Notre approche du pentest

L’objectif d’un pentest est d’évaluer le niveau de sécurité d’une cible définie, à travers une mise à l’épreuve concrète reproduisant les conditions d’une cyberattaque réelle.

picto_cible

Nous utilisons notre maîtrise des techniques d’attaques pour identifier les vulnérabilités techniques, logiques et humaines de vos systèmes d’information. La phase d’exploitation des failles permet de déterminer les risques réels pour chaque situation, dans le but de les réduire efficacement et rapidement. Un test d’intrusion est une prestation sur mesure, car les attaques sont conçues en fonction de l’architecture fonctionnelle et technique de la cible.

Le pentest en résumé

Du hacking éthique

Une mise à l’épreuve de vos systèmes dans un cadre hautement professionnel

Des tests manuels

Nos outils sont performants, mais notre valeur réside dans le savoir-faire

Un résultat opérationnel

Des rapports d’audit très détaillés pour un résultat directement exploitable

Une équipe ultra-spécialisée

Une équipe full dédiée au pentest, située en France, sans aucune sous-traitance de nos missions

Nous contacter

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible.

Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

Les différents types d’audits de sécurité

Audit en boite noire

Un pentest black box permet de tester la sécurité de votre plateforme ou de votre système face à des attaques externes.

Cela signifie qu’aucune information (ou quasiment aucune, selon les cas) n’est fournie aux pentesters par l’équipe du client, afin de se rapprocher au maximum des conditions d’une attaque externe. Le pentester se met à la place d’un inconnu distant, et non pas à la place d’un client malveillant ou d’un salarié malveillant.

Ce type d’audit permet d’obtenir un feedback extérieur, à confronter avec le point de vue des responsables sécurité internes.

Il est possible de conduire ce type de test d’intrusion en black box sans en informer les équipes chargées de détecter les attaques, afin de constater la capacité de l’entreprise à détecter une attaque et à réagir de façon appropriée.

Audit en boite grise

Un pentest grey box permet de conduire des tests plus approfondis qu’un pentest black box, avec des informations fournies par le client aux pentesters.

Il peut s’agir de fournir aux pentester un accès à une cible non accessible publiquement, ou des comptes utilisateurs sur une plateforme dont l’accès public est restreint, ou encore de la documentation sur le fonctionnement de la cible de l’audit.

Le cas le plus classique pour un pentest de logiciel BtoB, est de prévoir des tests en boite grise permettant de vérifier l’étanchéité des différents niveaux de droits pour les utilisateurs de la solution.

Un audit de sécurité grey box permet aussi de focaliser les tests uniquement sur un périmètre fonctionnel défini par le Client, par exemple sur les derniers éléments mis en production, ou sur des fonctionnalités que le Client soupçonne d’être particulièrement vulnérables. Grâce aux échanges entre les équipes, les pentesters démarrent l’audit avec une meilleure compréhension du contexte.

Audit en boite blanche

Un audit white box permet de pousser encore plus loin l’analyse, en ayant accès à un maximum d’information technique.

Cela signifie que le client fournit en toute transparence les éléments utiles à l’audit de sécurité : documents d’architecture, accès administrateur à un serveur, accès au code source d’une application …

Un audit white box n’est pas un pentest à proprement parler, puisque l’auditeur ne se place pas spécifiquement du point de vue d’un attaquant. Il s’agit d’une analyse sécurité plus poussée qu’un pentest, permettant de mieux comprendre d’où proviennent les problèmes de sécurité.

Ce type d’analyse en boite blanche permet également de déceler des vulnérabilités non visibles lors d’un pentest, mais pouvant tout de même augmenter le niveau d’exposition au risque de la cible.

Sceaux et certificat de sécurité

Les sceaux et le certificat d’audit de sécurité permettent de renforcer la visibilité de votre démarche d’audit de sécurité auprès de vos clients et partenaires.

Vaadata propose plusieurs types de sceaux, en fonction du niveau de pentest ayant été conduit : pentest standard, pentest exhaustif, pentest récurrent, pentest d’ingénierie sociale. Les sceaux sont affichables en ligne, que ce soit sur un site public ou dans un espace privé.

Vaadata propose également un certificat d’audit de sécurité, suite au pentest exhaustif d’une plateforme web, d’une application mobile ou d’un objet connecté.

Il s’agit d’un certificat privé, permettant d’attester qu’un pentest conduit par un tiers de confiance a été réalisé. Le certificat atteste d’un niveau de sécurité atteint à sa date de délivrance.

