Les tests d’intrusion

Définir le niveau de sécurité d’une ressource du système d’information en identifiant et qualifiant les vulnérabilités dans le cadre d’une attaque ciblée.

Ces tests permettront de pointer les risques réels et donneront lieu à des préconisations techniques pour réduire ou supprimer les impacts éventuels d’une cyberattaque.

 

Test d’intrusion externe

Le test d’intrusion externe va évaluer la robustesse d’une plateforme (serveurs, noms de domaine, plage adresses IP, etc.) en identifiant et qualifiant les vulnérabilités dans le cadre d’une attaque ciblée.

La méthodologie suivie par l’auditeur s’appuie sur les référentiels de l’OWASP (Open Web Application Security Project) Testing Guide et du PTES (Penetration Testing Execution Standard).

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

–  Synthèse destinée à la direction.

–  Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.

–  Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

Test d’intrusion applicatif

Le test d’intrusion applicatif permet de définir le niveau de sécurité d’une application (web, métier, etc..) face aux menaces référencées dans le Top 10 de l’OWASP (Open Web Application Security Projet).

La prestation peut être proposée :
 En boîte noire : Le consultant ne dispose pas d’identifiants de connexion et d’informations techniques sur la cible ;
 En boîte grise : Le consultant dispose des identifiants de connexion à l’application et contrôle également les fonctionnalités à disposition d’un utilisateur authentifié.

Les tests peuvent s’effectuer à distance, ou depuis le réseau interne de l’entreprise.

Durant la prestation, de nombreux tests manuels seront réalisés afin de rechercher des failles logiques permettant de contourner un processus ou une fonctionnalité de l’application.

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :
– Synthèse destinée à la direction.
– Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.
– Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

Test d’intrusion interne

L’auditeur, durant un test d’intrusion interne, va simuler des actes malveillants qui pourraient être commis par un tiers connecté au réseau interne du système d’information de l’entreprise.

 Le profil de cette personne peut être :

–  Un consultant externe travaillant dans les locaux de l’entreprise avec son propre matériel connecté au réseau local ;

–  Un stagiaire utilisant le matériel de l’entreprise avec des droits restreints ;

–  Un utilisateur malintentionné.

L’auditeur cherchera des faiblesses dans le système d’information pour élever ses privilèges et ainsi récupérer des données sensibles de l’entreprise (données métiers, factures, fiches de paie, etc.).

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

–  Synthèse destinée à la direction.

–  Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.

–  Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

–  Scénarios d’intrusion.

Test d’intrusion wifi

L’objectif est d’analyser et définir, avec ou sans identifiants de connexion, le niveau de sécurité du réseau non filaire.

Le niveau de chiffrement du réseau Wi-Fi, les possibilités de contournement de ses restrictions, ainsi que le cloisonnement entre les différents réseaux Wi-Fi seront étudiés.

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

–  Synthèse destinée à la direction.

–  Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.

–  Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

Cette prestation peut être réalisée en complément d’un test d’intrusion interne.

Test d’intrusion mobile

Le test d’intrusion mobile va permettre d’évaluer le niveau de sécurité d’une application mobile Android ou IOS.

Pour cela, l’application ainsi que les serveurs en interaction avec celle-ci seront étudiés dans le but d’identifier et de qualifier les vulnérabilités.

Les tests se focaliseront notamment sur le stockage des données, les échanges entre les serveurs et l’application, le code source ainsi que les configurations de sécurité mises en place.

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

–  Synthèse destinée à la direction.

–  Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.

–  Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

Contactez-nous !