Akamai dots background

Tests de pénétration

Les tests de pénétration servent à mesurer les performances d'attaques simulées sur les réseaux et applications d'une entreprise. Ils sont habituellement réalisés pour vérifier l'efficacité des processus et des outils de sécurité réseau, pour évaluer les nouvelles applications, pour vérifier le respect des normes et pour montrer aux responsables qu'il est important de traiter chaque problème de sécurité de l'information. En apportant une analyse détaillée des failles de sécurité d'un système d'information et une évaluation des risques ainsi que des recommandations, les tests de pénétration représentent pour une entreprise un moyen efficace de surveiller et de renforcer sa sécurité.

Objet et limites des tests de pénétration

Pour évaluer les fonctionnalités de protection de l'information d'une entreprise, les tests de pénétration peuvent être réalisés au niveau du réseau ou de la couche applicative. Les tests de pénétration de réseau évaluent la vulnérabilité des réseaux et hôtes aux attaques externes sur des serveurs connectés à Internet ou sur l'infrastructure sous-jacente, ainsi qu'aux attaques internes. Ce type de tests de pénétration met en lumière des faiblesses telles que des ports ouverts, des correctifs non installés, des configurations incorrectes ou des mots de passe trop faibles. Ils exploitent ces failles de sécurité qui exposent les entreprises à des attaques en force et d'autres attaques communes visant la couche réseau.

De leur côté, les tests de pénétration d'application se concentrent sur les applications Web accessibles depuis le site et/ou l'Internet public. Ces tests permettent de détecter et d'exploiter les failles de sécurité standard des applications ou les défauts connus d'applications Web, utilisés lors de cyberattaques comme l'attaque par injection SQL ou le Cross-Site Scripting (XSS).

Bien que les tests de pénétration soient un outil de gestion des failles de sécurité très utile pour identifier les faiblesses les plus communément exploitées par les pirates informatiques, ils connaissent certaines limites. La qualité des résultats de ces tests est bien sûr fonction des compétences des testeurs, mais aussi de l'étendue et du temps alloué à chaque analyse. Ils ne mettent à nu que les faiblesses recherchées et ne fournissent une vue d'ensemble du système complet de sécurité de l'entreprise qu'à un moment très précis dans le temps.

Bloquer les attaques en amont avec les solutions de sécurité dans le Cloud intelligentes d'Akamai

Chaque jour de nouvelles failles de sécurité sont découvertes dans les applications, les terminaux et les serveurs. Dans le même temps, les cyberattaques ne cessent de gagner en sophistication et en ampleur. Parallèlement, l'infrastructure informatique des entreprises devient de plus en plus complexe, à tel point qu'il est très difficile aujourd'hui de détecter et d'enrayer tous les vecteurs potentiels d'attaque par ces tests de pénétration. C'est la raison pour laquelle de plus en plus d'entreprises se tournent vers des solutions de sécurité dans le Cloud, souples et à la demande, pour leurs environnements de sécurité.

La suite de solutions de sécurité dans le Cloud d'Akamai, en plus de donner accès à une intelligence de sécurité Web centrale, permet à une entreprise d'ajouter une ligne de défense distribuée, évolutive et toujours active. Notre outil Kona Site Defender permet de lutter efficacement contre les attaques multiniveau par déni de service distribué (DDoS). Le pare-feu d'application Web, lui, détecte des attaques potentielles dans les trafics HTTP et HTTPS, comme les attaques par intrusion. Grâce à ces outils, vous pouvez absorber ou déjouer les attaques au niveau du réseau et de la couche applicative avant qu'elles n'atteignent votre centre de données.

En savoir plus sur ces outils et autres solutions de sécurité dans le Cloud innovantes basés sur Akamai Intelligent Platform.