Notre méthodologie de pentest

methodology

Notre méthodologie s’appuie sur les standards mis en place par la communauté internationale de la cyber-sécurité, dont notamment l’OWASP.

Chaque audit de sécurité s’appuie sur un processus cyclique en 4 phases : Reconnaissance, Mapping, Discovery, Exploitation.

Les tests s’appuient sur des recherches manuelles ainsi que des outils automatiques (outils du marché, outils open-source et outils développés en interne). Combiner ces deux approches permet de profiter de la puissance de l’automatisation pour augmenter l’efficacité et l’efficience du pentest. L’analyse humaine permet de découvrir des vulnérabilités non détectables par des outils, par exemple les failles logiques, et d’évaluer l’impact des vulnérabilités détectées via la phase d’exploitation des failles.

L’exploitation consiste à utiliser les failles identifiées pour en tirer profit, tout comme une personne malveillante pourrait le faire. Certaines failles peuvent ainsi être utilisées comme « pivot » pour découvrir d’autres vulnérabilités plus critiques.

Le livrable remis à la suite d’un audit de sécurité est un rapport exhaustif détaillant les vulnérabilités identifiées, leur exploitation possible ainsi que les corrections nécessaires à implémenter. L’audit initial peut être complété par une phase de validation des corrections, permettant de vérifier que toutes les failles ont bien été corrigées.

Zoom sur les outils de pentest

Le choix des outils dépend de la cible du pentest. Voici quelques exemples.

Pour un pentest d’application web :
  • Proxy d’interception (exemple : Burp)
  • Scanner de vulnérabilité (exemple : SQL map)
  • Divers scripts spécifiques pour chaque technologie (exemples : WPscan, Drupscan)
Pour un pentest de réseau interne :
  • Scanner de port & services (exemple : Nmap)
  • Scanner de vulnérabilités (exemple Metasploit)
  • Outil d’interception du trafic (exemples : Bettercap, Responder)
  • Outil d’analyse réseau (exemple : Wireshark)
Pour un audit de reconnaissance :
  • Moteur de recherche (exemple : Google)
  • Outil d’énumération de DNS (exemples : Subfinder, Amass)

Comment définir le scope d’un pentest ?

Le scope, ou le périmètre, d’un pentest correspond à la cible qui sera l’objet des attaques. Il est possible de définir précisément ou non un périmètre, selon les objectifs et les priorités de l’audit.

Par exemple, un pentest de système d’information en boite noire consistera à cibler les éléments du SI découverts par les pentesters lors de la phase de reconnaissance.

Un pentest de plateforme web en boite grise pourra cibler l’ensemble des fonctionnalités de l’application, ou uniquement certaines fonctionnalités spécifiques, selon l’objectif choisi.

L’objectif de l’audit peut être lié à une contrainte externe : par exemple l’obtention d’une certification, ou la demande d’un partenaire commercial, ou la réponse à un incident de sécurité.

Dans d’autres cas, l’objectif de l’audit peut être défini suite à une analyse de risques ou à un audit de reconnaissance permettant d’identifier la surface d’attaque de l’entreprise.

Lors des échanges préalables à un audit de sécurité, nous pouvons vous conseiller sur le périmètre du pentest en examinant différents éléments de contexte.

Pourquoi mettre en place des tests d’intrusion récurrents ?

Vaadata propose des audits de sécurité « one-shot » ainsi que des audits de sécurité récurrents avec un intervalle régulier.

La fréquence recommandée pour un pentest dépend de la cible elle-même : niveau d’exposition aux risques, niveau de criticité des risques, rythme des nouvelles mises en production, contraintes externes liées à une certification ou au niveau d’exigence des utilisateurs …

Les audits récurrents permettent d’accompagner une organisation dans un processus de renforcement progressif de son niveau de sécurité. Le scope des tests d’intrusion est ajusté ou élargi lors de chaque session, de manière à tester progressivement différents types de menaces et différents pans du système d’information.

Notre système d’abonnement annuel permet de mettre en place un véritable accompagnement, avec un interlocuteur technique dédié capable de vous conseiller sur le contenu de chaque session de pentest en fonction de l’évolution progressive de vos enjeux de sécurité.

Les pentests récurrents peuvent être complétés par des interventions de consulting technique ou par des formations, afin de maximiser notre niveau de réponse à vos problématiques spécifiques et notre transfert de compétences envers vos équipes.

Nous contacter