TEST D’INTRUSION : UNE APPROCHE PRAGMATIQUE POUR EVALUER LE NIVEAU D’EXPOSITION DE VOTRE SI

Une question sur le test d’intrusion ? Notre équipe est à votre disposition
pentest@login-securite.com

Le test d'intrusion, outil de réduction des risques

Une réponse opérationnelle pour votre démarche SSI

Evaluer la sécurité de votre infrastructure ou de vos applications critiques

Evaluer votre sécurité vis-à-vis d’un attaquant externe et/ou interne

Déterminer vos plans d’action court, moyen et long terme

Protéger vos données

Identifier les risques cyber

Que savent les hackers sur votre entreprise ?
Faire le test

Quel périmètre pour votre test d’intrusion ?

Testez tout ou partie de votre organisation

Externe

Testez la vulnérabilité de tout ou partie de votre système d'information exposé, susceptible d'être exploité par des hackers ou des logiciels malveillants.

Interne

Testez la vulnérabilité de votre entreprise face à un attaquant interne disposant de certains accès (Accès VPN, compromission via du phishing, accès wifi, etc...).

Applicatif

Evaluez la sécurité de vos applications et sites web en détectant les failles établies par l'OWASP.

Plateformes d’hébergement

Evaluez la sécurité de votre hébergeur Cloud Privé ou Cloud Public (Azure, O365, AWS, GCP).

IBM i - Power i

Sécurité des accès au Power i, analyse matricielle de la gestion des droits, évaluation des risques de la JVM, sécurité des Applicatifs Web.

EDR

Analyse de la couverture et configuration de l'EDR déployé sur votre parc, pour améliorer son efficacité dans la détection d'attaques.

Mobile

Évaluez la sécurité de vos applications Android et iOS en identifiant les vulnérabilités et en protégeant les données sensibles.

Red Team

Simulez une attaque réaliste pour tester la résistance de votre organisation face à des scénarios d'intrusion avancés.

Purple Team

Combinez les forces de l'attaque et de la défense pour améliorer votre détection et votre réponse aux menaces.

La méthodologie d'un test d'intrusion

Greybox, le nouveau standard

BLACKBOX

L’auditeur simule une attaque en se mettant dans la peau d’un hacker, dans les conditions d’un piratage réelle.

Ce test en boite noire consiste à effectuer un pentest sans aucune connaissance préalable de l'environnement cible. Cela reproduit une attaque externe réaliste, en testant principalement les surfaces d'attaque exposées au public, comme les applications web ou les systèmes ouverts. Cette approche permet de mesurer la capacité réelle de l'entreprise à résister à un attaquant externe sans privilèges initiaux. Cependant, elle peut manquer de profondeur pour identifier des failles internes complexes, ce qui est compensé par les méthodes white box ou grey box qui explorent les vulnérabilités internes avec plus de précision.

WHITEBOX

L'auditeur travaille en étroite collaboration avec la DSI de son client, avec un accès à toutes les informations techniques sur le périmètre audité.

Un audit en boite blanche consiste à réaliser un test d'intrusion en ayant accès à toutes les informations nécessaires sur l'infrastructure cible : code source, architecture réseau, configurations système, etc. Cette méthode permet d'identifier rapidement des vulnérabilités profondes et complexes qui seraient difficiles à détecter autrement. Elle offre une couverture exhaustive des tests, permettant d'optimiser les ressources et le temps. Toutefois, cette approche peut manquer de réalisme dans le cas où un attaquant externe ne disposerait pas de telles informations, c'est là que le grey box ou le black box testing peuvent apporter un complément en simulant des attaques externes plus réalistes.

GREYBOX

Méthodologie intermédiaire qui permet de bénéficier des avantages du BlackBox et du WhiteBox.

Méthodologie intermédiaire qui permet de bénéficier des avantages du BlackBox et du WhiteBox.

