Tests d’intrusion

Les tests d’intrusion visent à reproduire aussi fidèlement que possible les attaques des pirates réels, qu’ils soient débutants ou chevronnés, depuis Internet ou depuis votre réseau interne. Les périmètres testés peuvent aller d’un simple site web institutionnel ou transactionnel (incluant tous les contrôles OWASP), en passant par de vastes périmètres hétérogènes (externes ou internes), des applicatifs métiers spécifiques (rétro-ingénierie de clients lourds, attaques cryptographiques), des solutions mobiles (iOS ou Android), la sécurité de votre annuaire (attaques Active Directory) ou tout autre maillon de votre SI. Nos tests sont effectués très majoritairement manuellement, par les consultants les plus pointus, afin de vous garantir le meilleur niveau d’exhaustivité des résultats.

Audit sécurité de code source

Une large majorité des attaques les plus graves sont d’ordre applicatif. En effet, la sécurité des systèmes et réseaux est de mieux en mieux maîtrisée, et les pirates ont tendance à délaisser ce type d’approche, moins efficace pour eux. Les tests d’intrusion sont un formidable outil, mais tous les problèmes ne sont pas forcément détectables par ce biais. Ainsi, pour aller encore plus loin, il nous est possible d’analyser la sécurité du code source de vos applicatifs (.NET, Java, C/C++, scripts python, perl, shell, etc.). Cette approche, très technique, aura non seulement l’avantage de déceler les failles liées au développement de manière précise, mais pourra également vous permettre de donner des indications stratégiques à vos développeurs ou partenaires, pour limiter l’apparition d’autres problèmes dans le futur. Pour vous assurer la meilleure prestation possible, nous ne nous contentons jamais d’utiliser des scanners de code automatiques : à nouveau, une analyse approfondie manuelle est effectuée par nos spécialistes.

Analyse sécurité d’architecture

Si les incidents de sécurité réels font autant de dégâts, c’est souvent en raison d’une architecture (réseau et/ou applicative) qui n’a pas été pensée pour assurer un bon niveau de sécurité, qu’elle soit en local, basée sur des briques cloud, ou hybride. Identifier ces problèmes conceptuels, c’est se donner les moyens de réduire considérablement l’impact des éventuels incidents.

Analyse sécurité des configurations

Les tests d’intrusion s’effectuent en partant d’un point précis de l’architecture (en général, depuis la zone « utilisateur »). Ce principe, bien que représentatif des attaques réelles, ne peut pas détecter tous les types d’écueils. Par exemple, si vos logs incluent les mots de passe, il va de soi que cela constitue un risque important qui pourtant ne serait pas remonté. En complément, il est donc possible d’analyser la sécurité de chaque composant névralgique d’une architecture (pare-feu, serveur applicatif, base de données, etc.) afin d’avoir un coup d’avance sur les pirates.

Pédagogie

Enfin, parce que ces techniques de mesure sont inutiles si elles ne sont pas suivies d’actions correctrices, toutes nos interventions sont couplées à un formalisme didactique. Si le jargon technique a son intérêt dans les sphères d’initiés, convaincre le métier de l’importance des failles décelées sera capital pour augmenter significativement le niveau de sécurité effectif. Ainsi, nous mettons un point d’honneur à rendre nos conclusions claires, visuelles et compréhensibles par tous. Executive summary, résumé anonymisé pour vos clients, Français ou Anglais, vidéos explicatives, séances d’explication voire de formation pour vos équipes : tout notre savoir-faire est mis à votre disposition, sous le format qui vous convient le mieux.