Vérification de la sécurité des IT et Pentest+
Vérification de l’infrastructure de sécurité des It (Pentest+)
Avec notre IT, nous vérifions vos infrastructures comme un possible attaquant à l’intérieur et à l’extérieur de votre réseau pour les lacunes et les risques de sécurité technique.
Avec vous, nous définissons les scénarios d’attaque possibles et vérifions votre infrastructure exactement selon la description. Vous recevrez un rapport et une recommandation pour améliorer votre sécurité informatique.
Vos avantages en un coup d’œil
- Nos experts IT sont des professionnels absolus dans ce domaine
- Nous avons une solution adaptée à chaque faille de sécurité
- Votre infrastructure informatique est entre de bonnes mains avec nous
- Les normes pour les certifications dans le domaine de la sécurité informatique peuvent ainsi être respectées.
- Aide à la décision pour l'optimisation de la sécurité, également en relation avec notre offre CyberSecurity-as-a-Service.
- Exécution réaliste de l'attaque simulée grâce à notre longue expérience en tant que prestataire de services cloud
- Les assurances de cyberprotection tiennent compte des pentests dans leurs primes. Renseignez-vous ici auprès de votre assurance
Contrôle de la sécurité informatique en 6 points
Contrôle de cybersécurité complet pour votre infrastructure informatique – personnalisé en fonction de vos besoins.
01.
Evaluation des besoins
- Audit à prix fixe
- Clarification de vos besoins
- Description claire du service et structure de l’audit lié à la société
La première étape d’un pentest consiste à définir les objectifs et les exigences individuels de votre entreprise, la procédure visée et les techniques utilisées. Les exigences légales et organisationnelles pertinentes ainsi que les éventuels accords contractuels de votre entreprise sont également pris en compte afin d’éviter tout risque potentiel. Pour une vue d’ensemble commune, nos experts consignent par écrit tous les détails du pentest.
02.
Obtention d'informations
- Exécution automatisée pour toutes les menaces communes à la sécurité
- Contrôle manuel et vérification des résultats d’analyse adaptés à votre infrastructure
La deuxième étape d’un pentest consiste à collecter toutes les informations disponibles sur la cible à tester. Pour l’infrastructure informatique externe, tous les composants système accessibles sont examinés, tandis que pour l’infrastructure informatique interne, tous les systèmes disponibles sont inventoriés afin d’identifier les zones du réseau, les appareils et les services.
Ces informations sont utilisées pour vérifier l’infrastructure informatique. Cela se fait en partie de manière passive, mais aussi par le biais d’un contrôle actif, au cours duquel les informations sont mises en corrélation pour identifier les versions et les états des correctifs des services réseau, des systèmes d’exploitation, des applications logicielles et des bases de données. Les résultats de l’audit sont utilisés pour identifier les points faibles des systèmes et des applications. Pour ce faire, une partie de l’analyse est automatisée et l’autre partie consiste à rechercher des exploits et à les inclure dans le test.
En résumé, dans la deuxième étape, les experts se procurent un aperçu aussi complet que possible de l’environnement système à tester afin d’identifier les points faibles et les points d’attaque possibles.
03.
Analyse et définition des risques
- Rapport clairement structuré et réunion finale avec le responsable technique
- Recommandations et soutien pour éliminer les risques futurs
La troisième étape d’un pentest consiste à analyser et à évaluer en profondeur les informations collectées sur les systèmes à tester. Les objectifs du pentest, les risques potentiels pour les systèmes et l’effort estimé pour identifier les failles de sécurité susceptibles d’être découvertes lors des tentatives d’intrusion suivantes sont également pris en compte. Sur la base de cette analyse, nos spécialistes déterminent les cibles concrètes des attaques pour la quatrième étape.
04.
