{"id":1794,"date":"2018-04-11T00:00:00","date_gmt":"2018-04-11T00:00:00","guid":{"rendered":"http:\/\/v32019.vaadata.com\/blog?p=1794"},"modified":"2022-02-17T10:26:06","modified_gmt":"2022-02-17T09:26:06","slug":"audit-de-reconnaissance-quelles-informations-sur-votre-entreprise-peuvent-etre-trouvees-sur-internet","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/audit-de-reconnaissance-quelles-informations-sur-votre-entreprise-peuvent-etre-trouvees-sur-internet\/","title":{"rendered":"Audit de reconnaissance : quelles informations sur votre entreprise peuvent \u00eatre trouv\u00e9es sur internet ?"},"content":{"rendered":"<p><em>\u00ab\u00a0Tout le succ\u00e8s d\u2019une op\u00e9ration r\u00e9side dans sa pr\u00e9paration\u00a0\u00bb<\/em>, Sun Tzu. D\u00e9j\u00e0 vraie au VIe si\u00e8cle av J-C, cette maxime l\u2019est toujours au XXIe si\u00e8cle. Et les pirates informatiques l\u2019ont bien int\u00e9gr\u00e9e \u00e0 leur strat\u00e9gie.<\/p>\n<p>Avant de lancer leur attaque, ils vont ainsi r\u00e9pertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation num\u00e9rique apporte des avantages \u00e0 une organisation, mais elle rend \u00e9galement de nombreuses informations visibles depuis l\u2019ext\u00e9rieur \u00e0 qui sait o\u00f9 chercher, ou m\u00eame simplement regarder. Ces informations aident ensuite les personnes mal intentionn\u00e9es \u00e0 adapter leurs attaques \u00e0 la cible.<\/p>\n<p>Heureusement, cette situation n\u2019est pas une fatalit\u00e9. Chaque entreprise peut <strong>cartographier son empreinte num\u00e9rique<\/strong>, pour ensuite contr\u00f4ler et limiter les informations visibles. C&rsquo;est ce \u00e0 quoi consiste un <strong>audit de reconnaissance<\/strong>.<\/p>\n<p><!--more--><\/p>\n<h2><span style=\"color: #c0b800;\">D\u00e9roulement d\u2019un audit de reconnaissance\u00a0<\/span><img decoding=\"async\" class=\"size-medium wp-image-1255 alignright\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2018\/04\/Cartographie-FR-300x245.png\" alt=\"Cartographie audit reconnaissance\" width=\"300\" height=\"245\" \/><\/h2>\n<p>Contrairement \u00e0 un <a href=\"https:\/\/www.vaadata.com\/fr\/pentest-test-intrusion\/\" target=\"_blank\" rel=\"noopener noreferrer\">test d\u2019intrusion (pentest)<\/a>, les pentesters (experts en s\u00e9curit\u00e9 informatique) ne cherchent pas \u00e0 entrer dans le syst\u00e8me d\u2019une organisation lors d\u2019un <a href=\"https:\/\/www.vaadata.com\/fr\/audit-reconnaissance-audit-dark-web\/\" target=\"_blank\" rel=\"noopener noreferrer\">audit de reconnaissance<\/a>. Ils scrutent les indices disponibles sur l\u2019entreprise pour trouver les portes d\u2019entr\u00e9e potentielles.<br \/>\nIl n\u2019y a donc pas de risques d\u2019interf\u00e9rer avec l\u2019activit\u00e9 quotidienne de l\u2019organisation.<\/p>\n<p>Un audit de reconnaissance se divise ainsi en deux parties\u00a0:<\/p>\n<ul>\n<li>la reconnaissance sur l\u2019infrastructure\u00a0: toutes les donn\u00e9es techniques sont pass\u00e9es en revue<\/li>\n<li>la reconnaissance \u00ab\u00a0humaine\u00a0\u00bb, o\u00f9 sont recherch\u00e9es toutes les donn\u00e9es laiss\u00e9es par des humains (employ\u00e9s, prestataires, fournisseurs\u2026)<\/li>\n<\/ul>\n<p>Cette recherche d\u2019informations peut \u00eatre active ou passive\u00a0:<\/p>\n<ul>\n<li>Reconnaissance passive : il n\u2019y aura pas de trafic g\u00e9n\u00e9r\u00e9 sur l\u2019infrastructure de la cible, il s\u2019agit de trouver par des moteurs de recherche classiques ou sp\u00e9cialis\u00e9s des donn\u00e9es publiques.<\/li>\n<li>Reconnaissance active : il s\u2019agit d\u2019aller interroger directement la \u00ab cible \u00bb. Par exemple, les ports d\u2019un serveur peuvent \u00eatre scann\u00e9s volontairement pour voir sur quels services ils r\u00e9pondent.<\/li>\n<\/ul>\n<h2><span style=\"color: #c0b800;\">La reconnaissance sur l\u2019infrastructure (ou reconnaissance \u00ab\u00a0technique\u00a0\u00bb)<\/span><\/h2>\n<p>Les informations techniques concernent tout le p\u00e9rim\u00e8tre attaquable. Les \u00e9l\u00e9ments sont divers et vari\u00e9s. Pour une organisation, il s\u2019agit des noms de domaine poss\u00e9d\u00e9s, les h\u00e9bergeurs, les adresses IP, les services ouverts sur les serveurs (notamment les <a href=\"https:\/\/www.vaadata.com\/fr\/pentest-web\/\" target=\"_blank\" rel=\"noopener noreferrer\">applications web<\/a>), les technologies de d\u00e9veloppement utilis\u00e9es, etc.