Pentest — Test d'intrusion
— Évaluez le niveau de sécurité de votre système d'information.Évaluez la résistance de
votre système d'information
Nos experts certifiés Ethical hacking (CEH, OSCP) savent se mettre dans la peau d'un attaquant expérimenté. Qu'ils soient en possession ou non, d'informations sur la cible du test d'intrusion (White Box / Black Box / Gray Box), ils savent réaliser tous types d'attaques : reconnaissance, Social Engineering, intrusion informatique ou physique... L'objectif du test d'intrusion est de repérer les potentielles failles et vulnérabilités de votre système. Il permettra de corriger les vulnérabilités afin de sécuriser vos infrastructures.
Les 4 étapes du pentest —
test d'intrusion
Le processus est divisé en 4 étapes.
01. Planning and reconnaissance
Cette première étape sert à définir la portée et les objectifs du test, y compris les systèmes à traiter et les méthodes de test à utiliser.
Une collecte d'informations est également effectuée (par exemple, noms de réseau et de domaine, serveur de messagerie, fuite de données, OSINT, etc.) pour mieux comprendre le fonctionnement d'une cible et ses vulnérabilités potentielles.
02. Scanning
Analyse statique - Interprétation des données collectées en phase 1. Analyse des services, ports, adresses, domaines, comportements, employés, etc. sans impact direct avec la cible.
Analyse dynamique - Acquisition d'informations à l'aide d'outils d'analyse actifs. Ces outils peuvent être des outils leader du domaine, des outils openSource, des outils issus de la R&D interne et des techniques manuelles.
03. Gaining Access
Cette étape utilise des attaques applicatives, systèmes, réseau, etc. tels que les "cross-site scripting", "SQL injection", "Buffer Overflow", "Heap Overflow", etc. afin d'exploiter les vulnérabilités de la cible. Dans le but de réaliser des "Privilège Escalation", des mouvements latéraux peuvent être effectués. l'objectif final étant d'atteindre la cible donnée par le client.
04. Maintaining access
Cette dernière étape permet de voir si la vulnérabilité peut être utilisée pour obtenir une présence persistante dans le système exploité — suffisamment longtemps pour qu'un mauvais acteur puisse accéder en profondeur. Le but est d'imiter les menaces persistantes avancées, qui restent dans un système durant des mois afin de dérober les données les plus sensibles d'une organisation..
Les méthodes de test d'intrusion
Le processus est divisé en 4 étapes.
External testing
Les tests de pénétration externes ciblent les actifs d'une entreprise qui sont visibles sur Internet, par exemple, l'application Web utilisée, le site Web de l'entreprise et les serveurs de messagerie (DNS). L'objectif est d'accéder et d'extraire des données précieuses.
Internal testing
Le test d'intrusion interne à pour but d'identifier les problèmes de sécurité et d'évaluer la résistance des infrastructures venant du réseau interne. Le pentester à pour objectif de tester la protection du réseau et des données internes en se mettant dans la peau d'un stagiaire ou un employé malveillant. Il peut également tester que les meilleurs pratiques en termes de sécurité sont bien respectés par les administrateurs.
Blind testing
Cette procédure imite une véritable cyberattaque. Outre le fait que l'entreprise l'ait autorisée, les informations fournies sont limitées et le pentester doit chercher la plupart des informations de l'entreprise comme pourrait le faire un pirate expérimenté.
Double-blind testing
Le "Double-blind testing" est similaire au test à l'aveugle. La particularité est que quelqu'un de l'organisation a été informé de l'activité en cours. Ce test est effectué pour déterminer la rapidité et l'efficacité de l'équipe de sécurité à réagir. Il prépare l'entreprise à une éventuelle attaque et permet la suppression des failles.
Targeted testing
Dans ce scénario, le testeur et les membres de l'organisation de sécurité travaillent ensemble et se tiennent mutuellement informés de leurs mouvements. Il s'agit d'un exercice de formation qui fournit à l'équipe de sécurité l'ensemble des informations en temps réel du point de vue d'un pirate.
