Pentests:
Protégez votre entreprise contre
les cyberattaques
Avec des tests d’intrusion, également connus sous le nom de pentests ou de tests de pénétration, nos experts en sécurité simulent des cyberattaques sur votre système d’information. De cette façon, nous révélons de manière pratique et réaliste les façons dont les pirates pénètrent dans les systèmes. Ainsi, vous pourrez fermer les failles de vulnérabilités à un stade précoce et éviter une situation de crise.
Pour une protection informatique complète, le pentesting est idéalement à combiner à d’autres mesures telles que les formations de sensibilisation à la sécurité (awareness) ainsi qu’à notre scanner de vulnérabilités, le cyberscan.io®. Cette modularité offerte dans nos offres de partenariat de cybersécurité s’avère particulièrement efficace. Nous répondons ainsi aux exigences de votre entreprise et garantissons les normes de sécurité informatique les plus élevées.
Pourquoi effectuer un pentest?
Le pentest permet de tester sa propre cybersécurité et de mettre à jour les angles d’attaque possibles. Il agit comme un véritable test de résistance de l’infrastructure informatique. Nos entreprises clientes reçoivent une expertise impartiale sur leurs processus de sécurité en retour, qui constitue une importante aide à la décision pour une optimisation ultérieure.
Commanditer un audit de sécurité informatique prend du temps et coûte cher. Cependant ces dépenses restent acceptables par rapport à un incident de sécurité réel, qui peut entrainer des coûts très importants voire une perte de réputation. Cela donne tout son sens à des attaques de pirates simulées. Plus un dommage est connu tôt, plus son effet sera faible.
De plus, les tests de pénétration réguliers permettent aux entreprises de répondre à des exigences de certifications en matière de sécurité de plus en plus importantes.
Vos avantages en résumé
Clarté sur votre propre situation en matière de sécurité informatique
Détection précoce et fermeture des failles de vulnérabilité
Aide à la décision pour optimiser la stratégie de sécurité
Répondre aux normes de certification dans le domaine de la sécurité informatique
Mise en œuvre professionnelle et réaliste grâce à une expérience significative
Combinaison possible avec d’autres modules de nos partenariats en matière de cybersécurité
Pentests: les 3 types à connaître
La DGC propose 3 différentes méthodes de test de pénétration pour vérifier la sécurité des infrastructures informatiques – Boite blanche (White Box), boite grise (Grey Box) et boite noire (Black Box). Ces termes établis dans le secteur, décrivent le niveau de connaissance préalable et le type d’accès accordé au pentester sur les systèmes à tester. Selon les objectifs et les exigences définis par votre entreprise, nous agissons donc de manière ouverte ou à l’aveugle. Ce faisant, nous agissons de manière aussi dynamique et opportuniste que le feraient des cybercriminels professionnels.
White Box
Pentest
Dans un test d’intrusion White Box, vous fournissez à l’avance à nos experts toutes les informations nécessaires sur les structures informatiques de votre entreprise. Vos employés sont informés de manière proactive de l’exécution du pentest.
Black Box
Pentest
En revanche, le test d’intrusion Black Box est réalisé sans information préalable sur les systèmes informatiques à tester. L’objectif est de simuler la méthode d’attaque d’un pirate informatique de manière aussi réaliste que possible. Nos experts essaient d’abord de découvrir par eux-mêmes les informations que vous divulgueriez dans un test de pénétration White Box.
Grey Box
Pentest
Le test d’intrusion Grey Box combine les deux variantes précédentes et représente un scénario de piratage particulièrement authentique. Nos experts en sécurité ne reçoivent que des informations fragmentaires sur les systèmes informatiques du client et enquêtent eux-mêmes pour trouver les données manquantes. Ce n’est que plus tard que les pentesters reçoivent des informations plus détaillées sur l’infrastructure informatique ainsi que certaines données d’accès. L’approche combinée s’avère particulièrement efficace par rapport à la variante Black Box fréquemment demandée.
Nos offres de pentest
Test d’intrusion interne ou externe, pentest d’application web ou vérification unique des vulnérabilités : pour qu’aucune faille de sécurité ne passe inaperçue, notre offre comprend différents types de tests d’intrusion. Ceux-ci peuvent également être combinés en fonction du projet et des besoins – nous vous conseillons volontiers.