<\/p>\n<p>Il ne faut pas n\u00e9gliger des \u00e9l\u00e9ments plus anciens, un peu oubli\u00e9s, qui sont particuli\u00e8rement susceptibles d\u2019\u00eatre vuln\u00e9rables ou de r\u00e9v\u00e9ler des informations\u00a0: versions de d\u00e9veloppement, technologies utilis\u00e9es, parties de sites en th\u00e9orie \u00e0 acc\u00e8s priv\u00e9s qui se retrouvent accessibles, donn\u00e9es de test rest\u00e9es visibles\u2026<\/p>\n<h2><span style=\"color: #c0b800;\">La reconnaissance \u00ab\u00a0humaine\u00a0\u00bb<\/span><\/h2>\n<p>Toutes informations concernant des personnes et laiss\u00e9es par des personnes sont int\u00e9ressantes, particuli\u00e8rement pour construire des <a href=\"https:\/\/www.vaadata.com\/fr\/pentest-ingenierie-sociale\/\" target=\"_blank\" rel=\"noopener noreferrer\">attaques d&rsquo;ing\u00e9nierie sociale<\/a>.<\/p>\n<p>Les donn\u00e9es recherch\u00e9es commencent par les adresses mail professionnelles, les noms, postes et num\u00e9ros de t\u00e9l\u00e9phone de personnes de l\u2019organisation audit\u00e9e.<br \/>\nEnsuite, des informations donn\u00e9es par les personnes elles-m\u00eames sont examin\u00e9es : sur leurs r\u00e9seaux sociaux, sur des forums, par le biais de CV publics, etc. Par exemple, une personne technique peut demander des conseils sur un forum pour mettre en place une communication avec un serveur. Cela renseigne potentiellement sur le type de serveur que l\u2019entreprise utilise.<\/p>\n<p>Lors de la recherche, des donn\u00e9es peuvent \u00eatre vis\u00e9es en particulier, comme des mots de passe, des fichiers confidentiels stock\u00e9s de mani\u00e8re un peu hasardeuse, etc.\u00a0 Les fuites de donn\u00e9es peuvent \u00e9galement \u00eatre utilis\u00e9es pour trouver des adresses mail et mots de passe.<\/p>\n<h2><span style=\"color: #c0b800;\">S\u00e9curiser son empreinte num\u00e9rique<\/span><\/h2>\n<p>Garder le contr\u00f4le des donn\u00e9es expos\u00e9es sur internet se complique au fur et \u00e0 mesure de la digitalisation des organisations. Entre leur pr\u00e9sence en ligne officielle, l\u2019utilisation d\u2019outils et\/ou de services web au quotidien ou encore leur activit\u00e9 qui se digitalise, les domaines o\u00f9 les entreprises laissent des traces augmentent. Il est d\u00e9licat de garder le contr\u00f4le sur tous ces \u00e9l\u00e9ments, en particulier dans un environnement en constante \u00e9volution. C\u2019est pourquoi nous proposons <a href=\"https:\/\/www.vaadata.com\/fr\/audit-reconnaissance-audit-dark-web\/\" target=\"_blank\" rel=\"noopener noreferrer\">un audit d\u00e9di\u00e9 \u00e0 la reconnaissance<\/a>, pour vous aider \u00e0 d\u00e9terminer et contr\u00f4ler votre empreinte num\u00e9rique.<\/p>\n<p>L\u2019inventaire des traces en ligne d\u2019une organisation aide \u00e0 savoir pr\u00e9cis\u00e9ment ce qui est expos\u00e9 sur le web. Cette cartographie permet tout d\u2019abord de supprimer les informations et \u00e9l\u00e9ments qui ne sont plus utiles ou qui, initialement, ne devaient m\u00eame pas \u00eatre rendus publics. Les autres informations trouv\u00e9es peuvent ensuite \u00eatre dissimul\u00e9es, et\/ou leur acc\u00e8s limit\u00e9.<\/p>\n<p>Enfin, l\u2019organisation peut sensibiliser son effectif \u00e0 la protection de leurs donn\u00e9es personnelles tout comme des donn\u00e9es de l\u2019entreprise.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00ab\u00a0Tout le succ\u00e8s d\u2019une op\u00e9ration r\u00e9side dans sa pr\u00e9paration\u00a0\u00bb, Sun Tzu. D\u00e9j\u00e0 vraie au VIe si\u00e8cle av J-C, cette maxime l\u2019est toujours au XXIe si\u00e8cle. Et les pirates informatiques l\u2019ont bien int\u00e9gr\u00e9e \u00e0 leur strat\u00e9gie. Avant de lancer leur attaque, ils vont ainsi r\u00e9pertorier toutes les informations disponibles sur internet concernant leur cible. En effet,<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":{"0":"post-1794","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-solutions-fr"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1794","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=1794"}],"version-history":[{"count":6,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1794\/revisions"}],"predecessor-version":[{"id":4382,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1794\/revisions\/4382"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=1794"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=1794"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=1794"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}