Tests d’intrusion externes

Auditer des applications ou des infrastructures exposées sur Internet

Les tests d’intrusion externes visent en particulier à auditer des applications ou des infrastructures exposées sur Internet, telles que les applications Web, les applications mobiles (Android, iOS) et leurs Web Services, les points d’entrées VPN ou tout autre équipement ou serveur exposé.

Pour réaliser ces audits, DIGITEMIS s’appuie sur les référentiels de l’OWASP (Open Web Application Security Project), de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) ainsi que les méthodologies internes basées sur l’expérience acquise par ses consultants sur des missions similaires.

référentiel Owasp

Les objectifs des tests d’intrusion externes sont :

– D’évaluer le niveau de sécurité général du périmètre audité.
– D’identifier les scénarios d’attaques probables.
– De déterminer l’étendue des actions malveillantes réalisables par un attaquant positionné sur Internet.
– De définir un plan d’action technique.

L’approche “boîte noire” simule un scénario d’attaque dans lequel l’attaquant ne dispose d’aucune information particulière, mise à part le nom du site. Les tests d’intrusion en “boîte grise” sont quant à eux, complémentaires des tests en boîte noire. Ils ont pour objectifs de vérifier le cloisonnement des différents profils d’utilisateurs et de détecter des failles exploitables par un utilisateur malveillant.

DIGITEMIS propose la méthode suivante :

Méthode intrusion externe

Exemples de missions :

Test d'intrusion boutique en ligne

Tests d’intrusion d’une boutique en ligne
Sans autre information que l’adresse IP ou le nom de domaine de l’application à auditer, l’auditeur recherche des failles tant dans la logique applicative que dans son implémentation. Dans un deuxième temps l’auditeur dispose d’un compte sur le back-office de l’application et met à l’épreuve les fonctionnalités qu’il propose. L’auditeur cherche notamment à évaluer la robustesse du processus d’achat et de paiement, la sécurité des échanges et la capacité d’un attaquant à prendre le contrôle de la plateforme ou d’en altérer le contenu.

Test d'intrusion application mobile

Tests d’intrusion d’une application mobile et de son environnement
Les tests englobent l’analyse statique et dynamique de l’application ainsi que la réalisation de tests ciblant les Web Services avec lesquelles celle-ci échange. L’auditeur procède au désassemblage et à la décompilation de l’application, à l’analyse des flux réseau ainsi qu’à des tests d’intrusions complets sur les Web Services.

Test d'intrusion VPN

Test d’intrusion sur VPN
L’auditeur procède à des tests visant à évaluer le niveau de sécurité d’un point d’accès distant exposé sur Internet. Les tests portent notamment sur la robustesse de la phase d’authentification, les éventuelles faiblesses permettant son contournement et la confidentialité des échanges.

Test d'intrusion exposition extérieure

État des lieux de l’exposition extérieure
À partir d’un inventaire des machines et/ou d’informations publiquement disponibles sur Internet, l’auditeur effectue une revue sécurité des éléments exposés sur Internet. Ces tests se composent à la fois de tests d’intrusion sur le périmètre identifié, mais également de recherches passives concernant le niveau d’exposition du client et de sa marque.

Tests d’intrusion externes

Schéma intrusion externe

    Besoin de plus d'information ?

    *Informations obligatoires
    Les informations recueillies à partir de ce formulaire sont traitées par DIGITEMIS pour donner suite à votre demande de contact. Pour connaître vos droits et la politique de DIGITEMIS sur la protection des données, cliquez ici .

    Services complémentaires

    Audit de code

    Audit de code

    Voir la prestation
    Audit de configuration

    Audit de configuration

    Voir la prestation