Vous souhaitez passer vos systèmes et applications informatiques internes au banc d’essai ? Dans ce cas, nous effectuons sur place dans votre entreprise (ou à distance en « remote ») un test d’intrusion dit interne. Nos experts simulent alors une cyberattaque afin d’identifier les points faibles de vos systèmes informatiques internes.
L’infrastructure interne comprend tous les actifs qui se trouvent dans le réseau interne, y compris les caméras, les postes clients, les serveurs et les périphériques. Ces actifs sont audités afin d’identifier les vulnérabilités et les failles de sécurité, notamment en ce qui concerne les protocoles utilisés, les composants réseau, les systèmes d’exploitation et les applications.
Comme résultat, vous recevez toutes les vulnérabilités identifiées, leur criticité ainsi que les mesures de résorptions appropriées sous la forme d’un rapport de sécurité informatique clair et détaillé. Le cas échéant, nous pouvons organiser une présentation officielle et plus personnelle (éventuellement in situ) de ces résultats.
Connaissez-vous le niveau de sécurité de vos applications web ? Si ce n’est pas le cas, un test d’application web s’avèrera rentable. L’approche est similaire à un test d’intrusion externe et vise à pénétrer votre application web comme un hacker.
L’objectif est de détecter le plus grand nombre possible de vulnérabilités et de les exploiter. Pour ce faire, les différents domaines de l’application web ou de l’API sont soumises à des procédures de test manuelles ou semi-automatisées afin d’en détecter les vulnérabilités courantes telles que les injections SQL, le Cross-Site-Scripting (XSS) ou le détournement de session.
Comme résultat, vous recevez toutes les vulnérabilités identifiées, leur criticité ainsi que les mesures de résorptions appropriées sous la forme d’un rapport de sécurité informatique clair et détaillé. Le cas échéant, nous pouvons organiser une présentation officielle et plus personnelle (éventuellement in situ) de ces résultats.
Nos tests d’intrusion d’applications web, sont basés sur le guide de test de sécurité des applications web de l’OWASP (Open Web Application Security Project) – Organisation indépendante et renommée qui s’engage pour la sécurité des applications web.
Si la sécurité de systèmes connectée au web doit être vérifiée, il faudra procéder à un pentest externe. Nos experts simulent alors de manière réaliste une cyberattaque depuis l’extérieur et tentent de pénétrer le système. Les types d’attaques simulées possibles sont par exemple : les injections SQL, les attaques XSS, l’usurpation d’adresse IP, le sniffing (reniflage réseau), le détournement de session et les attaques par Buffer Overflow (dépassement de tampon).
Le pentest externe cartographie vos systèmes informatiques externes et leurs vulnérabilités. L’infrastructure externe comprend tous les actifs accessibles depuis Internet, tels que les sites Internet, les pares-feux et les routeurs, ainsi que les serveurs de messagerie, les serveurs FTP et les systèmes de réseaux contrôlés spéciaux (DMZ). Les actifs ainsi découverts sont examinés afin d’en identifier leurs vulnérabilités et leurs failles de sécurité, en rapport par exemple avec les protocoles utilisés, les composants réseau, les systèmes d’exploitation et les applications.
Comme résultat, vous recevez toutes les vulnérabilités identifiées, leur criticité ainsi que les mesures de résorptions appropriées sous la forme d’un rapport de sécurité informatique clair et détaillé. Le cas échéant, nous pouvons organiser une présentation officielle et plus personnelle (éventuellement in situ) de ces résultats.
Pour un aperçu rapide conforme aux normes de sécurité informatique existantes, la DGC propose également des contrôles non récurrents de vulnérabilité. Ce sont des scans automatisés basés sur les adresses IP, les ports et les applications web. Les résultats sont examinés au cas par cas par nos experts et, si nécessaire, adaptés à votre entreprise dans l’évaluation des risques.
Le résultat recense toutes les vulnérabilités identifiées, associées à leur classification de risque et est présenté dans l’interface de notre outil. – Un gain rapide d’optimisation de votre cybersécurité actuelle.
