Experts en cybersécurité, audits, scans et tests d'intrusion.

Identifiez vos vulnérabilités avant que les pirates ne le fassent !

Identifiez les vulnérabilités de votre organisation avant que les pirates n'exploitent ces faiblesses. Nos experts en sécurité simulent des cyber-attaques sur vos systèmes lors d'une exécution de pentest, comme le feraient de vrais hackers. Cela sera effectué dans un environnement sûr et sécurisé par des pirates éthiques certifiés et expérimentés.

Le pentesting identifie la robustesse de vos systèmes informatiques et révèle les vulnérabilités potentielles avant que les pirates n'aient l'occasion de causer de graves dommages. Les membres de l'équipe sont des professionnels expérimentés possédant une connaissance approfondie et pratique des problèmes de sécurité contemporains.

Ils sont certifiés en tant qu'experts en sécurité par des organisations reconnues, notamment EC-Council, Offensive Security et eLearnSecurity.

Avantages

Test en conditions réelles

Le moyen le plus efficace de tester si vos systèmes sont sécurisés est d'effectuer des attaques dans les mêmes conditions que de vrais pirates.

Une équipe d'experts

Notre équipe hautement qualifiée peut tester tous vos actifs. Ceux-ci s'étendent à vos réseaux externes et internes, les applications Web, les API et les applications mobiles.

Couverture totale

Bénéficiez d'une couverture et d'une analyse complètes de vos systèmes et d'une recherche avancée de vulnérabilités.

Analyse approfondie

Analyse du système en mode automatique (scans) et manuel, y compris une analyse approfondie des vulnérabilités détectées.

Rapport clair et détaillé

Évaluation de votre système. Exécution d'attaques modélisées et capture d'une liste de vulnérabilités détectées.

Tests d'intrusion

Test d'intrusion externe

Les tests d'intrusion externes mettent en évidence les menaces et les vulnérabilités potentielles que les attaquants peuvent exploiter sur les actifs publics.

Test d'intrusion d'application web

Analyse de la sécurité des applications Web, des applications métier et des API pour détecter les vulnérabilités critiques et les failles logiques - sur la base du Top 10 OWASP.

Test d'intrusion interne

Les tests d'intrusion internes évaluent les forces et les faiblesses de la sécurité au sein de votre réseau.

Test d'intrusion d'application mobile

Le service peut aider à découvrir les vulnérabilités des applications sur différentes plates-formes (iOS, Android).

Test d'ingénierie sociale

Simuler des attaques d'ingénierie sociale (comme le phishing) afin d'évaluer les membres de votre équipe et leur préparation à faire face à ce type d'attaques.

Test d'intrusion de cloud

Surmonter les défis de la responsabilité partagée en découvrant et en corrigeant les vulnérabilités qui pourraient exposer les actifs critiques.

Examen de la structure et de la configuration

Identifier les mauvaises configurations des serveurs web et applicatifs, des routeurs et des pare-feux.

Test de pénétration agile

Cette approche agile permet de s'assurer que chaque nouvelle version d'un produit a été examinée sous l'angle de la sécurité.

Modèles de tests d'intrusion

Test Black Box

Partant du principe que l'attaquant ignore le fonctionnement interne de l'application : il traite l'application comme une "boîte noire" dont le contenu est imprévisible.

Test Grex Box

Ce test est effectué sur la principe qu'un attaquant a une connaissance limitée du fonctionnement interne de l'application.

Test White Box

Basé sur la connaissance complète de la cible. Il est fréquemment effectué avec un accès complet au code source, un accès complet en interne (localement) à l'application est fourni, y compris les informations d'identification et l'authentification avec les privilèges les plus élevés.

Processus du test d'intrusion

La collecte de renseignements

Collecte du plus grand nombre possible d'informations sur la cible, à utiliser lors du test d'intrusion.

Evaluation des vulnérabilités

Identification des vulnérabilités et quantification du risque associé.

Exploitation

Exploitation active des vulnérabilités identifiées.

Post Exploitation

Mouvement latéral - Maintenir l'accès à l'environnement et continuer à accéder à d'autres données ou actifs.

Exfiltration de données - Simule les actions d'un pirate informatique visant à violer la sécurité de votre organisation

Reporting

Un rapport est préparé avec une description détaillée des attaques et des recommandations.

Les tests d'intrusion sont basés sur les meilleures normes, méthodologies et pratiques de l'industrie.

