Pentest du Système d’Information – Audit de sécurité informatique
Un audit de sécurité global permet de détecter les principales vulnérabilités de l’entreprise, et de prioriser les actions à mener pour améliorer le niveau de cybersécurité.
Un audit de sécurité global permet de détecter les principales vulnérabilités de l’entreprise, et de prioriser les actions à mener pour améliorer le niveau de cybersécurité.
Une approche globale de la cybersécurité passe par une analyse des risques, la définition d’une politique de sécurité, la mise en place de procédures, ainsi que des tests d’intrusion permettant d’évaluer l’efficacité des protections mises en place.
Pour une approche plus concrète, la phase de test d’intrusion en elle-même peut permettre d’identifier les principaux risques pour l’entreprise et de proposer un plan d’action. Dans ce cas, les tests d’intrusion englobent une large palette de techniques, afin de reproduire les attaques couramment dirigées contre les entreprises.
Par définition, ce type d’audit de sécurité n’a pas de périmètre délimité au départ : les auditeurs en sécurité (pentesters) détermineront eux-mêmes les cibles des tests, en fonction de la phase de reconnaissance effectuée pendant l’audit.
Les objectifs de l’audit sont adaptés au contexte de l’entreprise, en s’appuyant sur les risques courants pour tout système d’information : la confidentialité des données, l’intégrité des données, la continuité de services. D’autres types de risques non spécifiques aux SI, comme les transactions financières et l’image de marque sont aussi à prendre en compte.
La première étape consiste à valider l’objectif et les conditions de l’audit de sécurité. Il est possible de conduire un audit de sécurité externe et un audit de sécurité interne, ou uniquement l’un des deux.
L’audit de sécurité peut englober l’ensemble des risques, avec des tests techniques et des tests d’ingénierie sociale, ou se limiter à des tests techniques uniquement.
L’entreprise commanditaire peut éventuellement émettre des restrictions sur certains types de tests. En dehors d’éventuelles restrictions, elle autorise les pentesters à reproduire une cyberattaque réaliste, en toute légalité. Un plan de communication en cas d’urgence est mis en place, ainsi que des procédures de back-up.
La restitution des résultats permet de constater les forces et les faiblesses de l’entreprise en cas de cyberattaque, et d’adapter les mesures de sécurité en conséquence.
Un audit de sécurité externe consiste à cibler l’ensemble des éléments visibles par un attaquant distant : adresses IPs, serveurs de mail, VPN, serveurs web, collaborateurs joignables par email ou par téléphone, etc.
La phase de reconnaissance permet d’identifier la surface d’attaque, non pas pour recenser les éléments exposés de façon exhaustive, mais pour décider de façon pragmatique des attaques ayant le plus de probabilités de réussir.
La phase offensive constitue la majeure partie de l’audit. Identifier et exploiter les vulnérabilités présentes permet de faire un feedback très concret au commanditaire de l’audit : types de failles identifiées, impact des failles, niveau de criticité, solutions de corrections.
Un audit de sécurité interne consiste à cibler les éléments exposés sur un réseau interne, en essayant de contourner les niveaux de droits, de corrompre le SI, de piéger les utilisateurs, etc.
La phase de reconnaissance permet d’identifier les éléments exposés sur le réseau, avant de passer à la phase offensive.
Au-delà du réseau informatique, l’audit peut cibler les accès physiques aux locaux de l’entreprise, via du crochetage de serrures classiques ou de la recherche de vulnérabilités sur des serrures électroniques (RFID, biométriques, connectées).
L’audit de sécurité peut également cibler les collaborateurs de l’entreprise via différentes techniques d’ingénierie sociale : phishing interne, clés USB malveillantes, imposture et manipulation en face à face, etc.
Notre livre blanc “Comment definir le scope d’un pentest” vous donne des clés pour définir le périmètre et une stratégie de pentest. Il regroupe les points clés issus de nos échanges avec environ 200 entreprises.
Office 365 est une solution utilisée par de nombreuses entreprises. Il s’agit d’un élément sensible de par le type d’informations obtenues par un attaquant en cas d’accès à un compte utilisateur, voire à des droits d’administrateur.
Un audit de sécurité sur Office 365 a pour objectif de détecter des faiblesses de configuration qui permettraient à un attaquant, externe ou interne, d’effectuer des actions malveillantes. Cela comprend des tests en boite noire (sans compte utilisateur) et en boite grise (à partir d’un compte utilisateur standard).
Statistiques
56%
56% des organisations ont été victimes d’une attaque par ransomware en 2018.
2019 Cyberthreat Defense Report. CyberEdge Group. (p. 14).
17%
17% des tous les documents sensibles d’une entreprise sont accessibles à tous les employés.
2019 Global Data Risk Report: Data Gets Personal. Varonis. (p. 4).
85%
85% des attaques sont menées pour un motif financier.
2019 Incident Response Insights Report. SecureWorks. (p. 6).
Il y a plusieurs manières d’obtenir de l’argent lors d’une cyberattaque : accéder aux comptes bancaires, vendre des données personnelles ou bancaires, détourner des virements, chiffrer des données et demander une rançon, utiliser les systèmes pour miner des cryptomonnaies, etc.
Notre offre de pentests
Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.
