Pentest :
Tester la sécurité de votre SI ; Audit de sécurité offensive

Pentest / Tests d'intrusion

Identifier les risques auxquels le système d’information s’expose à un instant précis, et évaluer la robustesse des défenses de vos actifs face aux attaques.

En simulant un attaquant réel sur un actif réel et dans des conditions réelles, nous allons reproduire aussi fidèlement que possible les attaques auxquelles votre organisation est exposée.

Notre équipe d’experts dédiés à la réalisation de test d’intrusion a pour mission d’accompagner nos clients dans l’identification de vulnérabilité technique, l’évaluation de la criticité et l’émission de recommandations de remédiation.

Constitué de passionnés, notre équipe s’applique à réaliser la majeure partie des tests manuellement afin de garantir le plus haut niveau de résultats !

Ces différents types de tests ont pour but d’évaluer la maturité des systèmes de protection cyber face à une cyberattaque venant de l’extérieur comme de l’intérieur de votre organisation.

A l’issue de la réalisation des tests d’intrusions nos experts vous délivreront un rapport d’audit détaillant l’ensemble des tests réalisés, les failles et vulnérabilités découvertes classées par ordre de criticité et accompagnées des recommandations de remédiation et leurs indices de difficulté de correction.

Audits Techniques

Identifier le niveau de conformité d’un actif à un instant T vis-à-vis des politiques, normes, et bonnes pratiques actuelles et applicables à votre contexte.

Nous offrons également un panel d’audits techniques. Ces audits, contrairement aux tests d’intrusion, permettent une exhaustivité des tests menés.

La phase de préparation de l’audit permettra d’identifier quels sont les référentiels applicables (CIS, NIST, Guide des bonnes pratiques de l’ANSSI, OWASP, etc)

LES VALEURS DE NOTRE ÉQUIPE PENTEST :

Vous souhaitez avoir des informations complémentaires ?

Nos engagements

Nous nous engageons uniquement sur ce que nous savons faire. Pour le reste, faites confiance à notre réseau de spécialistes technologiques.

Ils nous font confiance

Tests d'intrusion réseau et infrastructure

  • QUEL EST L’OBJECTIF DES TESTS D’INTRUSION SYSTÈMES ET INFRASTRUCTURES ?

    L’objectif des tests d’intrusion systèmes et infrastructures est d’évaluer la sécurité des composants de votre Système d’Informations publiquement exposés sur Internet.

CES TESTS SE DÉROULENT EN 3 ÉTAPES :

  • La recherche d’informations via divers canaux, afin de faciliter la réalisation d’attaques : Bases HOIS, Réseaux Sociaux, DeepWeb, DNS…
  • La recherche de vulnérabilité via des scans de port, l’identification de systèmes sous-jacents, et l’analyse des applications Web.
  • L’exploitation des vulnérabilités et des intrusions afin de tester l’ensemble des points d’entrée du système d’information audité.
  •  

Tests d'intrusion applicatifs

  • QUEL EST L’OBJECTIF DU TEST D’INTRUSION APPLICATIFS ?

    L’objectif des tests d’intrusion applicatifs est d’évaluer la sécurité de votre application grâce à la détection de vulnérabilités.

    En s’appuyant sur des méthodologies reconnues comme l’OWASP et OSSTMM, nos experts testeront votre application manuellement afin d’identifier les vulnérabilités impactant l’application :

  • Gestion des droits
  • Accès au sein de l’application
  • Paramètre utilisateurs
  • Formulaire ou gestion de documents…
    •  

DEUX TYPES DE TESTS COMPLÉMENTAIRES SONT PROPOSÉS :

  • Boîte noire : ces tests sont réalisés sans aucune information sur le fonctionnement de l’application afin de reproduire le positionnement d’un attaquant ou utilisateur malveillant.
  • Boîte grise : ces tests sont réalisés en connaissance de quelques informations sur l’application (comptes utilisateurs, matrice de droits/privilèges, documentations techniques, etc.). Le but est de simuler le comportement d’un utilisateur malveillant ayant une connaissance minimale sur l’application auditée : élévation de privilèges, accès restreint, etc.
  •  

Tests d'intrusion d'applications mobiles

  • QUEL EST L’OBJECTIF DU TEST D’INTRUSION D’APPLICATIONS MOBILES ?