Penetration Testing Execution Standards (PTES)
Open Source Security Testing Methodology Manual (OSSTMM)
NIST Special Publications 800 115 - Guide technique des tests et de l'évaluation de la sécurité de l'information
Classification des menaces Open Worldwide Application Security Project (OWASP)
OWASP Cloud Security Testing Guide (CSTG)
Consortium pour la sécurité des applications web (WASC)
Common Vulnerability Scoring System (CVSS)
Norme de vérification de la sécurité des applications mobiles OWASP (MASVS)
Guide de test de la sécurité des applications mobiles OWASP (MASTG)
Secure Software Development Lifecycle (SSDLC)

Certifications en cybersécurité

Tous les tests d'intrusion sont effectués dans un environnement contrôlé par des professionnels certifiés. Nos hackers éthiques sont au courant des tendances actuelles en matière de cybersécurité. Nos experts disposent des certifications internationales les plus reconnues. Protégez votre organisation avec les pen-testeurs les plus qualifiés.

Offensive Security Certified professional (OSCP)

Offensive Security Certified Expert (OSCE)

Offensive Security Web Expert (OSWE)

Certified Ethical Hacker (Master)

MAPT (eLearnSecurity Mobile Application Penetration Tester)

Micro Focus Gold Partner

Protégez votre organisation des cybercriminels

Commencez à bénéficier d'une solution de cybersécurité personnalisée pour votre organisation. Contactez-nous pour en connaître tous les avantages.

Contactez-nous

FAQ

Qu'est-ce qu'un test d'intrusion / pentest?

Le test d'intrusion (également connu sous le nom de "pentest") est une attaque simulée et autorisée sur les systèmes informatiques, les réseaux ou les applications Web d'un client pour identifier les vulnérabilités qu'un attaquant peut exploiter. Les organisations se soumettent volontiers à ce test, mené par un expert en cybersécurité, pour obtenir des informations précieuses afin de remédier aux faiblesses ou aux vulnérabilités de leur système.

Pourquoi réaliser un Pentest ?

Il fait aujourd'hui partie intégrante de l'activité de chaque entreprise et la quantité de données critiques stockées sur les systèmes informatiques augmente également la dépendance vis-à-vis d'une infrastructure informatique opérationnelle. Cela conduit à une augmentation de la surface d'attaque et du nombre d'attaques contre les systèmes informatiques sous les différentes formes d'attaques susceptibles de nuire considérablement à une entreprise. Un Pentest vous donne des informations sur les vulnérabilités de vos systèmes, sur la probabilité d'une attaque réussie contre votre infrastructure et sur la manière dont vous pouvez vous protéger contre d'éventuelles failles de sécurité à l'avenir.

Quels types de pentest proposez-vous ?

Nous proposons les pentests selon 3 approches principales, qui diffèrent par la quantité d'accès et d'informations qui sont mises à notre disposition:

Black Box

Dans cette approche, le seul accès aux plages d'applications/sous-réseaux/IP qui est accordé au testeur est un accès régulier comme n'importe quel client. Le testeur n'a pas accès pour visualiser le code source de l'application ni la configuration des serveurs. Comme son nom l'indique, cette approche traite l'application comme une "boîte noire", c'est-à-dire une boîte scellée dont les fonctionnalités internes ne sont pas visibles.

White Box

Ici, le testeur a accès à tout, le code source de l'application, ses documents de conception et tout autre élément qui, selon lui, aidera au test. À cet égard, le testeur peut comparer le comportement de l'application avec le code source réel, pour comprendre et exploiter les vulnérabilités. Cette approche se concentre sur les défauts profonds et internes du système.

Gray Box

Il s'agit d'un mélange des méthodes ci-dessus. Dans l'approche Gray Box, le testeur peut recevoir des informations sur le système comme les frameworks utilisés, le système d'exploitation des serveurs, etc. Mais généralement, le testeur n'aura pas accès au code source des applications, ni accès en tant qu'administrateur du système. Le testeur et le client prédéfinissent exactement les informations à fournir.

Quelles technologies pouvez-vous tester ?