Un projet ? Des questions ? Nous sommes disponibles pour vous conseiller et vous accompagner.
Qu'est-ce-que
le pentest ou Test d'intrusion ?
Un Pentest vient de la concentration de "penetration test". En français : test de pénétration, ou test d'intrusion.
Cette méthode est utilisée en sécurité informatique pour identifier les vulnérabilités d'un système d'information. Par la suite, il permettra de réduire les risques liés aux vulnérabilités découvertes en y apportant les modifications nécessaires. Le test d'intrusion consiste à se mettre dans la peau d'un pirate (hacker) malveillant et d'essayer de pénétrer une cible donnée qui sera, dans ce cas, le client. La cible peut être :
Le test d'intrusion peut être réalisé à l'aide d'applications automatisées ou manuellement. Il n'est pas à confondre avec l'audit de sécurité, qui va, pour sa part, permettre d'évaluer un système ou une application à partir d'un référentiel généralement constitué par la politique de sécurité de l'entreprise. Le test d'intrusion ne se base pas sur des normes et va quant à lui évaluer la résistance d'un système d'information au piratage à un instant T.
Pourquoi faire
un test d'intrusion ?
Notre société et nos usages en particulier, sont désormais digitalisés. L'ensemble de nos informations, privée, business etc. sont dispersées à travers le globe sous forme de data numérique. Les nouveaux dangers viennent de personnes malveillantes qui tentent de pénétrer vos systèmes à la recherche de ces données, prendre le contrôle des réseaux, installer des logiciels malveillants, perturber les services et plus encore. Vos outils et configurations résisteront-ils au test? Répondent-ils aux normes de l'industrie? Le test d'intrusion sert à déterminer ces failles.
Pour la même raison que vous vous rendez chez un professionnel de santé pour effectuer un bilan annuel, il est logique de vous tourner vers des consultants en sécurité hautement qualifiés pour effectuer vos tests de sécurité. Bien que vous puissiez dire que vous êtes en parfaite santé, un médecin peut effectuer des tests pour détecter des dangers que vous ne connaissez peut-être même pas encore !
De même, les personnes qui élaborent vos programmes de sécurité et les maintiennent, les surveillent quotidiennement, peuvent ne pas avoir l'objectivité nécessaire pour identifier les vulnérabilités, comprendre le niveau de risque pour votre organisation et vous aider à résoudre les problèmes critiques. En d'autres termes, dans ce jeu d'echec continu, il est parfois utile de changer de joueur et de stratégie.
Quels sont les méthodes
de test d'intrusion ?
Le test d'intrusion de réseau
Identifie des problèmes de sécurité au sein de votre infrastructure de réseau. Le test d’intrusion réseau devrait impliquer un scan de votre réseau filaire et sans fil.
Test d’intrusion d'applications Web
Détecte les questions de sécurité sur un site Web ou dans une application Web susceptibles d'être exploitées par un attaquant malveillant pour entraîner un vol de données ou des dommages irréparables.
Test d'intrusion de réseau sans fil
Le test d'intrusion de réseau sans fil sert à détecter les points d'accès et les dispositifs dévoyés, à analyser vos configurations et à tester les vulnérabilités.
Test de phishing simulé
Offre une appréciation indépendante de la susceptibilité des employés aux attaques par phishing et évalue vos campagnes de sensibilisation à la sécurité.
Un projet ? Des questions ? Nous sommes disponibles pour vous conseiller et vous accompagner.
“Pure player” cybersécurité
[RED] Red Team & Pentest
[BLUE] SOC 24/7 < 30 min
[PURPLE] CERT & VOC
Projets complexes
Formations & Certifications
Liens
Blog
Bureaux France
836 rue du Mas de Verchant
34000 Montpellier (siège)
93 rue de la Villette
69003 Lyon
22 mail Pablo Picasso
44000 Nantes
37 avenue Ledru-Rollin
75012 Paris