Pentest, audit et test d'intrusion informatique

Audits et tests d'intrusion (pentest)

Le test d'intrusion, ou penetration test en anglais, est un audit ayant pour but de vérifier la sécurité d'une ressource (plage d'adresses IP, site ou application web, mobile, réseau interne...) du point de vue d'un attaquant. Il s'agit du meilleur moyen de vérifier concrètement l'efficacité des mesures de protection mises en place.

Plus concrètement, nous évaluons la sécurité du périmètre défini avec vous suivant une approche méthodologique et une démarche technique spécifique aux périmètres testés, qui s'appuie notamment sur le PTES (Penetration Testing Execution Standard), ainsi que sur des ressources fondamentales telles que l'OWASP.

Un rapport d'audit clair et détaillé est rédigé à la suite de la prestation, mentionnant les points positifs et les préconisations nécessaires pour pallier aux éventuelles vulnérabilités. La restitution de ce rapport pentest correspond à une présentation téléphonique ou dans vos locaux et se décompose ainsi :

  • Restitution managériale : donne une vision métier des vulnérabilités identifiées, présente les risques et axes généraux d’amélioration de la sécurité
  • Restitution technique : détaille les vulnérabilités, permet un échange technique pointu autour du plan d'action envisagé

Nous vous invitons à consulter la liste de nos prestations d'audit afin d'avoir des informations plus détaillées sur les tests d'intrusion que nous proposons.

audit-pentest

Notre méthodologie

Préalablement aux tentatives d'intrusion, nous définissions avec vous le périmètre à étudier. Il peut s'agir de votre site institutionnel, d'applications web spécifiques, d'un ensemble de périphériques, d'une plage d'adresses réseau, de bâtiments physiques...

Nous définissons également le niveau d'informations dont nos pentesteurs bénéficient au commencement des tests :

  • boite noire (aucune information),
  • boite grise (accès à des comptes d'utilisateurs),
  • ou boite blanche (accès aux comptes d'administrateurs, voire plus).

boite-noire

boite-grise

boite-blanche

Le jour J, nous organisons une réunion de lancement avec vos interlocuteurs techniques, puis après une ultime confirmation, nous débutons les tests techniques.

En boite noire, nos tests d'intrusion débutent typiquement par une phase de reconnaissance passive où nous nous renseignons sur la cible, sans toutefois établir de connexion avec celle-ci. Suit ensuite une phase de prise d'empreintes qui débute par l'énumération des services et des applications exposées.

Pour chaque service découvert, nous cherchons alors s'il existe des vulnérabilités connues, des défauts de configuration, des failles et nous identifions également les points d'entrée utilisateur : tout vecteur d'attaque dont nous nous pourrions tirer partie pour compromettre le périmètre.

En boite grise, où nous avons généralement un ou plusieurs comptes à notre disposition, nous vérifions également que les données et fonctionnalités soient correctement cloisonnées (contrôle d'accès), et qu'un déplacement latéral ou qu'une élévation de privilèges ne soient pas possibles.

En boite blanche, nous vérifions également le contrôle d'accès du compte d'administration, mais aussi que les permissions accordées à celui-ci ne soient pas suffisamment larges pour s'échapper de l'application et prendre le contrôle du serveur sous-jacent.

Si nous avons le code source à disposition, nous effectuons une rapide étude du code source orientée sécurité, afin de chercher davantage de vulnérabilités.

Nous vous récapitulons ensuite les principaux constats de l'audit durant un point de synthèse, avant de terminer par la rédaction des livrables.

Les atouts d'Algosecure

Notre démarche méthodologique de qualité vous permet de bénéficier :

  • De rapports pentest intelligibles rédigés manuellement
  • Du regard complémentaire de deux experts en sécurité
  • D'une analyse manuelle indispensable pour compléter l'approche automatique
  • De recommandations, remédiations et actions correctives claires et précises
  • D'une restitution dans vos locaux permettant l'échange avec vos équipes

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.