Toutefois, comme les méthodes de piratage évoluent constamment et qu’un seul test d’intrusion ne permet guère de tirer des conclusions valables sur la sécurité informatique à long terme, nous recommandons de prévoir un test ultérieur. Notre outil de sécurité informatique cyberscan.io® peut également être utilisé pour contrôler en permanence l’infrastructure informatique.
Pentest à distance
Les tests d’intrusion internes peuvent également être effectués à distance à l’aide de notre DGCBOX. Ce procédé allège les coûts et l’impact sur l’environnement.
Votre curiosité est éveillée? N’hésitez pas à nous contacter!
Le déroulé d’un contrôle de sécurité informatique DGC
Depuis la définition des objectifs et des exigences de base à l’analyse finale, un test d’intrusion chez DGC se déroule généralement en cinq phases. Nous nous basons pour cela sur les normes de l’Office fédéral de la sécurité des technologies de l’information (BSI). En complément, nous proposons une étape stratégique supplémentaire, la re-pénétration, afin de protéger vos systèmes à long terme.
Selon vos besoins, nous simulons différents scénarios et procédures pour votre audit de sécurité informatique – Allant de tests d’intrusion en boîte blanche, en boîte noire ou en boîte grise.
Par exemple, un test d’intrusion peut être aussi monté en collaboration avec votre équipe interne. Une alternative est ce que l’on appelle le « scénario du stagiaire » : l’un de nos analystes de systèmes informatiques effectue le test d’intrusion de manière cachée – sans que vos collaborateurs en soient informés. Cela permet également de vérifier la composante humaine de la sécurité informatique, grâce à l’ingénierie sociale.
Pentesting – La procédure en 5 étapes
Afin de tester les systèmes informatiques de la manière la plus authentique possible et de protéger votre entreprise contre les agresseurs potentiels, nos tests d’intrusion sont toujours taillés sur mesure et orientés client. Le déroulement se fait suivant les phases définies par la norme du BSI (équivalent allemand de l’ANSII), que nous présentons ici – et que nous avons complété par l’étape stratégique de la re-pénétration.
Phase 1: Préparation
La première phase d’un test d’intrusion consiste à définir : les objectifs et exigences spécifiques à votre entreprise, la procédure et les techniques à suivre.
Seront également prises en compte, les contraintes légales et organisationnelles tout comme les éventuels accords contractuels de votre entreprise pour minimiser les risques. Ces caractéristiques du test sont alors consignées par nos experts pour faciliter la collaboration.
Phase 2: Collecte et évaluation des informations
La phase 2 consiste à rassembler toutes les informations accessibles sur la cible. Pour l’infrastructure informatique externe, tous les actifs du système repérables en ligne sont passés au crible. En ce qui concerne l’infrastructure informatique interne, tous les actifs accessibles sont inventoriés afin de tirer des conclusions sur les zones de réseau, les appareils et les services disponibles.
Ces connaissances sont alors utilisées pour vérifier l’infrastructure informatique. Cela se fait par cartographie des empreintes digitales (fingerprinting / footprinting) : Ces données sont mises ensuite en corrélation avec des séries de données permettant d’identifier la version et l’état des correctifs ; des services réseau, des systèmes d’exploitation, des applications logicielles et des bases de données. Cette méthode permet de tirer des conclusions sur les configurations actuelles. Les résultats du fingerprinting serviront à identifier les vulnérabilités des systèmes et des applications. Pour ce faire, la DGC utilise entre autres son scanner de vulnérabilité cyberscan.io®. Un rapprochement avec des informations provenant de bases de données libre d’accès sur Internet, dans lesquelles les vulnérabilités sont répertoriées a également lieu.
Pour résumer, lors de la phase 2, nos experts obtiennent une vue d’ensemble aussi complète que possible de l’environnement système à contrôler, des vulnérabilités potentielles et des points d’attaque.
Phase 3: Évaluation des informations/analyse des risques
Les informations obtenues sur les systèmes à tester sont analysées et évaluées en détail lors de la phase 3. Cette évaluation tient également compte des objectifs convenus pour le test d’intrusion, des risques pour les systèmes et de l’effort estimé pour identifier les éventuelles failles de sécurité dans le cadre des tentatives d’intrusion à venir. Sur la base de cette analyse, nos experts définissent les cibles d’attaque concrètes pour la phase 4.
