Want to create interactive content? It’s easy in Genially!

Get started free

04-tests_de_securite

CEFii

Created on March 20, 2024

Start designing with a free template

Discover more than 1500 professional designs like these:

Practical Presentation

Smart Presentation

Essential Presentation

Akihabara Presentation

Pastel Color Presentation

Modern Presentation

Relaxing Presentation

Explore all templates

Transcript

Test de sécurité

1. Définition et objectif des tests de sécurité

Sommaire

2. Types de tests de sécurité

Objectifs : découvrez dans cette séquence la définition et intérêts des tests de sécurité.

3. Exemples de tests de sécurité

Définition

1- Définition

Définition des Tests de Sécurité :

Les tests de sécurité, également connus sous le nom de "tests de vulnérabilité", sont un ensemble de procédures et de méthodologies visant à identifier et à atténuer les failles de sécurité dans les systèmes informatiques, les applications web et les réseaux. L'objectif principal de ces tests est de s'assurer que les systèmes sont protégés contre les menaces potentielles et les attaques malveillantes, garantissant ainsi la confidentialité, l'intégrité et la disponibilité des données.

1- Définition

Objectifs des tests de sécurité :

1. Identification des Vulnérabilités

  • Définition : Repérer les faiblesses et les vulnérabilités dans le système, qu'elles soient logicielles, matérielles, ou humaines.
  • Exemple : Utiliser des scanners de vulnérabilités pour détecter des failles comme les injections SQL, les failles XSS (Cross-Site Scripting), et les configurations de sécurité incorrectes.
2. Évaluation des Risques
  • Définition : Analyser et évaluer l'impact potentiel des vulnérabilités identifiées sur l'organisation.
  • Exemple : Estimer les conséquences d'une faille XSS non corrigée qui pourrait permettre à un attaquant d'exécuter des scripts malveillants dans le navigateur des utilisateurs.

1- Définition

Objectifs des tests de sécurité :

3. Prévention des Attaques Définition : Mettre en place des mesures de sécurité pour prévenir les attaques potentielles. Exemple : Implémenter des contrôles de validation des entrées pour empêcher les injections SQL. 4. Assurance de la Conformité

  • Définition : Vérifier que le système respecte les normes et réglementations de sécurité applicables (par exemple, GDPR, HIPAA, PCI-DSS).
  • Exemple : Effectuer des audits de sécurité pour garantir la conformité avec les standards PCI-DSS pour le traitement des paiements par carte de crédit.
5. Protection des Données Sensibles
  • Définition : S'assurer que les données sensibles sont protégées contre les accès non autorisés et les violations de données.
  • Exemple : Utiliser le chiffrement pour protéger les données sensibles telles que les informations personnelles identifiables (PII) et les informations financières.

1- Définition

Objectifs des tests de sécurité :

6. Renforcement de la Sécurité du Réseau

  • Définition : Évaluer et améliorer les dispositifs de sécurité du réseau pour protéger contre les intrusions et les attaques DDoS (Distributed Denial of Service).
  • Exemple : Utiliser des pare-feu, des systèmes de détection d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS) pour renforcer la sécurité du réseau.
7. Validation des Mécanismes de Sécurité
  • Définition : Vérifier l'efficacité des mécanismes de sécurité existants, tels que l'authentification, l'autorisation et le contrôle d'accès.
  • Exemple : Tester les mécanismes d'authentification multi-facteurs (MFA) pour s'assurer qu'ils fonctionnent correctement et qu'ils sont résistants aux attaques.
8. Préparation à la Réponse aux Incidents
  • Définition : S'assurer que l'organisation est prête à réagir efficacement en cas d'incident de sécurité.
  • Exemple : Élaborer et tester des plans de réponse aux incidents pour des scénarios tels qu'une violation de données ou une attaque par ransomware.

Types de tests de sécurité

2- Types de tests de sécurité

Techniques de Tests de Sécurité :

1. Tests de Pénétration (Penetration Testing)

  • Description : Simuler des attaques réelles pour identifier les vulnérabilités exploitables.
  • Exemple : Embaucher des hackers éthiques pour tenter de pénétrer le système et identifier les failles de sécurité.
2. Scans de Vulnérabilités
  • Description : Utiliser des outils automatisés pour scanner le système à la recherche de vulnérabilités connues.
  • Exemple : Utiliser des outils comme Nessus ou OpenVAS pour effectuer des scans de sécurité sur les serveurs et les applications web.
3. Audits de Sécurité
  • Description : Examiner les configurations de sécurité, les politiques et les procédures pour s'assurer qu'elles sont correctement mises en place.
  • Exemple : Réaliser un audit de sécurité pour vérifier les configurations des serveurs et des bases de données.

