Audit de reconnaissance et audit dark web
Un audit de reconnaissance permet d’identifier la surface d’attaque d’une entreprise en cartographiant tous les éléments de son système d’information exposés sur le web.
Un audit dark web permet d’aller plus en profondeur en recherchant des informations sur le dark web afin de remonter des indicateurs de compromission. Ce type d’audits peut être la première phase d’un pentest ou être conduit indépendamment.
Pentest de plateformes web
Les plateformes web sont une des cibles favorites des attaquants, car il s’agit d’éléments particulièrement exposés et vulnérables.
Un test d’intrusion de plateforme web évalue le niveau de sécurité des serveurs et des applications web (front office, back office, APIs). L’audit de sécurité web peut se focaliser sur des cibles spécifiques (fonctionnalités particulièrement à risque) ou couvrir l’ensemble du périmètre exposé.
Pentest d’applications mobiles ou desktop
Les applications mobiles posent des risques de différentes nature : manipulation de données personnelles, portes d’entrée vers une infrastructure web, possibilité d’être copiées, décompilées et corrompues. Ce dernier type de risque concerne aussi les applications desktop.
L’audit de sécurité d’une application mobile ou desktop permet de conduire des tests spécifiques sur l’application elle-même (cryptographie et reverse engineering). Pour les applications mobiles, auditer les APIs mobiles représente un enjeu prioritaire.
Pentest IoT – objets connectés
La sécurité de l’IoT est un sujet complexe, de par l’étendue des entry points et des technologies potentielles. Le type d’utilisation des solutions IoT (santé, transport et industrie, notamment) entraîne des conséquences importantes en cas de cyberattaque réussie.
L’audit de sécurité IoT permet de conduire des tests spécifiques sur le hardware (électronique et logiciel embarqué) ou d’évaluer le niveau de sécurité de l’écosystème considéré dans son ensemble (électronique, logiciels embarqués, protocoles de communication, serveurs, APIs, interfaces web, applications mobiles).
Pentest infrastructure et réseau
Une infrastructure sécurisée est une condition essentielle pour garantir la bonne conduite de l’activité d’une entreprise, afin de préserver l’intégrité et la confidentialité de ses données.
Un pentest d’infrastructure peut se focaliser sur l’infrastructure externe ou sur le réseau interne d’une entreprise.
Pentest d’ingénierie sociale
L’ingénierie sociale est un vecteur d’attaque redoutable, utilisé contre tout type de cible, y compris les organisations les plus sécurisées. Le nombre de scénarios possibles dépend uniquement de l’imagination et de la motivation des attaquants.
Un audit d’ingénierie sociale permet de tester les procédures ainsi que les comportements humains, afin d’évaluer le niveau de risques ainsi que les actions correctives à mettre en place (protections techniques, processus de contrôle, et sensibilisation des collaborateurs).
Pentest du système d’information
Evaluer le niveau de sécurité global d’une entreprise face à des cyberattaques permet de définir ou de retravailler les priorités en matière de sécurité. Cette approche permet d’identifier très concrètement les risques réels.
Un audit de sécurité informatique (sur un système d’information pris dans son ensemble) comporte généralement deux étapes : audit de sécurité externe, puis audit de sécurité interne. Cela permet de tester l’éventail des types d’attaques réalisables sur le SI.
Notre approche du pentest
Le pentest évalue le niveau de sécurité de vos systèmes dans un cadre professionnel. L’équipe de Vaadata, hautement spécialisée, utilise sa maîtrise des techniques d’attaque pour identifier les failles de sécurité techniques, logiques et organisationnelles. Vaadata propose des audits de sécurité d’une qualité exceptionnelle, ce dont attestent ses 150 clients.
Quelles sont les différences entre les approches Black Box, Grey Box, White Box ?
Quelle est notre méthodologie ?
Comment définir le périmètre d’un test d’intrusion ?
Tarifs des pentests
Le tarif d’un audit de sécurité est à définir en fonction d’un compromis entre les objectifs à atteindre et les moyens à allouer.
Ceci passe généralement par une analyse du périmètre à auditer effectuée avec le commanditaire (phase d’analyse gratuite).
Vaadata propose différents packs d’audits de sécurité, ainsi que des audits sur mesure.