez la situation en cas de problème avec les équipes sur place.

S’ils se font repérer, ils ne rendront pas les armes facilement… Ils vont alors tenter le tout pour le tout en misant sur l’ingénierie sociale.

Objectif : discuter avec le ou les interlocuteurs pour arriver à leur fin… Same player play again… Ils pourront même tenter d’effectuer une arnaque au président si nécessaire !

S’ils atteignent la salle serveur, ils se prennent en photo dedans comme « preuve ». Et s’ils sont arrivés là en se faufilant, il leur faudra alors ressortir tout aussi discrètement. Une sorte d’épreuve de Fort Boyard, mais sans la clé. Sans oublier qu’ils peuvent également atteindre le ou les serveurs de façon numérique…

Audit d’intrusion physique : le résultat

Comme évoqué plus haut, ces missions sont définies avec vous et encadrées par un contrat solide et un ordre de mission les protégeant. Vous (le commanditaire) êtes informé en temps réel de leur progression.

Vous allez ensuite recevoir un état des lieux complet et documenté des vulnérabilités et des préconisations selon leur criticité, ainsi que les conseils et solutions d’évolution et correction à mettre en place. Et un accent sera mis sur les priorités !

  • Un rapport d’audit
  • Faire un état des lieux de la sécurité du site en relevant les points forts et les points faibles.
  • Lister tous les points de vulnérabilité
  • Apporter des éléments de conseils et de remédiation
  • Une réunion de restitution, particulièrement cruciale lorsque les équipes ont été prises en défaut…