Test d’intrusion
Transformation digitale des entreprises
18 juillet , 2023
Découvrez notre offre de test d'intrusion !
Les tests d’intrusion sont réalisés pour évaluer la sécurité d’un système informatique ou d’une application et identifier les vulnérabilités potentielles qui pourraient être exploitées par des attaquants. Complémentaire à l’audit de sécurité qui évaluera lui la sécurité de votre SI par rapport à des normes, notre test d’intrusion vous permettra de connaître les préconisations techniques quant à son évolution.
Cadrage du test d’intrusion informatique
Réalisation du test d’intrusion
Rapport du test d’intrusion
Caractéristiques de notre offre de test d'intrusion
CADRAGE DU TEST D’INTRUSION
- Définition du périmètre du test d’intrusion
- Définition de la stratégie de test white box, black box, grey box
- White box : l'auditeur possède l’intégralité des informations qui lui sont nécessaires
- Grey box : l’auditeur possède quelques informations de base
- Black box : l'auditeur n’a aucune information de votre SI
- Elaboration d’une liste de menaces pour l’entreprise
- Présentation de notre méthodologie de test
REALISATION DU TEST D’INTRUSION
- Lancement des scénarii d’attaques
- Test d’intrusion externe pour tester les potentielles attaques provenant d’internet
- Test d’intrusion interne pour tester le risque de compromission physique d’un réseau, d’infection d’un poste utilisateur ou d’attaque de personnel de l’entreprise
- Test d’intrusion wifi afin d’identifier le risque sur l’infrastructure sans fil et de connaître les faiblesses qui pourraient profiter à un individu malveillant
types de tests : BOITE NOIRE, BOITE BLANCHE, BOITE GRISE
PCI-DSS
votre MISE EN CONFORMITE PCI – DSS passe par un test d’intrusion
c’est le coût moyen d’une perte de clientèle suite à une CYBERATTAQUE
RAPPORT DU TEST D’INTRUSION
- Liste des vulnérabilités identifiées
- Niveau de risque observé
- Probabilité d’occurrence
- Impacts possibles sur votre système d’information
- Plan d’actions pour corriger les failles et atteindre un niveau de risque acceptable
Nous reproduisons le cheminement d'un hacker pour identifier toutes les failles de sécurité de votre SI
Un test d’intrusion vous permet de déterminer les vulnérabilités que les hackers sont susceptibles d’exploiter, de quelle manière et l’impact potentiel de ces attaques informatiques.
Grâce au test d’intrusion informatique, votre SI est mis en conformité avec avec les normes PCI, DSS et RGPD. Outre l’importance d’une protection légale, ces normes sont gages de qualité et d’excellence auprès de vos clients.
Il est impossible d’éviter toutes les vulnérabilités et les atténuer est un travail titanesque. Un test d’intrusion vous permet de déterminer quelle vulnérabilité est la plus importante et doit être traitée en premier. Votre test vous permet de dresser une liste des risques « critiques », « élevés », « modérés » et « faible ».
Les cyberattaques peuvent coûter très cher aux PME. Un test d’intrusion informatique limite les vulnérabilités informatique et permet de se protéger contre les ransomwares et autres cybermenaces. En 2018, les ressources nécessaires pour se remettre d’une cyberattaque s’élevaient en moyenne à 13 millions de dollars.
TOUTES VOS REPONSES SUR LE TEST D’INTRUSION
Voici quelques critères à considérer pour choisir un prestataire pour réaliser un test d’intrusion informatique :
- Assurez-vous que le prestataire a une expérience significative dans le domaine des tests d’intrusion.
- Vérifiez que le prestataire a une bonne réputation.
- De plus, il doit avoir une approche qui convient à vos besoins et à vos objectifs de sécurité informatique.
- Assurez-vous que le prestataire a les certifications appropriées
- Qu’il dispose des compétences techniques et des outils nécessaires
- Et qu’il propose une tarification raisonnable.
Axido vous garantit un test d’intrusion sans risque pour votre système d’information. En tant que société d’infogérance informatique depuis plus de 20 ans, nous nous basons sur notre expertise et notre méthodologie de test éprouvée. Notre méthodologie de test d’intrusion s’adapte aussi bien aux PME qu’aux TPE.
Tous nos tests d’intrusions sont réalisés par des ingénieurs expérimentés en toute neutralité. En effet, pour reproduire des attaques, il s’agit effectivement d’avoir la bonne méthode et les bons outils mais surtout les compétences !
Un test d’intrusion informatique diffère d’un simple audit de sécurité.
L’audit de sécurité informatique a pour objectif d’évaluer la sécurité globale de vos infrastructures informatiques en fonction de normes et de référentiels. Ces référentiels sont basés sur la politique de sécurité informatique entreprise, les bonnes pratiques observées, les lois en vigueur, … L’audit de sécurité analyse de façon extérieure les points faibles de l’infrastructure (vulnérabilités, mots de passe faibles, protocole informatique, etc), des barrières de protection (firewall, outils de solutions de sécurité mis en place, etc) et des mesures mises en place en cas de potentielle intrusion (protocole de sécurité si intrusion, outils, personne à contacter, etc).
