Pentest du SI – Audit de sécurité informatique

web_platform

Le pentest global d’un système d’information permet de détecter les principales faiblesses de l’entreprise en matière de cyber-sécurité, et de prioriser les actions à mener pour améliorer le niveau de sécurité.

picto_cible

L’objectif d’un audit de sécurité informatique

Une approche globale de la cyber-sécurité passe par une analyse des risques, la définition d’une politique de sécurité, la mise en place de procédures, ainsi que des tests d’intrusion permettant d’évaluer l’efficacité des protections mises en place.

Pour une approche plus concrète, la phase de test d’intrusion en elle-même peut permettre d’identifier les principaux risques pour l’entreprise et de proposer un plan d’action. Dans ce cas, les tests d’intrusion englobent une large palette de techniques, afin de reproduire les attaques couramment dirigées contre les entreprises.

Par définition, ce type de pentest n’a pas de périmètre délimité au départ : les auditeurs en sécurité (pentesters) détermineront eux-mêmes les cibles des tests, en fonction de la phase de reconnaissance effectuée pendant l’audit de sécurité.

Les objectifs de l’audit sont adaptés au contexte de l’entreprise, en s’appuyant sur les risques classiques pour tout système d’information : la confidentialité des données, l’intégrité des données, la continuité de services. D’autres types de risques non spécifiques aux SI, comme les transactions financières et l’image de marque, sont aussi à prendre en compte.

Nous contacter

Déroulement d’audit de sécurité informatique

La première étape consiste à valider l’objectif et les conditions de l’audit de sécurité. Il est possible de conduire un pentest externe et un pentest interne, ou uniquement l’un des deux.

L’audit de sécurité peut englober l’ensemble des risques, avec des tests techniques et des tests d’ingénierie sociale, ou se limiter à des tests techniques uniquement.

L’entreprise commanditaire peut éventuellement émettre des restrictions sur certains types de tests. En dehors d’éventuelles restrictions, elle autorise les pentesters à reproduire une cyberattaque réaliste, en toute légalité. Un plan de communication en cas d’urgence est mis en place, ainsi que des procédures de back-up.

La restitution des résultats permet de constater les forces et les faiblesses de l’entreprise en cas de cyberattaque, et d’adapter les mesures de sécurité en conséquence.

Demander un devis

Pentest externe

Le pentest externe consiste à cibler l’ensemble des éléments visibles par un attaquant distant : adresses IPs, serveurs de mail, VPN, serveurs web, collaborateurs joignables par email ou par téléphone …

La phase de reconnaissance permet d’identifier la surface d’attaque, non pas pour recenser les éléments exposés de façon exhaustive, mais pour décider de façon pragmatique des attaques ayant le plus de probabilités de réussir.

La phase offensive constitue la majeure partie de l’audit. Identifier et exploiter les vulnérabilités présentes permet de faire un feedback très concret au commanditaire de l’audit : types de failles identifiées, impact des failles, niveau de criticité, solutions de corrections.

exteral pentest hack

Pentest interne

Le pentest interne consiste à cibler les éléments exposés sur un réseau interne, en essayant de contourner les niveaux de droits, de corrompre le SI, de piéger les utilisateurs …

La phase de reconnaissance permet d’identifier les éléments exposés sur le réseau, avant de passer à la phase offensive.

Au delà du réseau informatique, le pentest peut cibler les accès physiques aux locaux de l’entreprise, via du crochetage de serrures classiques ou de la recherche de vulnérabilités sur des serrures électroniques (RFID, biométriques, connectées).

Le pentest peut cibler les collaborateurs de l’entreprise via différentes techniques d’ingénierie sociale : phishing interne, clés USB malveillantes, imposture et manipulation en face à face…

Zoom sur Office 365

Office 365 est une solution utilisée par de nombreuses entreprises. Il s’agit d’un élément sensible de par le type d’information obtenue par un attaquant en cas d’accès à un compte utilisateur, voire à des droits d’administrateur.

Un pentest sur Office 365 a pour objectif de détecter des faiblesses de configuration qui permettraient à un attaquant, externe ou interne, d’effectuer des actions malveillantes. Cela comprend des tests en boite noire (sans compte utilisateur) et en boite grise (à partir d’un compte utilisateur standard).

devices office 365 security

Statistiques

56%

56% des organisations ont été victimes d’une attaque par ransomware en 2018.
2019 Cyberthreat Defense Report. CyberEdge Group. (p. 14).

17%

17% des tous les documents sensibles d’une entreprise sont accessibles à tous les employés.
2019 Global Data Risk Report: Data Gets Personal. Varonis. (p. 4).

85%

85% des attaques sont menées pour un motif financier.
2019 Incident Response Insights Report. SecureWorks. (p. 6).

Il y a plusieurs manières d’obtenir de l’argent lors d’une cyberattaque : accéder aux comptes bancaires, vendre des données personnelles ou bancaires, détourner des virements, chiffrer des données et demander une rançon, utiliser les systèmes pour miner des cryptomonnaies, etc.

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

Nous contacter