Pentest

Nous distinguons deux types de tests d’intrusion : les tests d’intrusion externes et les tests d’intrusion internes. Les tests d’intrusion peuvent être réalisés en boîte noire, en boîte grise ou en boîte blanche.
Les tests d’intrusion externes viennent éprouver les mesures de sécurité mis en place sur les éléments de votre système d’information accessibles publiquement.
Les tests d’intrusion internes donnent une vision de la sécurité de votre système d’information à partir de l’intérieur de vos locaux.

Un système d’information représente le point central d’une entreprise. La visibilité d’une entreprise passe par l’élaboration de sites vitrines, consultables par tout le monde sur Internet. Des parties du système d’information peuvent être exposés sur Internet pour favoriser la mobilité des utilisateurs et l’interaction avec les prestataires externes ou les sous-traitants. Ces fonctionnalités, accessibles depuis l’extérieur augmentent le risque d’atteinte à la sécurité du système d’information.
En plus de cette ouverture vers l’extérieur, il est primordial de s’intéresser à la sécurité interne du système d’information. Usagers du quotidien ou visiteur, de nombreuses personnes sont amenées à utiliser votre système d’exploitation. Des interactions directes avec ce dernier et des vulnérabilités associées, un visiteur peut se retrouver à consulter des données sensibles comme les produits innovants, les données financières, les données RH et bien d’autres. Un collaborateur peut utiliser ces failles pour accéder à des documents auxquels il ne devrait pas avoir accès.
Les tests d’intrusion externes et internes mettent à l’épreuve la robustesse des mesures de sécurité mises en place dans le système d’information en simulant une attaque réalisée par des personnes en interaction avec ce dernier.

De la petite entreprise à l’entreprise d’envergure nationale, en passant par les collectivités, chacun a besoin d’évaluer les mesures de sécurité en place. Pour respecter des obligations ou pour effectuer un état des lieux de la sécurité du système d’information, l’importance de la maîtrise de son système d’information joue un rôle essentiel dans la protection de la notoriété, la conformité, l’exploitation ou le savoir-faire pour éviter de mettre en péril la survie d’une entreprise.

La démarche d’audit issue de la norme ISO 19011 est utilisée pour les tests d’intrusion comme dans chacun de nos audits. Nous utilisons des méthodologies comme l’OWASP (Open Web Application Security Project) ou encore l’OSSTMM (Open Source Security Testing Methodology Manual). Les référentiels de sécurité proposés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et l’état de l’art sont des supports permettant la recherche de vulnérabilités. Ces points constituent les critères d’audit. Pour chaque écart observé, une preuve d’audit est recueillie sur le périmètre audité. Les constations d’audit sont le résultat de l’évaluation d’une preuve d’audit par rapport aux critères d’audit. Enfin, des conclusions d’audit sont réalisées en fonction des objectifs de l’audit et des constations d’audit.
Chacun de nos auditeurs possède une ou plusieurs certifications liées à la réalisation des tests d’intrusion comme la certification CEH (Certified Ethical Hacker).