REDTEAM

Un exercice Red Team simule des attaques réelles et sophistiquées contre une entreprise pour tester ses défenses. Cette approche permet d'évaluer la capacité de l'équipe de sécurité à détecter, répondre et contenir des menaces avancées. L'objectif principal est de mettre en lumière les points faibles de l'infrastructure, des processus ou des personnes. Cependant, comme les tests sont purement offensifs, ils ne permettent pas toujours un apprentissage direct ou une amélioration en temps réel ; c'est ici que la Purple Team intervient pour combler cette lacune.

PURPLETEAM

Un Purple Team combine les approches offensive et défensive en travaillant en collaboration avec le SOC (Security Operations Center). Cette méthode permet de mener des attaques tout en observant en direct ce que le SOC parvient à détecter ou non. Cela aide à identifier les limites de la surveillance et à améliorer les capacités de détection en affinant les règles et les mécanismes de réponse. Comprendre ce qui échappe à la visibilité du SOC est crucial pour adapter les stratégies de défense et renforcer la posture globale de sécurité face à des menaces réelles.

Une approche collaborative du test d'intrusion

Orientée ROI financier et humain

L’échange, principal facteur clé de réussite

La transparence et la pédagogie sont au cœur de chaque mission. Nous avons à cœur de former nos clients en leur expliquant chaque étape des attaques et des vulnérabilités identifiées. Notre objectif : qu'ils comprennent pleinement les enjeux. Cette approche repose sur un échange constant et constructif, incluant le partage des impacts et l'adaptation du périmètre entre le pentester et le client, pour une collaboration sur mesure et efficace.

Bien définir le périmètre de l’audit de sécurité

Peu importe le type de « box » choisie, le périmètre de l’audit de sécurité doit être déterminé en amont. Le plus simple est de rédiger un cahier des charges recensant les différentes attentes, les limites ou contours de l’opération et le détail des aspects techniques. Ainsi, le périmètre de l’audit, ou du test d’intrusion, sera clairement défini entre l’audité et l’auditeur. Une convention d’audit pet également être rédigée. Celle-ci permet de définir un cadre légal d’intervention et la façon dont l’entreprise client doit s’impliquer ou non dans le test d’intrusion.

Un pentest orienté action et amélioration

Le pentest ne se limite pas à l’identification d’une liste de vulnérabilités. Son véritable objectif est d’accompagner le client dans l’amélioration concrète de sa sécurité en formalisant un plan d’action pragmatique. Ce plan inclut des préconisations techniques, organisationnelles et humaines adaptées à ses besoins et contraintes. L’idée est qu’à terme, le client puisse renforcer son niveau de sécurité de manière autonome et durable.

Une culture de l’attaque et de la défense

Pour nous, attaquer et défendre un système d'information sont deux facettes indissociables de la cybersécurité. C'est pourquoi tous nos pentesters alternent entre des missions offensives et défensives. Cette double expertise leur permet de mieux comprendre les stratégies adverses et d'apporter des solutions plus pertinentes, efficaces et adaptées aux besoins de nos clients.

Pack Audit 360

Une offre packagée pour évaluer votre organisation de manière globale.

Je demande mon audit
Audit
web

• Conformité GDPR
• Top 10 OWASP

Audit de
mot de passe

• Test par bruteforce
• Audit de compliance

Audit
interne

• Audit Active Directory
• Audit Réseau
• Audit WIFI

Audit
externe

• Cyber surveillance
• Prise d’information
• Test applicatif

Team Leader Test d'Intrusion

Romain Bentz

11 années d'expérience en Sécurité des Systèmes d'Information. Autodidacte et passionné, Romain est actif sur la scène de la sécurité informatique via son blog hackndo, le développement d'outils et de contenus de formation (HackTheBox, OpenClassrooms, …). Il est maintenant associé chez Login Sécurité et Leader de l'équipe de tests d'intrusion, et intervient toujours auprès de différents clients en tant que pentester