2- Types de tests de sécurité

Techniques de Tests de Sécurité :

4. Tests de Régression de Sécurité

  • Description : Assurer que les nouvelles mises à jour ou les modifications n'introduisent pas de nouvelles vulnérabilités.
  • Exemple : Effectuer des tests de sécurité après chaque mise à jour logicielle pour vérifier qu'aucune nouvelle faille n'a été introduite.
5. Tests de Configuration
  • Description : Vérifier que les configurations de sécurité des systèmes et des applications sont optimales.
  • Exemple : S'assurer que les configurations des serveurs web désactivent les protocoles et services non nécessaires.
6. Tests de Scénarios
  • Description : Simuler des scénarios spécifiques d'attaque pour tester la résilience du système.
  • Exemple : Tester la réponse du système à une attaque de phishing ou à une tentative d'accès non autorisé par force brute.

Exemples de tests de sécurité

3- Exemples de tests de sécurité

Exemples de Tests de Sécurité pour un Site E-commerce en HTML, CSS, JS, et PHP

1. Injection SQLObjectif : Vérifier que les entrées de l'utilisateur ne permettent pas l'exécution de requêtes SQL malveillantes. Exemple :

  • Contexte : Formulaire de connexion.
  • Test :
  1. Ouvrir le formulaire de connexion.
  2. Entrer 'OR 1=1 comme nom d'utilisateur et mot de passe.
  3. Soumettre le formulaire.
  4. Vérifier si l'accès est accordé sans authentification légitime.

3- Exemples de tests de sécurité

Exemples de Tests de Sécurité pour un Site E-commerce en HTML, CSS, JS, et PHP

2. Cross-Site Scripting (XSS)Objectif : Vérifier que les entrées de l'utilisateur ne permettent pas l'injection de scripts malveillants. Exemple :

  • Contexte : Section de commentaires sur une page produit.
  • Test :
  1. Ouvrir la page produit avec un formulaire de commentaire.
  2. Entrer <script>alert('XSS')</script> dans le champ de commentaire.
  3. Soumettre le commentaire.
  4. Vérifier si une alerte apparaît lors de l'affichage du commentaire.

3- Exemples de tests de sécurité

Exemples de Tests de Sécurité pour un Site E-commerce en HTML, CSS, JS, et PHP

3. Cross-Site Request Forgery (CSRF)Objectif : Vérifier que les actions sensibles ne peuvent pas être effectuées par des requêtes non autorisées. Exemple :

  • Contexte : Fonctionnalité d'ajout au panier.
  • Test :
  1. Ouvrir une page externe au site e-commerce.
  2. Créer un formulaire HTML qui soumet une requête POST au site e-commerce pour ajouter un produit au panier.
  3. Vérifier si le produit est ajouté au panier de l'utilisateur sans son consentement.

3- Exemples de tests de sécurité

Exemples de Tests de Sécurité pour un Site E-commerce en HTML, CSS, JS, et PHP

4. Insecure Direct Object References (IDOR)Objectif : Vérifier que les utilisateurs ne peuvent pas accéder ou modifier des ressources sans autorisation appropriée. Exemple :

  • Contexte : Page de commande.
  • Test :
  1. Connectez-vous en tant qu'utilisateur A.
  2. Accédez à l'URL de l'historique des commandes de l'utilisateur A, par exemple : http://votre-site-ecommerce.com/orders.php?order_id=1.
  3. Modifiez l'order_id à une valeur d'une autre commande supposée appartenir à l'utilisateur B.
  4. Vérifiez si l'utilisateur A peut voir ou modifier les commandes de l'utilisateur B.

3- Exemples de tests de sécurité

Exemples de Tests de Sécurité pour un Site E-commerce :

5. Sécurité des CookiesObjectif : Vérifier que les cookies utilisés pour l'authentification et d'autres fonctions sensibles sont sécurisés. Exemple :

  • Contexte : Cookie de session.
  • Test :
  1. Connectez-vous au site.
  2. Utilisez les outils de développement du navigateur pour examiner les cookies de session.
  3. Vérifiez les attributs de sécurité des cookies (HttpOnly, Secure, SameSite).

3- Exemples de tests de sécurité

Exemples de Tests de Sécurité pour un Site E-commerce :

6. Validation des EntréesObjectif : Vérifier que toutes les entrées utilisateur sont correctement validées et nettoyées avant le traitement. Exemple :

  • Contexte : Formulaire d'inscription.
  • Test :
  1. Soumettre des entrées malveillantes ou incorrectes dans le formulaire d'inscription (par exemple, des scripts, des caractères spéciaux).
  2. Vérifiez que l'application traite ces entrées de manière appropriée et sécurisée.

4- suite du cours

Terminé !

Vous venez de terminer cette séquence de formation ! Bravo à présent c'est à vous de jouer ! Rendez-vous dans VirtualSchool pour poursuivre l'aventure... Au programme le bloc de cours 05 intitulé : "05-automatisation-des-tests"

Retour sur VirtualSchool