Vous seriez étonnés de voir
tout ce que l'on peut découvrir...
Votre test d'intrusion managé
La touche humaine
Nos pentesters se basent sur des outils éprouvés et mettent un point d'honneur à aller le plus loin possible en utilisant à la fois leurs compétences et des tests manuels en respectant les engagements prédéfinis.
Nous accordons une importance particulière à la communication tout au long du projet avec un statut d’avancement quotidien pour donner un maximum de visibilité et mener à bien l'audit.
Pentest orienté impact
Parce que chaque infrastructure et business sont différents, nos pentesters ont à cœurs de mener leurs campagnes de tests d’intrusion orientés impacts.
Alors que bien souvent les vulnérabilités mineures sont laissées de côté, nos ingénieurs les chaînent et les scénarisent avec d’autres pour vérifier que leurs conséquences ne soient pas critiques. Par exemple un panier avec une quantité négative qui permettrait d'être livré sans avoir à payer la quantité en question.
Double
approche
Chaque pentester participe à l'édification des défenses de nos clients dans des environnements différents (SI / Mobile / Web). Cette double expertise d'attaque et de défense est l'assurance d'un pentest à large spectre.
Votre security project manager va, en fonction de l'environnement et des résultats de l'audit, vous faire des recommandations et vous apporter des solutions afin de pérenniser la sécurité de vos applications.
Un audit d'intrusion adapté à votre périmètre
Test d'intrusion applicatif
Cet audit va tester la sécurité des applications et services web tels que les sites institutionnels, e-commerce, API, ou encore applications CRM.
Pentest mobile
Souvent sous-estimée, l'analyse de la sécurité des applications mobiles est essentielle. Nos pentesters ont développé une expertise dans cet audit que ce soit dans un environnement iOS ou Android.
Test d'intrusion SI interne
La menace peut venir de l'interieur. L'objectif est ici de détecter les failles internes : Active Directory, Ingenieurie sociale, phishing, Cloud, ...
Audit du périmètre externe
Cet audit, plus large qu'un pentest applicatif, va tester l'exposition de vos actifs sur le web : découvrir un eventuel "shadow-IT", des ports ouverts ou encore une non-conformité (PCI-DSS, HDS, ...).
Webinar : Quelles sont les techniques utilisées par les hackers pour prendre le contrôle de vos objets connectés ?
A l’heure où l’IoT se déploie massivement au sein de nos organisations comme nos domiciles, la question de la sécurité de ces objets connectés du quotidien se pose. De leurs conceptions à leurs utilisations, ceux-ci sont-ils réellement protégés ?
Durant ce webinar, vous allez découvrir le résultat de nos pentests et les techniques utilisées par les hackers pour prendre le contrôle de 4 objets grand public et d’entreprise achetés sur les grandes markets places en ligne : Caméra connectée, Routeur Wifi, Serrure électronique, Bluetooth Low Energy.
Pourquoi réaliser un pentest ?
Le test d’intrusion permet de détecter les vulnérabilités fonctionnelles et techniques des applications, des infrastructures, des systèmes d’information.
Concrètement, le pentest (ou test d’intrusion) consiste à se placer dans la peau d’un utilisateur malveillant voulant dérober des données sans être détecté. Ce type de test peut être réalisé sur une plateforme de production sans risque.
Selon les bonnes pratiques, il est d’ailleurs conseillé de réaliser un pentest une fois par an et/ou avant chaque mise en ligne d’une application ou d’un composant d’infrastructure critique.
Le déroulement d'un pentest
Les engagements pris avec le client
Un kick-off est réalisé en amont de l'audit pour échanger sur le degré de couverture du test d'intrusion. L'ensemble des engagements pris avec le client sont définis lors de cette phase.
La collecte de renseignements
La phase de collecte consiste à récupérer des informations sur la cible qui vont être utilisées pour affiner les tests menés sur la plateforme. Elles permettent également d'obtenir de précieuses indications sur le niveau de sécurité global. Elles peuvent permettre de découvrir des données sensibles disponibles publiquement.
La modélisation des menaces
Cette phase consiste a déterminer quelles sont les fonctionnalités les plus dangereuses sur l'application, en recoupant avec les données récupérées pendant la collecte d'informations, l'auditeur va être capable d'identifier les points critiques de l'application. Par exemple, pour un site d’e-commerce, la manipulation des prix, tandis que pour une application de gestion RH, les données personnelles sont les données critiques à récupérer.
L'analyse des vulnérabilités
Cette phase permet de mettre en relation les renseignements récoltés avec les menaces afin de déterminer si l'attaque est réalisable.
L’exploitation
Cette phase est la plus longue du test d'intrusion, elle consiste à tester manuellement tous les types de vulnérabilités qui auront été identifiées comme réalisables sur l'application.
La phase de post exploitation
Cette phase consiste à déterminer les données auxquelles un potentiel hacker pourrait avoir accès en exploitant la faille. Nos pentests sont orientés impacts, cette phase permet donc de chaîner plusieurs vulnérabilités même mineures pour en démontrer l’impact et donc le risque pour votre métier.
Le rapport
Le rapport est sans doute une des phases les plus importantes d'un test d'intrusion. Le rapport établit ce qui a été réalisé lors du test d'intrusion mais il permet surtout de mettre en lumière de façon pédagogique et priorisée les faiblesses de l'application et comment la cible peut se protéger contre ces attaques.
Différents scénarios
Pour chacun des périmètres de pentests, différents modes sont applicables et déterminent le niveau d'information confié à nos auditeurs. Ces scénarios permettent de simuler différents profils d'attaquants : invités, prestataires, fournisseurs, stagiaires, clients ou encore employés. Chaque mode ayant ses avantages, ses inconvénients et ses limites :
- Black Box : L'auditeur teste à l'aveugle sans aucune information à sa disposition. Il s'agit du mode proposé par défaut permettant de mettre en condition réelle le périmètre face à une personne malveillante découvrant les ressources pour la première fois.
- Grey Box : Une quantité limitée d'informations sont transmises. Ce mode permet de simuler des profils d'attaquants qui sont en mesure de s'authentifier sur l'application ou les services ciblés, et donc d’accéder à des fonctionnalités supplémentaires.
- White Box : La totalité des informations du périmètre sont confiées au pentester (schéma d'architecture, matrice de flux, code source, accès administrateurs). L'objectif étant de trouver le maximum de vulnérabilités et de faiblesses de configuration pouvant être exploitées.
Nos certifications
We hack. We teach.
Nous sommes reconnus pour nos recherches sur les menaces de sécurité les plus récentes, et cette connaissance enrichit en permanence tous nos travaux en matière de cyber sécurité. Ce que nous apprenons des tests d'intrusion sur le terrain alimente nos formations, et inversement. Tout le monde y gagne !