Tests d'intrusion

    Vous êtes ici :  
  1. Accueil
  2. Nos prestations
  3. Tests d'intrusion

Tests d'intrusion

Pour aller encore plus loin qu'un audit de votre Système d'Information, vous pouvez nous demander de réaliser un test d'intrusion, ou "pentest".

Pourquoi choisir de faire un pentest ?

Le pentest permet notamment de :

  • Mesurer les risques de votre Système d’Information et/ou de vos applications,

  • Vérifier les mesures, les moyens et le niveau de sécurité mis en place,

  • Détecter et identifier les éventuelles failles de sécurité,

  • Vérifier les défenses et politiques de sécurité en place face aux attaques externes,

  • Valider le niveau de sécurité d’une nouvelle application. 

Comment se déroule un pentest ?

La méthodologie

La méthode d'évaluation de la sécurité d'un système d'information se déroule en se mettant dans la peau d'un acteur malveillant : ce test est effectué en conditions réelles d’attaque, le ou les expert.s reproduisant les techniques des hackers.

Cette méthode est basée sur des scénarios d’attaques « multi-vectoriels » qui allient en premier lieu l’identification des vulnérabilités, puis leur exploitation.


Le déroulement 

« Le test de la boite noire » , le plus courant : effectué sans authentification et sans connaissance technique de la plateforme, ce test permet d’évaluer la sécurité de l’infrastructure et des mécanismes d’authentification en place. Dans l'idéal, vos équipes techniques ne sont pas mises au courant du lancement du test.

« Le test de la boite grise » : Cette approche est différente car elle est effectuée en utilisant un compte utilisateur connecté disposant d’informations sélectionnées et limitées. Ce test permet de vérifier le cloisonnement, et les élévations de privilèges horizontaux et verticaux.


Les spécificités du pentest

  • Le périmètre : les zones d’attaques doivent être adaptées et parfaitement définies en amont.

  • La durée dédiée aux tests : l'expert devra disposer d'un temps suffisant pour réaliser les tests.

  • Des échanges quotidiens : indispensables pour présenter les résultats et/ou affiner les critères si besoin.

  • Les surfaces d'attaques sont déterminées et précises : applicatives / réseau / système / spécifiques web

Les résultats du pentest

Les résultats de ces tests permettent :

  • L'identification des vulnérabilités trouvées dans l'infrastructure,

  • Les scénarios possibles pouvant amener à une compromission du système d'information,

  • Le recensement des vulnérabilités exploitables,

  • De proposer des solutions sur-mesures pour rectifier les failles,

  • La sécurisation de vos applications.

 

 

Menu