
Notre offre de Consulting
Conseil, Expertise ou Remediation, nous vous accompagnons de la définition de votre stratégie de Cyber Sécurité à la réponse à donner aux incidents.
Une offre complête de pentest
L’objectif d’un test d’intrusion (pentest) est d’évaluer le niveau de sécurité d’une cible définie,
à travers une mise à l’épreuve concrète reproduisant les conditions d’une cyberattaque réelle.
Faire un audit de reconnaissance.
La phase de préparation avant ce type d’audit est très limitée. Le nom de l’entreprise à cibler est le seul point de départ de l’audit de reconnaissance.
La surface d’attaque d’une entreprise est constituée de tous les éléments de son système d’information exposés sur Internet. La plupart du temps, certains éléments sont connus et répertoriés, tandis que d’autres éléments ne le sont pas.
L’objectif d’un audit de reconnaissance est de dresser une cartographie complète de ces éléments. Il devient alors possible de restreindre l’exposition d’éléments qui ne devraient pas être publiquement accessibles, ainsi que d’identifier les éléments dont le niveau de sécurité doit être évalué et renforcé en priorité.
L’audit de reconnaissance permet de connaître la surface d’attaque d’une entreprise. Ce type d’audit peut constituer la première étape d’un audit de sécurité, avant de définir le périmètre des tests d’intrusion qui seront à conduire par la suite. Le nom de l’entreprise à cibler constitue le seul point de départ de l’audit de reconnaissance. Etant donné que ce type d’audit ne comporte pas de recherches offensives, il n’y a pas besoin de définir des dates d’intervention, ni de mettre en place un plan de communication en cas d’urgence.
L’équipe UNIDEES effectue l’audit à distance, depuis ses bureaux. Le livrable remis à la fin de l’audit de reconnaissance est un rapport détaillant l’ensemble des éléments techniques et humains que peut identifier un pentester.
Evaluer la sécurité de votre application Web.
Un pentest de plateforme web permet de tester la sécurité de la configuration serveur et de l’applicatif.
Les applications web représentent toujours des environnements particulièrement vulnérables des systèmes d’information, de par leur niveau d’exposition aux attaques et de par le manque de sensibilisation des équipes de développement constaté dans de nombreuses entreprises.
L’objectif d’un pentest web est d’évaluer la robustesse de votre plateforme web : serveurs, applications front/back offices, webservices et APIs. Le résultat est un rapport opérationnel permettant aux développeurs de corriger les failles identifiées. Pour les éditeurs de solutions ayant besoin de livrables à fournir à leurs clients, UNIDEES peut fournir un deuxième rapport attestant de la correction des failles de sécurité.
Le périmètre d’un audit de sécurité web est à définir en fonction de l’objectif recherché :
- Que faut-il inclure et exclure dans le pentest ?
- Quel est le niveau de détail recherché : rechercher les vulnérabilités dites majeures ou rechercher l’ensemble des vulnérabilités ?
- Quel est le niveau de risque à tester : tester uniquement les attaques externes (boite noire) ou également les attaques à partir d’un compte utilisateur (boite grise)
- Faut-il incorporer certains types de tests spécifiques ? (ingénierie sociale…)
Evaluer la sécurité de votre infrastructure.
Le pentest d’une infrastructure externe permet de tester la sécurité des adresses IP publiques et des serveurs exposés sur internet. Le pentest d’une infrastructure interne permet de tester le réseau du point de vue d’un visiteur ou d’un collaborateur malveillant.
L’infrastructure informatique est un élément central pour le fonctionnement quotidien et la gestion des entreprises. Les cyber-attaques peuvent provenir de l’extérieur ou de l’intérieur de l’entreprise.
L’objectif d’un pentest d’infrastructure ou de réseau est de tester la sécurité des éléments attaquables depuis l’extérieur (IPs, serveurs) ou depuis l’intérieur (serveurs, postes de travail, périphériques réseaux) de l’entreprise.
Le résultat est un rapport d’audit présentant les vulnérabilités identifiées ainsi que des pistes opérationnelles pour les corriger.Le périmètre de l’audit de sécurité est à définir en fonction de l’objectif recherché :
- Quels sont les principaux risques pour l’activité de l’entreprise : l’accès à des données confidentielles ? la continuité de services du SI ?
- Quel est le niveau de risque à tester : uniquement les attaques externes (boite noire) ou également les attaques internes (boite grise) ?
- Pour les attaques internes : peut-on tester le cloisonnement entre différents niveaux de droits (visiteur, stagiaire, etc.) ?