Le pentest ou test d'intrusion est une étape primordiale dans la sécurisation d'un système d'information. Les consultants en cybersécurité se glissent dans la peau d'un attaquant et testent l'efficacité de vos mesures de protection. Cet audit à pour but de pointer les axes d'améliorations dans la défense de votre système d'informations, mais également de souligner les bonnes pratiques constatées.
Chez AlgoSecure, nous avons mis en place une méthodologie complète pour vous accompagner et répondre au mieux à vos besoins.
Préparer le pentest
La première étape du processus est de définir avec vous le périmètre à auditer : site web, plage d'adresses IP, application mobile, environnement SCADA... Nous réalisons des pentests sur des environnement très différents, n'hésitez pas à consulter la liste complète.
Une fois le périmètre défini, nous choisissons ensemble le niveau d'informations dont nos pentesteurs vont disposer pour commencer l'audit. Trois situations sont possibles :
-
L'audit dit en boite noire : nos pentesteurs ne possèdent aucune information, et se comportent donc comme des attaquants provenant d'Internet qui découvrent l'application. Ils commencent l'audit par une phase de reconnaissance passive puis de prise d'empreintes.
-
L'audit dit en boite grise : nos pentesteurs ont accès à un compte utilisateur, et se comportent donc comme des utilisateurs malicieux, ou des attaquants ayant usurpé le compte d'un utilisateur.
-
L'audit dit en boite blanche : un compte d'administrateur, voire des parties du code source ou autres documents d'architecture seront confié à nos pentesteurs, qui se comporteront donc comme des administrateurs malicieux, ou des attaquants ayant usurpé le compte d'un administrateur.
Nos équipes prennent également en compte les problématiques métiers spécifiques à votre contexte.
Pour plus d"informations, vous pouvez consulter la page dédiée à notre méthodologie de test d'intrusion.
Pendant le pentest
Au minimum deux de nos consultants sont mobilisés sur un projet de test d'intrusion. Pourquoi ? Tout simplement parce que deux regards valent mieux qu'un seul. Tous les auditeurs n'ont pas le même vécu, ce qui leur permet d'aborder les pentests de manière unique.
Prônant une démarche de transparence, la liste des tests réalisés, des outils utilisés ainsi que la méthodologie suivie par nos pentesteurs sont indiqués dans le rapport d'audit. Si nos pentesteurs développent des scripts spécifiques à votre contexte, ils sont également fournis avec le rapport.
Restituer le pentest
Suite à l'audit, un point de synthèse est réalisé entre les pentesteurs d'AlgoSecure et les commanditaires. Ce point a pour but de fournir un premier retour global sur les résultats du pentest.
Nos consultants procèdent ensuite à la rédaction manuelle du rapport d'audit. Pour chaque défaut de sécurité découvert par nos consultants, une ou plusieurs actions correctives sont proposées. Nos pentesteurs s'efforcent de fournir des recommandations aussi précises que possible, adaptées à votre socle technique, lorsqu'ils sont en mesure de le faire. Indépendants des éditeurs de solutions, nos équipes vous aiguilleront sur les solutions les plus pertinentes dans votre contexte.
Pour finaliser le projet de pentesting, nos consultants soutiennent leur rapport aux commanditaires du test d'intrusion.
Nous apportons une attention particulière à fournir des livrables de qualité pour permettre à nos clients de sécuriser leur système d'informations.
Vous avez un projet de pentest ? N'hésitez pas à nous demander un livre blanc afin d'évaluer la qualité de notre travail !
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !