TEST D’INTRUSION : UNE APPROCHE PRAGMATIQUE POUR EVALUER LE NIVEAU D’EXPOSITION DE VOTRE SI

Une question sur le test d’intrusion ? Notre équipe est à votre disposition
 [email protected]

Le test d'intrusion, outil de réduction des risques

une réponse opérationnelle pour votre démarche SSI

évaluer la sécurité du SI

Evaluer la sécurité de votre infrastructure ou de vos applications critiques

sécurité attaquant interne externe

Evaluer votre sécurité vis-à-vis d’un attaquant externe et/ou interne 

déterminer des plans d'actions

Déterminer vos plans d’action court, moyen et long terme

cadenas test d'intrusion

Protéger vos données

identifier les cyber risques

Identifier les risques cyber

QUALIFIEZ VOTRE BESOIN

QUEL PÉRIMÈTRE POUR VOTRE TEST D'INTRUSION ?

Testez tout ou partie de votre organisation

test vulnérabilités SI

EXTERNE

Testez la vulnérabilité de tout ou partie de votre système d’information susceptible d’être exploité par des hackers ou des logiciels malveillants

test d'intrusion attaquant interne

INTERNE

Testez la vulnérabilité de votre entreprise face à un attaquant interne disposant de certains accès (test du visiteur, test du stagiaire, accès wifi, etc…)  

Sécurité des applications

APPLICATIF

Evaluez la sécurité de vos applications et sites web en détectant les failles établies par l’OWASP

Sécurité du Cloud

PLATEFORMES D'HEBERGEMENT

Evaluez la sécurité de votre hébergeur Cloud Privé ou Cloud Public
(AWS, Azure, O365, GCP)

sécurité accès power i

IBM I / POWER I

Sécurité des accès au Power i,
analyse matricielle de la gestion des droits, évaluation des risques de la JVM, sécurité des Applicatifs Web

 

LA MÉTHODOLOGIE D'UN TEST D'INTRUSION

GreyBox, le nouveau standard

test d'intrusion black box

BLACKBOX

L’auditeur simule une attaque en se mettant dans la peau d’un hacker, dans les conditions d’un piratage réel

test d'intrusion white box

WHITEBOX

L’auditeur travaille en étroite collaboration avec la DSI de son client

test d'intrusion grey box

GREYBOX

Méthodologie intermédiaire qui permet de bénéficier des avantages du BlackBox et du WhiteBox

Le test d’intrusion BlackBox

Ce test consiste à se mettre dans la peau d’un hacker. Autrement dit, simuler un piratage réel au cours duquel l’attaquant n’aurait que peu d’informations, voire aucune, au sujet de sa cible. Cette méthode de pentest permet de définir avec fiabilité les seuils critiques de la sécurité d’une entreprise. En effet, lors d’une cyber attaque, le hacker ne dispose que de peu de données relatives au SI de sa cible et mettra donc du temps à pouvoir en compromettre les informations. De cette manière, l’entreprise attaquée aura en principe le temps de réagir. La version BlackBox est idéale pour établir des scenarii en cas de cyber attaque externe.

Le test d’intrusion WhiteBox

Contrairement au test d’intrusion BlackBox, le pentesting WhiteBox se réalise en étroite collaboration avec les équipes de la DSI du client. Il s’agit davantage d’un audit informatique officiel. Ainsi, les équipes du client donnent accès à l’auditeur à l’ensemble des informations de configuration du SI. Ce type de test d’intrusion permet notamment d’aller plus loin dans la détection des vulnérabilités par un accès à l’ensemble du SI et de ses strates.

Le test d’intrusion Greybox

Il s’agit de la nouvelle norme de test d’intrusion. Cette méthodologie est hybride et utilise à la fois les avantages du BlackBox et du WhiteBox. Dans ce type de pentest, l’auditeur ne disposera que d’un nombre restreint d’informations. Le pentester peut être amené à tester le SI depuis l’intérieur, en tant qu’employé par exemple, ou prestataire externe voire même comme un ancien employé. Les différents scenarii pouvant être testés dans le cadre de ce test d’intrusion permettent d’avoir une vision plus optimale du SI et de ses vulnérabilités.

Bien définir le périmètre de l’audit de sécurité

Peu importe le type de « box » choisie, le périmètre de l’audit de sécurité doit être déterminé en amont. Le plus simple est de rédiger un cahier des charges recensant les différentes attentes, les limites ou contours de l’opération et le détail des aspects techniques. Ainsi, le périmètre de l’audit, ou du test d’intrusion, sera clairement défini entre l’audité et l’auditeur. Une convention d’audit pet également être rédigée. Celle-ci permet de définir un cadre légal d’intervention et la façon dont l’entreprise client doit s’impliquer ou non dans le test d’intrusion.

test d'intrusion red team

REDTEAM

Test d’intrusion en conditions réelles orchestré à la manière d’une véritable attaque. Cette prestation permet de réaliser tous types de scénarios réalistes sans qu’aucune limite préalable ne soit posée

test d'intrusion purple team

PURPLETEAM

Stratégie qui consiste à créer une seule et même équipe (assaillants et opposants), afin de fédérer et renforcer la collaboration entre les auditeurs et tous les acteurs internes de la sécurité informatique. 

EN SAVOIR PLUS SUR LA MÉTHODOLOGIE DU TEST D'INTRUSION

Une approche collaborative du test d'intrusion

orientée ROI financier et humain

L'échange comme facteur clé de succès

L’ÉCHANGE, PRINCIPAL FACTEUR CLÉ DE SUCCÈS

Transparence et pédagogie sont les piliers de notre approche, ce qui se traduit par le transfert d’informations essentielles, le partage des impacts et l’ajustement du périmètre entre le pentester et le client.

Attaque et défense cybersécurité

Une culture de l'attaque et de la défense

Nous considérons que pour attaquer un SI, il faut savoir le défendre et inversement. Tous nos pentesters alternent des missions d’attaque et de défense. 

un plan d'action pragmatique

Une approche pragmatique de la sécurité

La finalité du pentest ne consiste pas à établir une liste de vulnérabilités, mais bien de formaliser un plan d’action pragmatique, comprenant des préconisations techniques, organisationnelles et humaines.

Test d’intrusion : quel état d’esprit pour l’auditeur et l’audité ?


Le test d’intrusion : un outil d’audit constructif et collaboratif

On cherche souvent deux objectifs dans le cadre d’un test d’intrusion :

  • Améliorer la sécurité du SI et vérifier la couverture réelle des risques identifiés. Dans ce cadre, les experts chargés du test d’intrusion et leurs interlocuteurs internes échangent en mode collaboratif avant le test.
  • Vérifier et tester la sécurité du SI en conditions réelles. Cet objectif est plus généralement recherché par des entreprises plus matures en termes de cybersécurité ou évoluant dans des périmètres restreints. L’organisation auditée cherchera donc à communiquer le moins d’information possible aux auditeurs afin de s’approcher le plus possible de conditions réelles de cyberattaques.

Le test d’intrusion se réalise dans un contexte constructif et collaboratif avec les équipes de la DSI. En effet, seule une relation de travail de confiance et de bienveillance permettra de tirer le meilleur du test d’intrusion. Ce dernier cherche avant tout à améliorer la sécurité du SI. Loin de pointer du doigt les disfonctionnements éventuels, le pentester va mettre en lumière, en collaboration avec l’entreprise auditée, des faiblesses dans le SI afin d’en renforcer la sécurité. Ces audits sont basés sur l’évaluation objective du SI. Leur réussite repose avant tout sur la bienveillance, l’esprit de collaboration et la disponibilité du client.

L’échange, facteur clé de succès

Lors d’un test d’intrusion, des rapports d’interventions quotidiens, agrémentés de rapports intermédiaires sont réalisés. Ceux-ci permettent de :

  • Transférer les informations importantes relatives aux accès transversaux des applications. Différents modes opératoires peuvent être utilisés.
  • Partager les impacts éventuels sur la production.
  • Faire évoluer le périmètre initial de l’audit si cela s’avérait nécessaire.
  • S’assurer que le résultat des découvertes faites dans le cadre du test d’intrusion correspond bien au périmètre du SI du client et à celui qui a été défini dans la convention.

Test d’intrusion : comment le préparer au mieux ?

Chez Login Sécurité, nous recommandons de préparer la visite de l’auditeur, ou pentester, en respectant quelques recommandations. En effet, plus la visite sera préparée, plus le test d’intrusion sera efficace :

  • Ne pas tenter de réparer ou de cacher des failles de sécurité juste avant le test d’intrusion,
  • Indiquer au pentester les failles déjà connues afin de gagner du temps dans le cadre du test d’intrusion.
  • Prévenir son équipe et ses sous-traitants (infogérant ou hébergeur),
  • Vérifier dans les contrats des sous-traitants, la présence éventuelle d’une clause d’auditabilité,
  • S’assurer que le test d’intrusion ne se réalisera pas pendant une opération informatique ou business majeure.

Pack Audit 360 - A partir de 10K€

Une offre packagée pour évaluer votre organisation de manière globale

conformité RGPD

AUDIT WEB

  • Conformité GDPR
  • Top 10 OWASP
identifier les cyber risques

AUDIT EXTERNE

  • Cybersurveillance
  • Prise d’information
  • Test applicatif
audit active directory

AUDIT INTERNE

  • Audit Active Directory
  • Audit Réseau
  • Audit WIFI
audit de compliance

AUDIT DE MOT DE PASSE

  • Test par bruteforce
  • Audit de compliance

Que savent les hackers sur votre entreprise ?

IP, applicatif exposé, VPN, localisation, mot de passe exposé ?

Envoyez-nous un message en nous communiquant vos coordonnées ainsi qu’un créneau dans les 15 prochains jours pour bénéficier d’un mini-audit de votre environnement.

La restitution se fera lors d’un rendez-vous d’une heure.

Contactez-nous
test d'intrusion mini audit

TEAM LEADER PENTEST

Pierre-Alexandre VANDEWOESTYNE team leader pentester

Pierre-Alexandre Vandewoestyne

15 ans d’expérience dans l’IT, 5 en Sécurité des Systèmes d’Information. 

Passionné de sécurité informatique, après un parcours d’ingénieur réseau & système Pierre-Alexandre s’est spécialisé en CyberSécurité en complétant son cursus par un master spécialisé. 

Il rejoint Login Sécurité en 2017 pour créer et développer l’activité de CyberSécurité dont il est maintenant le CTO.