Faire des tests d’intrusion

Faire des tests d’intrusion à quoi ça sert ? Comment sont-ils réalisés et par qui ? On vous explique tout aujourd’hui.

Pourquoi faire des tests d’intrusion ?

Communément appelé « pentest » (de l’anglais « Penetration Testing »), le test d’intrusion est un audit de cybersécurité dont l’objectif est de mettre à l’épreuve une application ou un système d’information face à des attaques réalistes.

L’exercice vise à identifier les scénarios d’intrusion les plus probables et de corriger les vulnérabilités pouvant présenter un impact important pour votre activité. Cette approche pragmatique permet d’évaluer rapidement le niveau de sécurité de l’environnement testé tout en limitant les coûts par rapport à des démarches d’audits plus complexes ou plus chronophages (audit d’architecture, revue de code source…).

À l’issue de ces tests, un rapport d’audit présente la synthèse des résultats, le détail des scénarios et des vulnérabilités découvertes ainsi qu’un plan d’action détaillé permettant de les corriger et de protéger votre système d’information.

Comment faire des tests d’intrusion ?

Les tests peuvent démarrer après une réunion de cadrage durant laquelle sont échangés les prérequis : adresses URL, adresses IP, fiche d’autorisation. Les auditeurs cherchent alors à identifier les vulnérabilités qui peuvent être exploitées par un hacker, notamment celles présentes dans le Top 10 de l’OWASP : injections (SQLi, XSS, XXE, RCE), défauts de contrôles d’accès, mots de passe faibles, problèmes de configuration…

Les tests sont généralement réalisés selon les approches :

– « Boîte noire », à la manière d’un attaquant ne disposant d’aucune information préalable,

– « Boîte grise », dans ce scénario l’attaquant dispose d’informations complémentaires, généralement des comptes utilisateur (vol de compte suite à une attaque de phishing ou utilisateur malveillant).

Sur quoi ?

En fonction des risques et des scénarios redoutés, les tests d’intrusion peuvent cibler un périmètre exposé sur Internet ou des ressources du réseau interne.

Les ressources Internet les plus exposées aux attaques sont généralement :

– Sites institutionnels : atteinte à l’image de marque, à la réputation
– E-commerce : fraude, vol d’informations personnelles…
– VPN, bureaux à distance RDS ou Citrix : intrusion sur le système d’information interne
– Messagerie : fraude, phishing, intrusion sur le système d’information interne

Ou des ressources internes :

– Active Directory (on-premise ou hybride cloud Azure)
– ERP et CRM (SAP, Dynamics, Salesforce)
– Solutions Métier (SAGE, GLPI…)
– Bases de données (MS-SQL, Oracle, MySQL, MariaDB, PostgreSQL)
– Réseaux Wi-Fi

Enfin, les tests d’intrusion « RedTeam » permettent de simuler une attaque très réaliste, à large spectre, en ciblant l’entreprise par tous les moyens susceptibles d’être mis en œuvre par un hacker : social engineering, phishing, intrusions physiques et logiques.

Par qui ?

DIGITEMIS dispose d’une équipe d’experts en intrusion informatique réalisant quotidiennement des tests d’intrusion sur tous types de périmètres et de technologies.

Tous nos projets de tests d’intrusion sont réalisés par une équipe composée d’au moins 2 consultants expérimentés, qui partagent leur temps entre ces missions d’intrusion et des travaux de R&D au sein de notre la boratoire cybersécurité RedDive.

L’équipe Pentest / laboratoire RedDive de DIGITEMIS en chiffres :

– Plus de 150 missions par an,
98% de satisfaction client,
45% des tests d’intrusion réalisés sur des environnements exposés sur Internet donnent lieu à la découverte de vulnérabilités critiques ou majeures,
88% des tests d’intrusion réalisés pour la première fois sur des réseaux d’entreprise aboutissent à la prise de contrôle totale du système d’information.

Vous souhaitez réaliser un test d’intrusion ou un audit de cybersécurité, retrouvez toutes nos offres :

Tests d’intrusion externes
Tests d’intrusion internes

Je partage

Derniers articles

Digitemis

Les RDV DIGITEMIS Septembre 2021

Découvrez notre agenda de la rentrée 2021, avec au programme : – Du 7 au 9 septembre : en tant que Partenaire du « FIC » (Forum International de la Cybersécurité) 2021 à Lille, vous pourrez nous retrouver tout au long du salon sur le stand A7-12 sur le pavillon HEXATRUST. N’hésitez pas à prendre, dès à présent, […]

Lire l'article

MOI DPO - Les premières actions

Privacy

MOI DPO – Les premières actions

Dans le cadre de notre suite d’articles consacrée à la vie du Délégué à la protection des données personnelles (DPO) nous avons déjà abordé ensemble les étapes que constituent la prise de fonction du DPO et l’animation de son réseau, essentielle à la conduite du projet de conformité. Ces articles sont disponibles sur le blog […]

Lire l'article