    L’objectif des tests d’intrusion d’applications mobiles est d’évaluer la sécurité des applications mobiles iOS et Android.

    Nos experts auront pour mission d’identifier les vulnérabilités affectant les applications mobiles qu’ils seraient possibles d’exploiter en cas de compromission du périphérique : vol ou perte du périphérique, accès au périphérique partagée…

LORS DE CES TESTS NOS EXPERTS S’ATTACHERONT À PASSER EN REVUE LES AXES SUIVANTS : (LISTE NON EXHAUSTIVE)

  • Stockage des informations sensibles en clair sur le périphérique
  • Gestion des permissions, utilisation du Keychain (ou KeyStore)
  • Analyse des logs / des fichiers de configuration / des bases de données
  • Sécurisation des connexions (HTTPS, « Certificate pinning »)
  • Étude des mécanismes d’authentification et d’autorisation
  • Utilisation de bibliothèques tierces vulnérables / obsolètes
  • Etude d’éventuels Web Services associés
  •  

Tests d'intrusion infrastructure LAN/Wifi

L’objectif de ces tests est d’évaluer la sécurité des accès sans-fil mise en place sur votre infrastructure.

 

Connecté à votre réseau interne, l’auditeur déroulera des tests dans l’objectif de compromettre l’ensemble du système d’information (en évitant de perturber son fonctionnement) : interception des communications réseaux, prise de contrôles des serveurs et postes de travail ou encore analyse des données sensibles stockées sur les partages réseaux.

Audit d'architecture

  • QUEL EST L’OBJECTIF DE L’AUDIT D’ARCHITECTURE ?

    L’objectif de l’audit d’architecture est d’évaluer la sécurité relative au choix, au positionnement et à la mise en place des composants matériels et logiciels implémentés dans le Système d’Informations.

    En autre, l’audit de configuration permet de vérifier que l’architecture auditée est conforme avec le triptyque :

  • Confidentialité
  • Intégrité
  • Disponibilité
  •  

QUEL DELIVERY ?

Nos experts s’attacheront à mettre en perspective les éléments observés avec les normes et pratiques recommandées (ISO, PCI, ITIL…) et applicables dans le contexte métier de l’organisation.

Ils fourniront la liste la plus exhaustive d’améliorations du SI possibles en proposant des solutions techniques et organisationnelles concrètes et applicables en l’état.

Audit de code

  • QUEL EST L’OBJECTIF DU TEST AUDIT DE CODE ?

    L’objectif des tests audit de code est d’identifier d’éventuelles vulnérabilités dans un code source d’application, en se focalisant sur les fonctions critiques pouvant impacter la sécurité de l’application.

    Ces tests sont réalisés par nos experts certifiés, en collaboration avec nos développeurs, afin de mettre en perspective les risques métiers et les risques de compromission IT.

ANALYSES AU LANGAGE DE PROGRAMMATION :

Une attention particulière sera porté lors des analyses au langage de programmation utilisé afin d’adapter les tests réalisés aux éventuelles particularités de ce dernier :

  • Gestion mémoire
  • Appel de composants
  • Optimisation d’algorithme…
  •  

Audit de configuration

  • QUEL EST L’OBJECTIF DE L’AUDIT DE CONFIGURATION ?

    L’objectif de l’audit de configuration est d’évaluer le niveau de sécurité des éléments audités vis-à-vis des bonnes pratiques cybersécurité.

  • Normes,
  • Référentiels et exigences internes de la société,
  • Guides de configuration…

Campagnes de phishing factices

  • QUEL EST L’OBJECTIF DES CAMPAGNES DE PHISHING FACTICES ?

    Les campagnes de Phishing Factices ont pour objectif premier de sensibiliser les utilisateurs par le biais d’une simulation d’attaque réelle.

    Destinés à une partie ou à l’ensemble des utilisateurs du SI de l’organisation, ces tests permettront à nos experts de réaliser une analyse fine et approfondie de la maturité de vos utilisateurs aux bonnes pratiques cybersécurité.

QUEL DELIVERY ?

L’ensemble des résultats obtenus seront fournis au client dans un but statistiques et de sensibilisation des collaborateurs.