Category

Solutions

Category

Abraham Lincoln (répétant un bucheron) aurait répondu à la question : que feriez-vous si vous aviez seulement six heures pour abattre un arbre ? Je passerai les quatre premières à affûter ma hache.

Connaitre sa surface d'attaque

Qu’est-ce que cela nous dit ? Que la préparation est la clé.
Vous ne pouvez pas protéger ce que vous ne connaissez pas, c’est pourquoi connaitre sa surface d’attaque est le premier pas essentiel pour la protéger efficacement.

Pentester production

Une fois que vous avez décidé de faire un pentest, vous pouvez vous demander s’il doit cibler votre environnement de production.

Selon les risques, il peut être justifié de conduire l’audit de sécurité soit sur l’environnement de production, soit sur un environnement de test. Vous trouverez ci-dessous un résumé des avantages et des inconvénients de chacune de ces possibilités.

Pour évaluer la sécurité d’un système d’information, une approche très pragmatique consiste à reproduire une cyberattaque de la façon la plus réaliste possible. Un auditeur sécurité peut-il se mettre vraiment dans la peau d’un « bad guy » ? Est-il possible de ne pas biaiser les tests en évitant de communiquer des informations au préalable ?

Black Box Pentest

C’est
effectivement possible avec un audit de sécurité « 100 % Black Box ».
Dans ce cas de figure, le pentester démarre l’audit en ayant pour seule
information le nom de l’entreprise. À lui de découvrir quel est le périmètre
exposé à des attaques, puis de conduire des attaques en essayant de maximiser
l’impact des tests dans le temps qui lui a été imparti.

Les avantages
pour l’entreprise qui commandite ce type d’audit black box sont :

Lorsque l’on parle attaque informatique, on pense souvent à un activiste ou un criminel assis devant son écran à l’autre bout de la planète… alors que la moitié des attaques implique des acteurs internes, selon le Insider Threat Report 2018. Ainsi, 58 % des sondés ont confirmé avoir subi une cyberattaque liée à la menace interne. Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre l’extérieur.

Description

Audit de sécurité interne

Lors d’un audit de sécurité interne, les tests d’intrusion se font depuis l’intérieur de l’entreprise ou parfois via un VPN. Le plus souvent, les pentesters se déplacent dans les locaux de l’entreprise, amènent leur matériel et se mettent dans la configuration d’un attaquant interne.

Ingénierie sociale : retours d'expérience

Nous conduisons des attaques par ingénierie sociale depuis environ 3 ans (attaques légales pour des clients, c’est notre métier, pas d’inquiétude 😉 ). Pendant ces trois ans, nos pentesters (experts en sécurité) ont testé différentes techniques, différents scénarios et prétextes. Nous avons tiré les leçons de notre expérience, et nos clients nous ont fait part ce qu’ils ont appris également ; ce que nous vous partageons ci-dessous.

1/ L’ingénierie sociale en bref

Avant de commencer, prenons un instant pour rappeler ce qu’est l’ingénierie sociale :

L’ingénierie sociale (ou social engineering) consiste à manipuler les personnes afin d’obtenir des informations sensibles ou à leur faire faire des actions pouvant mener à des incidents de sécurité.

Scanner de vulnérabilités vs pentestL’un et l’autre sont dits comme les meilleurs alliés des RSSI (et en général des personnes en charge de la sécurité). Ils sont toutefois deux outils différents dans une stratégie de sécurité. Quelles sont les différentes caractéristiques de chacun ?

Commençons par le scanner de vulnérabilités.

Il s’agit d’un logiciel qui mène des tests sur votre plateforme – votre système d’information – … pour détecter des vulnérabilités. Un scanner identifie les vulnérabilités grâce à sa base de données qui contient les vulnérabilités connues et les problèmes de sécurité courants.

Première caractéristique, les tests sont automatiques. Cela signifie qu’ils sont rapides et un système entier peut être facilement testé en quelques heures / jours, en fonction de sa taille.

Test d'intrusion d'application mobile : qu'est-ce que c'est et comment ça marche ?Les applications mobiles étant de plus en plus utilisées dans tous les domaines d’activités, elles deviennent de plus en plus intéressantes pour les attaquants malveillants. Les applis mobiles ont donc besoin d’une sécurité solide, tout comme un site web. C’est pourquoi nous faisons des tests d’intrusion d’application mobile qui prennent en compte leurs spécificités.

Objectif d’un test d’intrusion d’application mobile ?

Test d'intrusion d'application web : comment ça marcheVos collègues ou votre boss parlent de test d’intrusion ou pentest (de l’anglais penetration testing). On vous demande d’expliquer ce que c’est, comment c’est fait ou ce qui est testé ? (parce que vous êtes la personne technique, donc vous savez sûrement ça, n’est-ce pas ? Surtout si ce n’est pas votre domaine.)

Voici des éléments clés, simples et clairs, pour leur répondre. Pour plus de précisions, n’hésitez pas à nous contacter.

Objectif d’un test d’intrusion d’application web ?