Category

Solutions

Category

Pour évaluer la sécurité d’un système d’information, une approche très pragmatique consiste à reproduire une cyberattaque de la façon la plus réaliste possible. Un auditeur sécurité peut-il se mettre vraiment dans la peau d’un « bad guy » ? Est-il possible de ne pas biaiser les tests en évitant de communiquer des informations au préalable ?

Black Box Pentest

C’est
effectivement possible avec un audit de sécurité « 100 % Black Box ».
Dans ce cas de figure, le pentester démarre l’audit en ayant pour seule
information le nom de l’entreprise. À lui de découvrir quel est le périmètre
exposé à des attaques, puis de conduire des attaques en essayant de maximiser
l’impact des tests dans le temps qui lui a été imparti.

Les avantages
pour l’entreprise qui commandite ce type d’audit black box sont :

Les attaques par déni de service ou attaque DoS font
régulièrement les titres des actualités, car les conséquences peuvent être
importantes. Ces attaques visent à rendre inaccessible un serveur, une
infrastructure réseau, une application …

Attaque DoS, un serveur et site ne répondent plus

Comment s’en protéger ? Vous pouvez choisir de
tester votre résistance aux attaques DoS dans le cadre d’un test d’intrusion.

Lorsque l’on parle attaque informatique, on pense souvent à un activiste ou un criminel assis devant son écran à l’autre bout de la planète… alors que la moitié des attaques implique des acteurs internes, selon le Insider Threat Report 2018. Ainsi, 58 % des sondés ont confirmé avoir subi une cyberattaque liée à la menace interne. Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre l’extérieur.

Description

Audit de sécurité interne

Lors d’un audit de sécurité
interne, les tests d’intrusion se font depuis l’intérieur de l’entreprise ou
parfois via un VPN. Le plus souvent, les pentesters se déplacent dans les
locaux de l’entreprise, amènent leur matériel et se mettent dans la
configuration d’un attaquant interne.

Ingénierie sociale : retours d'expérience

Nous conduisons des attaques par ingénierie sociale depuis environ 3 ans (attaques légales pour des clients, c’est notre métier, pas d’inquiétude 😉 ). Pendant ces trois ans, nos pentesters (experts en sécurité) ont testé différentes techniques, différents scénarios et prétextes. Nous avons tiré les leçons de notre expérience, et nos clients nous ont fait part ce qu’ils ont appris également ; ce que nous vous partageons ci-dessous.

1/ L’ingénierie sociale en bref

Avant de commencer, prenons un instant pour se rappeler ce
qu’est l’ingénierie sociale :

L’ingénierie sociale (ou social engineering) consiste à
manipuler les personnes afin d’obtenir des informations sensibles ou à leur
faire faire des actions pouvant mener à des incidents de sécurité.

Scanner de vulnérabilités vs pentestL’un et l’autre sont dits comme les meilleurs alliés des RSSI (et en général des personnes en charge de la sécurité). Ils sont toutefois deux outils différents dans une stratégie de sécurité. Quelles sont les différentes caractéristiques de chacun ?

Commençons par le scanner de vulnérabilités.

Il s’agit d’un logiciel qui mène des tests sur votre plateforme – votre système d’information – … pour détecter des vulnérabilités. Un scanner identifie les vulnérabilités grâce à sa base de données qui contient les vulnérabilités connues et les problèmes de sécurité courants.

Première caractéristique, les tests sont automatiques. Cela signifie qu’ils sont rapides et un système entier peut être facilement testé en quelques heures / jours, en fonction de sa taille.

Test d'intrusion d'application mobile : qu'est-ce que c'est et comment ça marche ?Les applications mobiles étant de plus en plus utilisées dans tous les domaines d’activités, elles deviennent de plus en plus intéressantes pour les attaquants malveillants. Les applis mobiles ont donc besoin d’une sécurité solide, tout comme un site web. C’est pourquoi nous faisons des tests d’intrusion d’application mobile qui prennent en compte leurs spécificités.

Objectif d’un test d’intrusion d’application mobile ?

Test d'intrusion d'application web : comment ça marcheVos collègues ou votre boss parlent de test d’intrusion ou pentest (de l’anglais penetration testing). On vous demande d’expliquer ce que c’est, comment c’est fait ou ce qui est testé ? (parce que vous êtes la personne technique, donc vous savez sûrement ça, n’est-ce pas ? Surtout si ce n’est pas votre domaine.)

Voici des éléments clés, simples et clairs, pour leur répondre. Pour plus de précisions, n’hésitez pas à nous contacter.

Objectif d’un test d’intrusion d’application web ?

10 règles d'or - titre

C’est l’été, on se sent plus détendu à l’approche des vacances… Mais ce n’est pas le moment d’oublier les bons réflexes de sécurité informatique au travail car les hackers, eux, ne partent pas en vacances !

Les mots de passe :

  • Choisissez un mot de passe complexe comportant au moins 10 caractères. Il doit idéalement se composer de quatre types de caractères différents : minuscules, majuscules, chiffres et caractères spéciaux (dont les signes de ponctuation). Plus votre mot de passe est long et complexe, plus le nombre de combinaisons augmente. Exit donc les mots de passe « faciles » tels que le prénom de votre moitié, de vos enfants chéris ou de votre animal de compagnie !

Titre Interface sd'administrationInterface d’administration, back-office, tableau de bord (dashboard), panneau administrateur… plusieurs noms pour la même chose : l’endroit où les organisations gèrent leurs données, supervisent leur activité sur une plateforme web, répondent aux demandes de leurs clients, activent les comptes utilisateurs, configurent des articles pour une plateforme e-commerce…

Lorsque l’on pense à la sécurité des plateformes web, le back-office n’est pas forcément la priorité, pour plusieurs raisons. L’accès à ce type d’application est normalement restreint, aux services internes de l’organisation, et parfois à des tiers, supposés de confiance.

La sécurité, c’est primordial, et vous êtes d’accord avec ça. D’ailleurs, vous voulez faire un Pentest - code, failles, corrections, langages, serveurs, développement...test d’intrusion (ou pentest) sur votre solution d’ici peu… Voici 7 questions pour vous aider à obtenir le meilleur d’un test d’intrusion.

1 – Il vaut mieux tester la production ou la pré-production ?

Mener un test d’intrusion sur l’environnement de production a un avantage certain : être effectué dans les conditions réelles d’utilisation de votre site/application web/API/… avec les dernières évolutions mises en place.