Simulation active d'attaque
- Rapport clairement structuré et réunion finale avec le responsable technique
- Recommandations et soutien pour éliminer les risques futurs
Lors de la quatrième étape du pentest, les vulnérabilités identifiées précédemment sont exploitées de manière ciblée afin d’accéder à l’infrastructure informatique. Si nos spécialistes parviennent à pénétrer dans les systèmes, ils collectent des données qui serviront de base au rapport de sécurité informatique de la cinquième étape ainsi qu’à la présentation finale. Les informations hautement sensibles ne sont documentées qu’en accord avec votre entreprise et sont traitées de manière strictement confidentielle. Cette étape n’est généralement réalisée que sur demande du client, car des systèmes critiques pourraient être affectés dans certaines circonstances.
05.
Rapport final
- Rapport clairement structuré et réunion finale avec le responsable technique
- Recommandations et soutien pour éliminer les risques futurs
Au cours des étapes précédentes, un résumé complet de tous les systèmes identifiés, des failles de sécurité détectées et des solutions possibles a été établi. Les résultats du pentest et les risques associés pour votre entreprise sont présentés dans un rapport final écrit, qui explique également les différentes étapes du test. Si des activités ont eu lieu à l’étape quatre, nous vous présenterons, si vous le souhaitez, les données recueillies lors d’une réunion personnelle, au cours de laquelle les exploits utilisés seront également expliqués.
06.
Catalogue de mesures
- Rapport clairement structuré et réunion finale avec le responsable technique
- Recommandations et soutien pour éliminer les risques futurs
Sur la base du rapport final, nous vous établirons un catalogue complet de mesures que vous pourrez également couvrir, si vous le souhaitez, dans le cadre de notre solution CyberSecurity-as-a-Service.
Procédure de test
Procédures de test et types de pentests
Un pentest externe simule une menace externe qui vise l’infrastructure informatique de l’entreprise. Le pentester analyse l’infrastructure informatique et collecte des informations afin d’identifier les vulnérabilités qui pourraient être exploitées pour obtenir un accès non autorisé ou causer des dommages. Pour ce faire, il utilise différentes techniques telles que le fingerprinting, l’analyse des réseaux et des applications web ainsi que l’ingénierie sociale.
Un pentest interne, en revanche, est réalisé sur le réseau interne, au sein de l’infrastructure informatique de l’entreprise. Le test vise à détecter les failles de sécurité qui pourraient être exploitées par des utilisateurs internes pour accéder à des données confidentielles ou pour porter atteinte aux systèmes de l’entreprise. Les techniques utilisées sont similaires à celles du test externe, mais les méthodes et la procédure sont généralement différentes, car le testeur dispose déjà d’un certain niveau d’accès et peut donc procéder de manière plus ciblée.
Les deux tests, interne et externe, peuvent être réalisés soit en boîte noire, soit en boîte grise, soit en boîte blanche, selon les besoins et les objectifs. Vous trouverez de plus amples informations dans nos boîtes d’information :
Blackbox Testing
Le testeur n'a aucune connaissance ou une connaissance très limitée des systèmes ou applications testés.
Simule une situation d'attaque depuis l'extérieur (Internet).
L'objectif est de trouver les vulnérabilités du point de vue d'un attaquant externe.
Le testeur doit utiliser des techniques telles que la prise d'empreintes digitales et la numérisation pour visualiser le réseau.
Teste la résistance du système aux attaques externes.
Greybox Testing
Le testeur a une connaissance partielle des systèmes ou des applications testés.
Simule une situation d'attaque de l'intérieur, le testeur ayant des droits d'accès limités.
L'objectif est de trouver les vulnérabilités du point de vue d'un utilisateur interne.
Le testeur a accès à des informations telles que l'architecture du système et du réseau, le code source, les fichiers journaux, etc.
Il est testé si les utilisateurs ayant un accès limité au système peuvent accéder à des informations confidentielles ou causer des dommages.
Whitebox Testing
Le testeur a une connaissance complète des systèmes ou des applications testés.
Simule une situation d'attaque de l'intérieur, le testeur disposant de droits d'accès complets.
L'objectif est de trouver des vulnérabilités du point de vue d'un attaquant avec des droits d'accès complets.
Le testeur a accès à des informations telles que le code source, les structures de base de données, les fichiers de configuration, etc.
Il est testé si le système est suffisamment protégé contre les attaques internes et s'il existe d'éventuels points faibles avec des droits d'accès accrus.