Broken Access Control Cryptographic Failures Injection Insecure Design Security Misconfiguration Vulnerable and outdated components Identification and authentication failures Software and data integrity failures Security logging and monitoring failures Server-side Request forgery

Audit de vulnérabilités et tests d'intrusion

Détecter les menaces potentielles qui pèsent sur votre activité telle est notre mission !

Audit de vulnérabilités ou pentests, améliorez votre gestion des vulnérabilités et veillez à votre conformité règlementaire PCI DSS, HDS ou autre.

Les cyber-attaques se font de plus en plus menaçantes pour les entreprises ou collectivités. Elles sont de plus en plus sophistiquées et la transformation numérique accentue la surface d’exposition.

Votre entreprise ou votre collectivité dispose de données sensibles ou personnelles. Ces données transitent très probablement via internet. Votre structure utilise des services de messagerie, de partage de fichiers, de communication unifiée, de marketing, etc.

Préconisés ou exigés par un certain nombre de méthodologies, normes et de réglementations, comme l’ISO/EIC 27001 ou encore PCI DSS, les audits de vulnérabilités (ou scan de vulnérabilités) et le « pentest » (ou test d’intrusion) ont pour objectif d’analyser les systèmes d’informations exposés pour en détecter les vulnérabilités.

Audit de vulnérabilités

Contrôlez votre conformité en identifiant les vulnérabilités de votre application, de votre système d'exploitation, de votre infrastructure

Tests d'intrusion

Mesurez la maturité et la robustesse de votre infrastructure en simulant l'attaque d'un utilisateur mal intentionné ou d'un logiciel malveillant.

L’audit de vulnérabilités (ou scan de vulnérabilités) est une prestation qui permet d’identifier les vulnérabilités d’une application, d’un système d’information ou d’une infrastructure.

Se basant sur un référentiel des vulnérabilités connues et enrichi par nos propres découvertes, le scan de vulnérabilité fait partie intégrante de la palette d’outils de la gestion de vulnérabilités (Vulnerability Management).

L’audit de vulnérabilités applicatives (ou scan de vulnérabilités) permet d’identifier les vulnérabilités de vos applications. Il permet de mettre en évidence des erreurs de développement ou de configuration de votre stack applicatif.
Il se base sur un référentiel de vulnérabilités connues dont le top 10 de l’OWASP

Top 10 de l'OWASP

Broken Access Control
Cryptographic Failures
Injection
Insecure Design
Security Misconfiguration
Vulnerable and outdated components
Identification and authentication failures
Software and data integrity failures
Security logging and monitoring failures
Server-side Request forgery

L’audit de vulnérabilités (ou scan de vulnérabilités) de votre infrastructure permet de détecter les vulnérabilités de vos systèmes, vos réseaux …

Il vous permettra d’identifier les composants obsolètes, les erreurs de configuration, etc.

Le maintien en condition de sécurité est un enjeu majeur pour les entreprises, collectivités et leur DSI.

Un accompagnement atout support complément à vos outils de sécurité

Les cyber-attaques se font de plus en plus menaçantes pour les entreprises ou collectivités.
Votre entreprise ou votre collectivité dispose de données sensibles ou personnelles.

Elle est très probablement raccordée à internet et utilise des services de messagerie, de partage de fichiers, de communication unifiée, de marketing, etc.

Préconisée ou exigé par un certain nombre de méthodologies, normes et de réglementations, comme l’ISO/EIC 27001 ou encore PCI DSS, le « pentest » ou test d’intrusion a pour objectif d’analyser l’infrastructure informatique et simuler l’attaque d’un utilisateur mal intentionné ou d’un logiciel malveillant.

Interne ou externe ?

L'objectif d'un pentest est d'évaluer le niveau de sécurité d'une infrastructure, d'un service web ou encore d'un site e-commerce. Pour cela, l'auditeur (ou communément appelé pentester ou ethical hacker), va tester la cible en simulant des attaques réelles.

Externe

Ce type d’audit peut être réalisé sur des cibles externes de l’entreprise (sites web accessibles sur internet, API publiques…). Le pentester réalise ses tests à distance, depuis une simple connexion internet. Il simulera des attaques d’acteurs malveillants, de manière anonyme.

Interne

Il peut être aussi réalisé en interne, depuis les locaux de l’entreprise. Dans ce contexte, le pentester simulera des actions malveillantes depuis l’intérieur de l’entreprise. Le but est de mesurer le risque de compromission par un collaborateur, un partenaire ou un prestataire de l’entreprise.

Une fois le périmètre déterminé, il convient de choisir quel type de pentest va être réalisé

Black Box

Une approche « Black Box » ou « Boîte Noire » consiste à évaluer le niveau de sécurité de la cible en ne disposant d’aucune information. Dans un tel contexte, l’auditeur se positionne comme n’importe quel acteur malveillant. Ce type d’approche nécessite de la méthodologie et du temps pour explorer la cible.

La spécificité de cette approche est qu’elle n’est pas orientée. N’importe quel équipement ou application accessible depuis internet sera audité.

Grey Box

Une approche « Grey Box » ou « Boîte Grise » permet d’optimiser le temps et la surface d’attaque. Le pentester reçoit une quantité limitée d’information permettant de cadrer le périmètre. Ainsi le pentester se concentrera sur ce périmètre.

Cependant, que le test d’intrusion soit en approche « Black Box » ou « Grey Box« , la communication entre l’entreprise et l’auditeur est un élément clé.
Il sera nécessaire de recadrer le périmètre, de gérer les incidents, etc. afin que le résultat soit le plus pertinent et le plus riche pour le client.

Qu’il s’agisse de faire un état des lieux ou bien d’une étape de la livraison de nouveaux produits, le pentest (ou test d’intrusion) est nécessaire à l’évaluation de votre niveau de sécurité. Il vient compléter votre dispositif de cybersécurité.

Une évolution logique : la red team et la blue team

Les tests d’intrusion sont généralement limités dans le temps. C’est pourquoi il faut monter 2 équipes pour minimiser le temps des tests tout en maximisant les compétences de chacun.

La mise en place d'une red team consiste à dédier une équipe à la recherche de vulnérabilités. Nous sommes dans une approche offensive.

Elle teste les dispositifs et évolutions mises en oeuvre par la blue team. Vous l'aurez donc compris, la blue team est dans une démarche défensive.

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

Audit de vulnérabilités et tests d'intrusion

Détecter les menaces potentielles qui pèsent sur votre activité telle est notre mission !

Stratégie de gestion des vulnérabilités

Audit de vulnérabilités

Tests d'intrusion

Audit de vulnérabilités

Les tests d'intrusion ou pentests

Un accompagnement atout support complément à vos outils de sécurité

Interne ou externe ?

Externe

Interne

Une fois le périmètre déterminé, il convient de choisir quel type de pentest va être réalisé

Black Box

Grey Box

Une évolution logique : la red team et la blue team

Vous souhaitez en savoir plus sur notre activité d'Ethical Hacking ?

Contactez-nous !

Allistic - Paris

Allistic - Lille

Newsletter.

Ne ratez pas les dernières infos de la cybersécurité