Audit externe et cloud

Tests d'intrusion d'infrastructure externes

Nous auditons vos plages d’adresses IP publiques ainsi que les services qui y sont exposés (messagerie, partage de fichiers, administration...).

Les attaques simulées par nos experts permettent d’évaluer le niveau de perméabilité et de sécurité de votre réseau informatique, au niveau de ces expositions publiques.


Tests d'intrusion d'infrastructure cloud

audit-cloud

De plus en plus d'organisations se reposent sur des environnements cloud, en raison des avantages inhérents du cloud computing (coût, vitesse, performances ...). Mais ces avantages sont potentiellement accompagnés de vulnérabilités importantes : cela rend d'autant plus nécessaire la sécurisation des infrastructures et applications hébergées sur le cloud.

En effet, malgré les mesures de sécurité mises en place par le fournisseur, la configuration des serveurs spécifique à l'environnement et la gestion des privilèges est à la charge de l'utilisateur, ce qui peut conduire à plusieurs défauts de sécurité. Les tests d'intrusion permettent de valider la sécurité de ces environnements. Nous sommes en mesure d'effectuer des audits sur diverses infrastructures cloud, afin d'en évaluer le niveau de perméabilité et de sécurité.

Cela peut concerner des environnements de type IaaS (Infrastructure as a service), PaaS (Platform as a service), ou SaaS (Software as a service), et ce, sur des plateformes telles que Microsoft Azure, la plateforme AWS d'Amazon, ou encore Google Cloud.

Amazon Web Service

Nos auditeurs testent une série de paramètres de configuration liés à des scénarios d'intrusion afin de pouvoir valider ou infirmer l'existence de menaces concrètes. Parmi ces scénarios, on peut noter :

  • Exploitation d'instance EC2
  • Audit de la configuration du compartiment S3
  • Exploitation liées aux fonction lambda vulnérables
  • Vérification de la gestion des privilèges
  • Tentative de compromission des clés EC2

Microsoft Azure

Nos auditeurs testent une série de paramètres de configuration liés à des scénarios d'intrusion afin de pouvoir valider ou infirmer l'existence de menaces concrètes. Ces tests peuvent notamment couvrir l'ensemble des produits de la gamme "Microsoft Cloud" (Azure Active Directory, Microsoft Intune, Microsoft Azure, Microsoft Dynamics 365, Microsoft Account, Office 365, Azure DevOps). Les tests peuvent s'orienter autour de :

  • Tests sur les points de terminaison visant à détecter les 10 principales vulnérabilités de l'OWASP
  • Balayage de ports
  • Fuzzing des points de terminaison
  • Compromission des logs

Google Cloud

Nos auditeurs testent une série de paramètres de configuration liés à des scénarios d'intrusion afin de pouvoir valider ou infirmer l'existence de menaces concrètes. Parmi ces scénarios, on peut noter :

  • Contrôle de l'escalade de privilèges d'un utilisateur standard de l'environnement, et délimitation des droits et des ressources
  • Audit de la gestion des privilèges et du contrôle d'accès : vérification de l'application du principe du moindre privilège
  • Escalade de privilège inter-utilisateur/inter-projet
  • Tentative d'exploitation de Kubernetes et audit de sa configuration
  • Vérification de l'exposition du périmètre
  • Audit des configuration des fonctions Cloud
  • Mise en place de backdoor
  • Pivot entre environnements cloud exploitant les permissions inter-cloud

Méthodologie et rapport

Notre méthodologie de test d’intrusion des applications est conforme aux standards OWASP, qui est la norme du secteur en matière de la sécurité des applications.

Le rapport d'audit est rédigé suite à la prestation et mentionne les bonnes pratiques, mais surtout les défauts de sécurité, les scénarios de menaces élaborés et les préconisations nécessaires pour pallier à ceux-ci. Cela permet d'établir une restitution à deux niveaux pour :

  • Restitution managériale : donne une vision métier des vulnérabilités identifiées, présente les risques et axes généraux d’amélioration de la sécurité
  • Restitution technique : détaille les vulnérabilités, permet un échange technique pointu autour du plan d'action envisagé

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.