Archives de catégories : Solutions

Pentest 100 % Black Box : « Tous les coups sont permis »

Pour évaluer la sécurité d’un système d’information, une approche très pragmatique consiste à reproduire une cyberattaque de la façon la plus réaliste possible. Un auditeur sécurité peut-il se mettre vraiment dans la peau d’un « bad guy » ? Est-il possible de ne pas biaiser les tests en évitant de communiquer des informations au préalable ?

Black Box Pentest

C’est effectivement possible avec un audit de sécurité « 100 % Black Box ». Dans ce cas de figure, le pentester démarre l’audit en ayant pour seule information le nom de l’entreprise. À lui de découvrir quel est le périmètre exposé à des attaques, puis de conduire des attaques en essayant de maximiser l’impact des tests dans le temps qui lui a été imparti.

Les avantages pour l’entreprise qui commandite ce type d’audit black box sont :

Lire la suite

Attaques DoS : tester le déni de service pendant un pentest ?

Les attaques par déni de service ou attaque DoS font régulièrement les titres des actualités, car les conséquences peuvent être importantes. Ces attaques visent à rendre inaccessible un serveur, une infrastructure réseau, une application …

Attaque DoS, un serveur et site ne répondent plus

Comment s’en protéger ? Vous pouvez choisir de tester votre résistance aux attaques DoS dans le cadre d’un test d’intrusion.

Lire la suite

Connaître l’audit de sécurité interne : ce que vous devez savoir

Lorsque l’on parle attaque informatique, on pense souvent à un activiste ou un criminel assis devant son écran à l’autre bout de la planète… alors que la moitié des attaques implique des acteurs internes, selon le Insider Threat Report 2018. Ainsi, 58 % des sondés ont confirmé avoir subi une cyberattaque liée à la menace interne. Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre l’extérieur.

Description

Audit de sécurité interne

Lors d’un audit de sécurité interne, les tests d’intrusion se font depuis l’intérieur de l’entreprise ou parfois via un VPN. Le plus souvent, les pentesters se déplacent dans les locaux de l’entreprise, amènent leur matériel et se mettent dans la configuration d’un attaquant interne.

Lire la suite

Ingénierie sociale : Retours d’expérience !

Ingénierie sociale : retours d'expérience

Nous conduisons des attaques par ingénierie sociale depuis environ 3 ans (attaques légales pour des clients, c’est notre métier, pas d’inquiétude 😉 ). Pendant ces trois ans, nos pentesters (experts en sécurité) ont testé différentes techniques, différents scénarios et prétextes. Nous avons tiré les leçons de notre expérience, et nos clients nous ont fait part ce qu’ils ont appris également ; ce que nous vous partageons ci-dessous.

1/ L’ingénierie sociale en bref

Avant de commencer, prenons un instant pour se rappeler ce qu’est l’ingénierie sociale :

L’ingénierie sociale (ou social engineering) consiste à manipuler les personnes afin d’obtenir des informations sensibles ou à leur faire faire des actions pouvant mener à des incidents de sécurité.

Lire la suite