Le test d'intrusion, ou pentest en anglais, est un audit ayant pour but de vérifier la sécurité d'une ressource (plage d'adresses IP, site ou application web, mobile, réseau interne...) du point de vue d'un attaquant. Il s'agit du meilleur moyen de vérifier concrètement l'efficacité des mesures de protection mises en place.
Plus concrètement, nous évaluons la sécurité du périmètre défini avec vous suivant une méthodologie spécifique aux périmètres testés, qui s'appuie notamment sur le PTES (Penetration Testing Execution Standard), ainsi que sur des ressources fondamentales telles que l'OWASP.
Un rapport d'audit clair et détaillé est rédigé à la suite de la prestation, mentionnant les points positifs et les préconisations nécessaires pour pallier aux éventuelles vulnérabilités. La restitution de ce rapport pentest correspond à une présentation téléphonique ou dans vos locaux et se décompose ainsi :
Nous vous invitons à consulter la liste de nos prestations d'audit afin d'avoir des informations plus détaillées sur les tests d'intrusion que nous proposons.
Préalablement aux tentatives d'intrusion, nous définissions avec vous le périmètre à étudier. Il peut s'agir de votre site institutionnel, d'applications web spécifiques, d'un ensemble de périphériques, d'une plage d'adresses réseau, de bâtiments physiques...
Nous définissons également le niveau d'informations dont nos pentesteurs bénéficient au commencement des tests :
Le jour J, nous organisons une réunion de lancement avec vos interlocuteurs techniques, puis après une ultime confirmation, nous débutons les tests techniques.
En boite noire, nos tests d'intrusion débutent typiquement par une phase de reconnaissance passive où nous nous renseignons sur la cible, sans toutefois établir de connexion avec celle-ci. Suit ensuite une phase de prise d'empreintes qui débute par l'énumération des services et des applications exposées.
Pour chaque service découvert, nous cherchons alors s'il existe des vulnérabilités connues, des défauts de configuration, des failles et nous identifions également les points d'entrée utilisateur que nous pourrions exploiter pour compromettre le périmètre.
En boite grise, où nous avons généralement un ou plusieurs comptes à notre disposition, nous vérifions également que les données et fonctionnalités soient correctement cloisonnées (contrôle d'accès), et qu'un déplacement latéral ou qu'une élévation de privilèges ne soient pas possibles.
En boite blanche, nous vérifions également le contrôle d'accès du compte d'administration, mais aussi que les permissions accordées à celui-ci ne soient pas suffisamment larges pour s'échapper de l'application et prendre le contrôle du serveur sous-jacent.
Si nous avons le code source à disposition, nous effectuons une rapide étude du code source orientée sécurité, afin de chercher davantage de vulnérabilités.
Nous vous récapitulons ensuite les principaux constats de l'audit durant un point de synthèse, avant de terminer par la rédaction des livrables.
Notre méthodologie de qualité vous permet de bénéficier :
Depuis novembre 2020, nous sommes Prestataire d'Audit de la Sécurité des Systèmes d'Information (PASSI). Cette qualification délivrée par l'ANSSI atteste de nos compétences en tant qu'auditeurs, mais aussi du soin que nous apportons à la confidentialité des données sensibles auxquelles nous pouvons être amenés à avoir accès durant nos prestations chez des clients. En outre, cette qualification atteste de notre respect de la norme d'audits ISO 19011. Nous avons obtenu cette qualification sur les portées Test d'intrusion, Audit de configuration, Audit d'architecture et Audit organisationnel et physique.
Nous auditons vos applications mobiles Android et iOS.
Nous auditons votre réseau interne afin de vous présenter ce qu'un attaquant qui y accède serait en mesure de compromettre.
Nous éprouvons la sécurité de vos locaux et de votre personnel sur la base de scénarios conçus en concertation avec vous.
Spécialistes en sécurité informatique et pentests à Lyon, Paris, Saint-Étienne et partout en France
Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.