Pentests:
Protégez votre entre­prise contre
les at­taques de pirates informa­tiques

Avec des tests d’intrusion, également connus sous le nom de pentests ou de tests de pénétration, nos experts en sécurité simulent des cyberattaques sur votre système d’information. De cette façon, nous révélons de manière pratique et réaliste les façons dont les pirates pénètrent dans les systèmes. Ainsi, vous pourrez fermer les failles de vulnérabilités à un stade précoce et éviter une situation de crise.

Pourquoi des pentests?

En tant que test de résistance pour l’infrastructure informatique, le pentesting permet de tester sa propre cybersécurité et de découvrir les points d’attaque possibles. Les entreprises reçoivent un retour d’information expert et impartial sur leurs processus de sécurité, ce qui constitue une importante aide à la décision pour une optimisation ultérieure.

Commanditer un audit de sécurité informatique prend du temps et coûte cher. Cependant ces dépenses restent acceptables par rapport à un incident de sécurité réel, qui peut entrainer des coûts très importants voire une perte de réputation. Cela donne tout son sens à des attaques de pirates simulées. Plus un dommage est connu tôt, plus son effet sera faible.

De plus, les tests de pénétration réguliers permettent aux entreprises de répondre à des exigences de certifications en matière de sécurité de plus en plus importantes.

Vos avantages en résumé

Clarté sur votre propre situation en matière de sécurité informatique

Détection précoce et fermeture des failles de vulnérabilité  

Aide à la décision pour optimiser la stratégie de sécurité

Répondre aux normes de certification dans le domaine de la sécurité informatique

Mise en œuvre professionnelle et réaliste grâce à une expérience significative

Combinaison possible avec d’autres modules de nos partenariats en matière de cybersécurité

Pentests: Le 3 types à connaître

White Box
Pentest

Dans un test d’intrusion White Box, vous fournissez à l’avance à nos experts toutes les informations nécessaires sur les structures informatiques de votre entreprise. Vos employés sont informés de manière proactive de l’exécution du pentest. 

Black Box
Pentest

En revanche, le test d’intrusion Black Box est réalisé sans information préalable sur les systèmes informatiques à tester. L’objectif est de simuler la méthode d’attaque d’un pirate informatique de manière aussi réaliste que possible. Nos experts essaient d’abord de compiler eux-mêmes les informations que vous divulgueriez dans un test de pénétration White Box.

Grey Box
Pentest

Le test d’intrusion Grey Box combine les deux variantes ci-dessus et représente un scénario de piratage particulièrement authentique. Nos experts en sécurité ne reçoivent que des informations fragmentaires sur les systèmes informatiques du client et déterminent eux-mêmes les données restantes. Ce n’est que plus tard que les pentesters reçoivent des informations détaillées sur l’infrastructure informatique ainsi que des données d’accès sélectionnées. L’approche combinée s’avère particulièrement efficace par rapport à la variante Black Box fréquemment demandée.

Le contour d’une évaluation de sécurité (pentest)

De la collecte d’informations à la vérification, un test d’intrusion à la DGC se déroule en six phases. Avant de commencer, les exigences et les objectifs de base de l’évaluation de sécurité informatique sont définis lors d’un kick-off:

En fonction de vos besoins, nous simulons différents scénarios et procédures. Par exemple, un test d’intrusion peut être planifié en collaboration avec votre équipe interne. Une alternative à cela est le „scénario du stagiaire“, où l’un de nos analystes de systèmes informatiques effectue le test de pénétration en secret dans votre entreprise, sans que les employés en soient informés. De cette manière, la composante humaine de la sécurité informatique, appelée ingénierie sociale, peut également être testée.

Pentesting – Procédure expliquée en 6 étapes

Phase 1: Collecte d’informations

Dans cette première phase d’un pentest, les informations disponibles sur l’entreprise sont collectées – en interne et en externe.
Pour tester l’infrastructure informatique externe, tous les composants du système accessibles à partir d’Internet sont passés au crible. Il s’agit notamment des domaines, des plages d’adresses IP, des serveurs de messagerie, des pares-feux et autres routeurs, serveurs FTP et services accessibles depuis le réseau. Pour l’interne, le trafic de données est analysé à l’aide d’un logiciel de reniflage afin de faire des déductions sur les zones de réseau, les appareils et les services en ligne.

Phase 2: Vérification active de l’infrastructure informatique 

Les connaissances acquises lors de la phase 1 sont utilisées pour vérifier activement l’infrastructure informatique. Cela se fait par le biais de l’empreinte digitale, (footprinting). À l’aide de ces informations, les fichiers de données sont corrélés pour identifier – avec un haut degré de probabilité – la version et les correctifs : des services réseaux, des systèmes d’exploitation, des applications logicielles et des bases de données. Cette procédure permet également de tirer des conclusions sur les configurations actuelles.