Nous pouvons tester toutes sortes de systèmes, des systèmes sur site aux systèmes basés sur le cloud, des applications Web aux applications mobiles et des petits sites marketing d'une page aux architectures volumineuses et complexes. Les systèmes peuvent être des systèmes externes ainsi qu'un réseau interne. Souvent, les vulnérabilités de sécurité les plus importantes sont indépendantes de la technologie du système, ce qui permet de tester avec succès même des types de systèmes jusque-là inconnus. Nos experts peuvent s'adapter rapidement aux nouvelles situations et aux nouveaux systèmes pour effectuer un travail efficace.

Des dommages peuvent-il être causés à nos systèmes de production pendant le test ?

Contrairement aux vrais hackers, nous accordons une grande attention aux systèmes de production d'un client, pour ne pas créer d'interruption de service. Nous faisons toujours tout notre possible pour laisser tous les systèmes indemnes lors d'un test d'intrusion. Les attaques, où le risque de défaillance du système est particulièrement élevé, ne sont effectuées qu'avec le consentement explicite du client.

Dans l'ensemble, il n'est jamais possible d'exclure complètement qu'un système de production rencontre un problème lors d'un test d'intrusion. Pour pouvoir joindre quelqu'un le plus rapidement possible dans une telle situation, des numéros de téléphone d'urgence sont échangés avant le test.

Donnez-vous des garanties sur la confidentialité des données collectées ?

La sécurité et la confiance sont au cœur de nos préoccupations. Notre société s'engage à une confidentialité totale non seulement sur les vulnérabilités qui pourraient être découvertes, mais également sur les données auxquelles nos collaborateurs pourraient avoir accès s'ils parvenaient à accéder à certains de vos systèmes.

Un accord de confidentialité (NDA) qui garantit le caractère confidentiel des données d'un client fait déjà partie de chaque contrat.

Toutes les données des clients, y compris les informations utilisées pour établir un premier devis, sont soumises à la même obligation de confidentialité. À la fin d'un test d'intrusion, toutes les données et tous les supports de stockage éventuels sont soit détruits de manière sécurisée, soit restitués au client.

Que devons-nous fournir avant de commencer un Pentest ?

Pour vous préparer, vous devez d'abord décider de la portée des systèmes cibles pour le pentest. Vous devrez peut-être fournir au testeur des données sur votre système, lui fournir des informations d'identification et il pourra être amené à vous envoyer du matériel qui sera connecté au réseau pour permettre l'accès à celui-ci.

Combien de temps dure un Pentest ?

L'investissement en temps pour un test d'intrusion varie d'un cas à l'autre en fonction des systèmes à tester et des exigences de test individuelles. Habituellement, le temps nécessaire varie de quelques jours à plusieurs semaines. L'un des objectifs de la réunion préliminaire est d'obtenir suffisamment d'informations sur les systèmes à tester pour estimer la durée optimale du test d'intrusion.

Au début du processus, nous essayons de nous familiariser avec nos clients et l'étendue des travaux afin de pouvoir créer une proposition précise. Nous recueillons intentionnellement ces informations afin que nous ne revenions jamais demander plus de temps de test (et des coûts supplémentaires). Plus vous êtes prêt à partager d'informations, meilleure sera l'évaluation que nous pourrons fournir.

Certains clients peuvent demander une approche de boîte noire (Black Box) où peu d'informations sont fournies, simulant une attaque et une réponse réelles. Dans ce scénario, nous devons encore saisir la taille/complexité nécessaire pour les tests et avons donc quelques questions de base à résoudre.

À quelle fréquence les tests d'intrusion doivent-ils être effectués ?

Un test d'intrusion doit être effectué au moins une fois par an ou lorsque l'un des événements suivants se produit :

Modification importante de l'infrastructure ou des applications
Modification des politiques d'accès des utilisateurs finaux (permissions ou rôles)

Certaines organisations avec un environnement et des applications assez statiques peuvent nécessiter des pentests moins fréquents. Cependant, il peut y avoir des facteurs de conformité ou de réglementation qui peuvent nécessiter des tests annuels.

Quel est le résultat d'un Pentest ?

Chaque client reçoit un rapport détaillé à la fin d'un test d'intrusion. Un rapport typique comprend un résumé non-technique des résultats, pour donner un aperçu court et précis de l'état actuel, suivi d'une explication technique plus détaillée pour les administrateurs, les développeurs ou d'autres membres du personnel technique. Les problèmes individuels énumérés dans le rapport sont accompagnés d'une description détaillée, d'une analyse des risques et des solutions proposées, pour donner directement des suggestions d'amélioration.

SERVICES DE CYBER SECURITE ET TESTS D'INTRUSION