Pentest d’applications
Tests d’intrusion applicatifs
Au-delà de l’infrastructure, les failles les plus critiques se cachent souvent dans le code de vos applications.
Le test d’intrusion applicatif permet de définir le niveau de sécurité de vos développements (web, applications mobiles Android ou iOS, clients lourds, métier…) face aux menaces référencées dans le Top 10 de l’OWASP. Nous identifions les vulnérabilités propres à votre code et à sa logique métier.
Un scanner automatisé trouve des erreurs. Nos experts trouvent les failles de logique métier.
Notre méthodologie
Différentes approches
Boîte noire ou boîte grise : nous définissons avec vous le scénario d’attaque.
La prestation peut être menée en boîte noire. Notre consultant qui simule un attaquant externe, ne dispose d’aucune information. Elle peut aussi être réalisée en boîte grise, où ce dernier dispose d’identifiants de connexion pour contrôler les fonctionnalités accessibles à un utilisateur authentifié et tester la robustesse des cloisonnements.
L’expertise humaine au cœur du pen test
Au-delà des scans, il y a la recherche manuelle de failles logiques.
La force de notre approche réside dans les nombreux tests manuels réalisés par nos pentesters. C’est cette expertise humaine qui permet de rechercher des failles logiques propres à votre application, permettant ainsi de contourner un processus de validation ou une fonctionnalité métier, là où les outils automatiques sont aveugles.
Évaluez la sécurité de vos applications
Nos autres tests d’intrusion
Test d’intrusion externe
Évaluez la sécurité de votre périmètre Internet
Nous simulons une attaque depuis l’extérieur pour identifier les vulnérabilités de vos sites web, serveurs et services exposés en ligne.
Test d’intrusion interne
Simulez une attaque depuis votre réseau local
Évaluez les risques liés à une compromission interne ou à un collaborateur malveillant et testez la robustesse de votre segmentation réseau.
Test d’intrusion Wi-Fi
Évaluez la sécurité de vos réseaux sans fil
Nous testons la robustesse de la configuration de vos points d’accès Wi-Fi (invités et internes) afin de prévenir les intrusions via ce vecteur d’attaque.
Red Team
Testez vos capacités de détection et de réponse
Au-delà du pentest, une mission Red Team simule une attaque avancée et furtive pour éprouver l’ensemble de votre chaîne de défense (technologie + humain).
Quelle est la différence avec un pentest d’infrastructure (externe/interne) ?
Un test d’intrusion d’infrastructure teste la sécurité des « contenants » (serveurs, réseaux). Un pentest applicatif teste la sécurité du « contenu » (le code, la logique métier). Une application peut être vulnérable, même si elle est hébergée sur un serveur sécurisé.
Qu’est-ce que le Top 10 de l’OWASP ?
L’OWASP (Open Web Application Security Project) est une organisation de référence en matière de sécurité applicative. Son « Top 10 » est un document standard qui classe les 10 risques de sécurité les plus critiques pour les applications web. C’est la base de toute méthodologie d’audit sérieuse.
Devez-vous avoir accès à notre code source pour réaliser le test ?
Non, pas nécessairement. Pour les tests de pénétration en boîte noire ou grise ; nous n’avons pas besoin du code source, nous testons l’application telle qu’elle est exposée. Un audit avec accès au code est une autre prestation, appelée « revue de code » ou pentest en « boîte blanche ».
Un test d’intrusion mobile se limite-t-il à l’application sur le téléphone ?
Non, et c’est un point essentiel. Un audit complet ne se limite pas à l’application installée. Nous étudions également les serveurs et les API avec lesquels elle interagit, car c’est souvent là que se trouvent les données les plus critiques et les failles les plus importantes.