Phase 3: Analyse des failles dew vulnérabilités

Les résultats de l’empreinte digitale sont utilisés pour identifier les failles de vulnérabilités des systèmes et des applications de l’entreprise cliente. Cela est réalisé à l’aise de notre propre scanner de vulnérabilité  cyberscan.io®. Ces résultats seront également rapprochés à des informations provenant de bases de données librement accessibles sur Internet, dans lesquelles certaines de ces failles de vulnérabilités sont répertoriées.

Phase 4: Exploitation des vulnérabilités

Les vulnérabilités ainsi identifiées sont alors utilisées pour accéder aux systèmes de l’entreprise. Lorsque l’intrusion réussit le pentester navigue dans les systèmes et des artefacts seront collectés. Ceux-ci servent alors de base à la présentation et au rapport sur la sécurité informatique qui en découle. Bien entendu, ces informations très sensibles ne sont documentées qu’en concertation avec le client et ne sont traitées que de manière strictement confidentielle. La phase 4 n’est généralement réalisée qu’en concertation avec le client, afin d’éviter d’éventuelles surcharges de systèmes critiques. Une fois défini, les systèmes sélectionnés seront systématiquement attaqués (exploit).

Phase 5: Présentation des vulnérabilités et des solutions

Lors des phases précédentes, une cartographie détaillée de tous les systèmes identifiés, des failles de sécurité et des solutions possibles, a été réalisée. Si la phase 4 a également eu lieu, les artefacts et exploits sont présentés et expliqués au client lors d’un rendez-vous. Le client reçoit alors, un rapport complet de pentest dans lequel l’ensemble du processus et les résultats sont documentés ainsi que son résumé.

Phase 6: Re-Pénétration

Un seul pentest ne permet guère d’attester durablement du niveau de sécurité des systèmes testés sur le long terme. En effet, les techniques des attaquants potentiels évoluent rapidement. De nouvelles vulnérabilités dans les applications et les systèmes informatiques courants sont signalées quasi quotidiennement. Dans certains cas extrêmes, une cyberattaque peut avoir lieu immédiatement après la fin d’un test d’intrusion et ce en raison d’une nouvelle vulnérabilité. Nous recommandons donc d’effectuer à nouveau un pentest après une période définie. Notre logiciel cyberscan.io® peut également être utilisé pour le contrôle continu de l’infrastructure informatique.

Combien coûte un test d’intrusion?

Moins que vous ne le pensez

Pentest à distance

Les tests d’intrusion internes peuvent également être effectués à distance à l’aide de notre DGCBOX, . Ce procédé allège les coûts et l’impact sur l’environnement.
Votre curiosité est éveillée ? N’hésitez pas à nous contacter!

FAQ

Que fait un Pentester?

Un pentester est un informaticien de très bon niveau engagé par une entreprise afin d’effectuer des analyses de sécurité de systèmes et de réseaux informatiques en adoptant le point de vue d’un pirate. Afin de contourner les mesures de sécurité existantes, il aura recours à de véritables tactiques et techniques utilisées par les cybercriminels. L’objectif est de révéler les vulnérabilités non découvertes de l’infrastructure informatique et de montrer comment les corriger. La procédure d’un pentester dans un tel audit de sécurité informatique est toujours réalisée en étroite coordination avec le client et selon des scénarios et des phases prédéfinis.

Qu’est-ce qu’un rapport de pentest?

Les résultats d’un test d’intrusion sont repris dans le rapport de pentest. En général, ce rapport comporte deux parties. Le rapport principal qui contient les résultats les plus pertinents catégorisés et évalués un par un du pentest . S’ensuit un aperçu général et un profil de risque. Les informations techniques sur les vulnérabilités découvertes sont regroupées par thème et, si cela s’avère utile, enrichies par les tactiques utilisées. En outre, des recommandations sont décrites pour chacune des vulnérabilités. Les mesures recommandées ont pour but de montrer comment il est possible de remédier aux problèmes de sécurité.

Dans sa deuxième partie, le rapport recense les données récapitulatives. Y sont répertoriés alors tous les systèmes et vulnérabilités trouvés au cours du test. Ces deux parties constituent au final un solide fondement pour l’entreprise cliente pour optimiser sa propre cybersécurité.

Besoin d’en savoir plus sur les tests d’intrusion?

Contactez-nous – nous vous conseillerons volontiers.

Consentement*
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.