Le test d’intrusion quant à lui a pour objectif de réaliser des situations d’attaques proches de la réalité afin d’évaluer la vulnérabilité de votre système d’information face à des hackers. L’idée est de visualiser le système d’information à l’instant T, en comparaison avec le référentiel qui a été donné par un consultant extérieur.
Attention, il ne s’agit pas là d’un outil de scanner de vulnérabilité qui analyserait les ports ouverts sur un réseau. Cela n’est qu’une petite partie du périmètre.
Le test d’intrusion consiste à se mettre dans la peau d’un pirate informatique pour découvrir toutes les failles !
Lorsque nous réalisons un test d’intrusion externe, nous nous positionnons en dehors de votre système d’information. Nos ingénieurs réalisent ce test depuis nos locaux.
L’objectif est d’évaluer le risque pour vos services exposés sur internet. Campagnes de piratage, internautes anonymes, utilisateurs authentifiés, nous testons toutes les possibilités.
Pour le test d’intrusion interne, cette fois, nous nous positionnons directement sur le réseau cible, c’est à dire que nous sommes connectés comme l’un de vos collaborateurs. Bien entendu, avec les accès, les risques de compromissions sont multipliés.
Nos consultants en sécurité testent alors les postes utilisateurs, les services et vos autres ressources informatiques.
Le but est d’augmenter la sécurité de réseaux internes sensibles ou pouvant accueillir des invités.
Un test d’intrusion est réalisé par un consultant, un être humain. Le scanner de vulnérabilité est un logiciel, qui a vocation à mener des tests sur votre système d’information pour vérifier si des failles existent ou sont détectables. Il est capable de les détecter grâce à une base de données, qui devient alors un comparatif de “normalité”. Ces tests sont donc automatiques, planifiables et régulés selon une base de données.
Quand on parle de test d’intrusion informatique, on parle généralement des standards Penetration Testing Execution Standard, plus connu sous l’acronyme PTES.
Ils permettent d’encadrer le test d’intrusion au travers de grands principes :
- Nécessité de comprendre les besoins de la société et de définir le périmètre du test d’intrusion
- Comprendre le système d’information qui serait la cible d’éventuels pirates informatiques pour établir les menaces potentielles
- Réaliser une analyse de risque en essayant de pénétrer le réseau et passer outre les systèmes de sécurité
- Mettre en place une démarche d’attaquant réel : s’implanter de manière durable dans le SI sans laisser de trace
- Etablir un rapport de test d’intrusion précisant le procédé, les failles exploitées, les éventuels impacts de ces failles et les préconisations pour augmenter le niveau de sécurité du système d’information
Avec la mobilité, on observe une démocratisation du wifi et des infrastructures sans fil.
Pour les pirates informatiques, cela représentent de nouvelles pistes d’attaques pour s’introduire dans votre système sans accès physique.
Nos consultants testent votre configuration wifi pour identifier ses faiblesses.
Il existe plusieurs stratégies d’intrusion, afin de tester la sécurité informatique de l’entreprise.
- La boîte noire ou BlackBox : la première représente une simulation d’une attaque d’un pirate qui agit sans aucune information sur l’entreprise, le réseau ou le serveur. Il tente alors de déceler les failles de sécurité système à l’aveugle.
- La boîte grise ou GreyBox : la deuxième stratégie d’intrusion est celle du pirate opportuniste. Grâce à un phishing habilement orchestré, l’attaquant va utiliser le compte de l’utilisateur pour essayer d’infiltrer le système en question, qui lui donne un premier pas dans l’infrastructure informatique visée.
- La boîte blanche ou WhiteBox : la troisième stratégie est l’attaque la plus redoutée des entreprises. Le pirate informatique, grâce à de la surveillance, des informations données par un tiers ou un logiciel d’espionnage possède toutes les informations nécessaires pour pirater votre réseau. Les barrières de sécurité informatique sont alors mises à rude épreuve.
Réaliser un test d’intrusion, c’est avant tout réaliser, comme chaque projet, un cahier des charges précis, réalisable et détaillé. Comme dit l’adage : « la meilleure défense, c’est l’attaque ! ». Opter pour un test d’intrusion permet d’évaluer la sécurité de votre SI par un expert.
Le consultant en sécurité va se mettre à la place d’un véritable hacker et exploiter les vulnérabilités de l’entreprise dans le but de faire par la suite une liste des failles de sécurité et de proposer les solutions adaptées pour les combler.
- Définir son paramètre et son cahier des charges
Ce cahier des charges doit contenir un calendrier, définir les délais prévus pour chaque test et au recensement des outils disponibles. Les tests sont réalisés, pour la plupart, par des testeurs externes, d’où la nécessité de préciser le plan d’action.
La deuxième étape serait de définir les infrastructures informatiques à étudier : le système d’exploitation, les applications, les authentifications et procédures d’accès, la sécurité logicielle.
La liste des priorités permet au testeur de hiérarchiser son plan de test technique et facilite son optimisation, la protection du système étape par étape.
- Faire appel à un expert
Le test d’intrusion est la meilleure façon de visualiser les failles de votre réseau informatique. La simulation d’une attaque permet de tester ses défenses, distinguer ses failles et utiliser un avis externe pour voir vos barrières de sécurité informatique d’entreprise sous un œil neuf.
Cela permet de cartographier votre SI à un moment T et de s’assurer d’un risque d’intrusion zéro ou du moins limité.
