Audit de sécurité et pentest
Faites preuve d’initiative, de prévoyance dans la sécurité de vos projets ICT grâce aux pentests
Un Vulnerability Assessment ou test d’intrusion (pentesting ou pentest) vous apporte une vue externe sur la sécurité de votre infrastructure informatique.
Ce dernier permet de pointer des failles potentielles qui pourraient être exploitées par des personnes malveillantes ou pirates informatiques. Les occasions ne manquent pas: pc’s infectés qui scannent aléatoirement l’internet à la recherche de vulnérabilité, pirates informatiques à la recherche de données privées pour vous faire chanter, activistes qui défendent une cause et veulent faire parler d’eux, espionnage industriel, tentatives de fraudes..
Chaque Vulnerability Assessment ou pentest délivre un rapport détaillé. Ce dernier comprend notamment notre évaluation des failles trouvées et nos conseils pour y remédier.
Cette démarche s’inscrit également dans le cadre de la GDPR où le gestionnaire d’application prend des mesures afin de détecter proactivement des failles et ainsi réduire les risques liés à l’expositon des données.
Nous travaillons en mode white-box pentesting ou black-box pentesting.
Chaque méthode présente des avantages et des inconvénients.
Black-Box pentest
En black-box testing, le testeur agit comme un inconnu qui découvre le système et qui n’a pas accès aux informations internes du système. Les résultats du test sont représentatifs de ce qu’un utilisateur avec des connaissances techniques avancées est capable de faire avec le système. Néanmoins, cette méthodologie demande beaucoup de ressources. De plus, le test étant réalisé à un instant particulier, ses résultats tiennent compte des vulnérabilités connues au moment du test. pentesting
White-box pentesting
En white-box testing, le testeur a une connaissance des documentations, de l’architecture et du design du projet ou du site web. Le testeur ayant accès aux informations techniques (design global, ouverture firewall, tables de routage, solidité des mots de passes, frameworks et modules utilisées,…) et en se basant sur son expérience, il peut plus facilement flairer les faiblesses du système. Il en résulte qu’il peut concentrer son attention sur certains points d’attention.De plus, dans ce scénario, le testeur simule un intrus interne qui a accès à une certaine quantité d’information limitée (accès réseau, ip adresses, mot de passe basique,..) du système ciblé.
Notre méthodologie recommandée est non destructrice de votre environnement et basée sur une formule hybride d’une partie en black-box et une seconde en white-box testing pour combiner les avantages de chaque méthode.
Pentest sur application Web – Web Application Vulnerability Assessment (WAVA)
Cible : sites web et applications Web
Recherche des vulnérabilités les plus répandues (OWASP Top 10) qui représentent 90% des attaques dans l’industrie telles que les attaques SQL injection (inband, OOB, Blind), XSS, CSRF,.
Identification de failles au niveau du framework (PHP, JAVA, .net, Rails,..) ou de sa configuration
Analyse de failles dans les modules utilisés
Contrôle de problèmes de configuration au niveau du serveur Web, de l’application serveur et de la base de données (par exemple mots de passe par défaut)
Mettre en avant des problèmes conceptuels au niveau de l’architecture et les risques inhérents (absence d’encryption sur certains flux, absence de politique de mots de passe, absence de captcha,..)
Cible : Applications, applications métiers, applications VoIP/IP PBX ou media, Webservices,..
Sur base d’un projet, d’une nouvelle infrastructure ou d’un renouvellement, nous mettons en œuvre notre savoir-faire pour tester le niveau de sécurité de votre application métier, web services ou tout autre type d’applications.
Infrastructure security assessment
Cible: liens vers un partenaire, SSL VPN, work@home, extranet, réseau sans-fil, 802.1x, BYOD, datacenter, réseau d’utilisateurs, réseau pour inviter ou clients, Active Directory,..
Sur base d’un projet, d’une nouvelle infrastructure ou d’un renouvellement, nous mettons en œuvre notre savoir-faire pour évaluer la sécurité de vos composants d’infrastructure. Les composants d’infrastructure utilisateur ou datacenter ont une place capitale dans le modèle de sécurité en entreprise.
Simulation de Social engineering
Objectifs:
– Mesurer la réaction des employés ou collaborateurs face aux menaces extérieures
– Mesurer le niveau de cyber awareness des collaborateurs
– Anticiper des attaques fréquentes.
L’ingénieurie sociale (« social engineering ») est un excellent outil pour obtenir un maximum d’information en un minimum de temps. Des attaques de type « spear phishing » peuvent cibler des utilisateurs qui accèdent des données particulièrement sensibles (CEO, directeur financier, sysadmin,..).
Un scénario d’attaque fréquence consiste à envoyer par email un mail au contenu « déguisé ». Il pourrait s’agit d’une fausse invitation Linkedin, un email contenant un CV, une mise à jour d’un logiciel,.. L’utilisateur ciblé clique sur l’objet attaché ou sur un lien… et son ordinateur se retrouve infecté par un dangereux malware.
Nous pouvons simuler ce genre d’attaques en contactant, avec votre accord, certains collaborateurs. Vous serez en mesure de tirer des statistiques sur les réactions des utilisateurs dans leur globalité. Nous proposons de réaliser cet exercice à différents moments. pentesting.
Par exemple, avant ou après une session d’information adressée aux collaborateurs pour les conscientiser face aux menaces des outils Internet. Certains collaborateurs sont très conscients des problèmes de sécurité, ils peuvent vous aider à remonter au service ICT des attaques. D’autres utilisateurs n’ont aucune notion en cyber sécurité et présent une menace accrue pour l’ensemble de vos données.
Identifiez ces utilisateurs et offrez-leur la possibilité d’en apprendre plus.
Pourquoi réaliser un test d’intrusion ?
- Faire preuve de bonne gouvernance en appliquant un processus de validation
- Évaluer sa sécurité et protéger les données personnelles, comme prévu par la loi GDPR
- Les informations relatives aux données personnelles (GDPR) sont-elles correctement sécurisées ?
- Se prémunir les risques liés à des erreurs de conception ou d’implémentation d’applications dans votre organisation
- Répondre à des points d’audit ou de compliance
- Évaluer la sécurité d’une filiale ou une société rachetée qui n’a pas les mêmes règles de sécurité que votre organisation
- Réagir immédiatement à des problèmes de sécurité tels que les failles ‘OpenSSL’, ‘Heartbleed’, ou l’obsolescence logicielle
- Anticiper des attaques et faire preuve d’initiative en étant acteur de la situation et non spectateur
- Tester la fiabilité de votre infrastructure (on-prem ou dans le cloud)
- Un hacker peut-il contourner les protections du SSL VPN et se connecter à l’entreprise avec un ordinateur non approuvé ?
- Assurer que les technologies utilisées sont en ligne avec les standards du marché en terme de sécurité
- Le firewall principal de l’entreprise a plus de 3000 règles, les règles sont-elles à jour ? Le procès d’ajout de règles et de validation avant implémentation est-il sous contrôle ?
- Notre environnement IT est partiellement outsourcé. Des prestataires extérieurs accèdent à notre environnement à distance. L’accès est-il suffisamment fiable et que se passerait-t-il si le fournisseur est victime d’un piratage ?
- Obsolescence logicielle Combien de serveurs utilisent encore un système d’exploitation obsolète ?
- Patch management Nos serveurs sont-ils à jour en terme de patches de sécurité OS et applicatifs ?
Entrer en contact
Abonnez-vous et restez à jour sur les dernières améliorations et services.