Phase 4: Tentatives actives de pénétration actifs
La phase 4 consiste à exploiter de manière ciblée les vulnérabilités identifiées et d’accéder à votre système d’information. Si nos pentesters parviennent à rentrer dans ces systèmes, des « artefacts » sont collectés. Ceux-ci serviront de base au rapport de sécurité informatique de la phase 5 et de sa pésentation. Il va de soi que les informations hautement sensibles ne sont documentées qu’en accord avec votre entreprise et ne sont traitées que de manière strictement confidentielle. En règle générale, cette phase 4 n’a lieu que sur demande explicite du client, car des systèmes critiques pourraient dans certaines circonstances être influencés. Sauf avis contraire, les systèmes sélectionnés ou définis seront systématiquement attaqués (code d’exploitation / exploit).
Phase 5: Analyse finale
Au cours des phases précédentes, un aperçu détaillé de tous les systèmes identifiés, des failles de sécurité révélées et des solutions possibles a été établi. Dans notre rapport final écrit vous seront présentés, les différentes étapes de l’audit, les résultats de ces tests d’intrusion et les risques qui en résultent pour votre entreprise. Si des activités ont eu lieu au cours de la phase 4, nous vous présenterons les artefacts lors d’un rendez-vous personnel si vous le souhaitez. À cette occasion, les exploits utilisés vous seront également expliqués.
Phase 6: Re-pénétration (facultatif)
Un test d’intrusion n’est qu’un instantané et ne permet guère de tirer des conclusions fiables sur le niveau de sécurité des systèmes testés à long terme. En effet, les techniques des agresseurs potentiels évoluent rapidement : de nouvelles vulnérabilités dans les applications et les systèmes informatiques actuels sont signalées presque quotidiennement. Dans des cas extrêmes, une cyberattaque peut même se produire immédiatement après la fin d’un test d’intrusion – en raison d’une nouvelle faille de sécurité. C’est pourquoi nous recommandons d’effectuer un post-test après une période définie. Pour un contrôle continu de l’infrastructure informatique, il est recommandé d’utiliser notre logiciel cyberscan.io®.
Combien coûte un test d’intrusion?
Les contrôles de sécurité informatique sous forme de pentests sont meilleur marché que vous ne le pensez et sont facilement modulables dans leur portée.
FAQ
Que fait un Pentester?
Un pentester est un informaticien de très bon niveau engagé par une entreprise afin d’effectuer des analyses de sécurité de systèmes et de réseaux informatiques en adoptant le point de vue d’un pirate. Afin de contourner les mesures de sécurité existantes, il aura recours à de véritables tactiques et techniques utilisées par les cybercriminels. L’objectif est de révéler les vulnérabilités non découvertes de l’infrastructure informatique et de montrer comment les corriger. La procédure d’un pentester dans un tel audit de sécurité informatique est toujours réalisée en étroite coordination avec le client et selon des scénarios et des phases prédéfinis.
Qu’est-ce qu’un rapport de pentest?
Les résultats d’un test d’intrusion sont repris dans le rapport de pentest. En général, ce rapport comporte deux parties. Le rapport principal qui contient les résultats les plus pertinents catégorisés et évalués un par un du pentest . S’ensuit un aperçu général et un profil de risque. Les informations techniques sur les vulnérabilités découvertes sont regroupées par thème et, si cela s’avère utile, enrichies par les tactiques utilisées. En outre, des recommandations sont décrites pour chacune des vulnérabilités. Les mesures recommandées ont pour but de montrer comment il est possible de remédier aux problèmes de sécurité.
Dans sa deuxième partie, le rapport recense les données récapitulatives. Y sont répertoriés alors tous les systèmes et vulnérabilités trouvés au cours du test. Ces deux parties constituent au final un solide fondement pour l’entreprise cliente pour optimiser sa propre cybersécurité.
Envie d’en savoir plus sur les tests d’intrusion?
N’hésitez pas à nous contacter – nous vous conseillerons volontiers.
« * » indique les champs nécessaires