Pentests
Pentest
L’objectif d’un pentest est d’évaluer le niveau de sécurité d’une cible définie, à travers une mise à l’épreuve concrète reproduisant les conditions d’une cyberattaque réelle.
Nous utilisons notre maîtrise des techniques d’attaques pour identifier les vulnérabilités techniques, logiques et humaines de vos systèmes d’information. La phase d’exploitation des failles permet de déterminer les risques réels pour chaque situation, dans le but de les réduire efficacement et rapidement. Un test d’intrusion est une prestation sur mesure, car les attaques sont conçues en fonction de l’architecture fonctionnelle et technique de la cible.
Nous utilisons notre maîtrise des techniques d’attaques pour identifier les vulnérabilités techniques, logiques et humaines de vos systèmes d’information. La phase d’exploitation des failles permet de déterminer les risques réels pour chaque situation, dans le but de les réduire efficacement et rapidement. Un test d’intrusion est une prestation sur mesure, car les attaques sont conçues en fonction de l’architecture fonctionnelle et technique de la cible.
Les différents types de pentest
Test en boîte noire
Sans aucune information ni identifiant de connexion préalablement communiqués par le client
Un pentest black box permet de tester la sécurité de votre plateforme ou de votre système face à des attaques externes.
Cela signifie qu’aucune information (ou quasiment aucune, selon les cas) n’est fournie aux pentesters par l’équipe du client, afin de se rapprocher au maximum des conditions d’une attaque externe. Le pentester se met à la place d’un inconnu distant, et non pas à la place d’un client malveillant ou d’un salarié malveillant.
Ce type d’audit permet d’obtenir un feedback extérieur, à confronter avec le point de vue des responsables sécurité internes.
Il est possible de conduire ce type de test d’intrusion en black box sans en informer les équipes chargées de détecter les attaques, afin de constater la capacité de l’entreprise à détecter une attaque et à réagir de façon appropriée.
Un pentest black box permet de tester la sécurité de votre plateforme ou de votre système face à des attaques externes.
Cela signifie qu’aucune information (ou quasiment aucune, selon les cas) n’est fournie aux pentesters par l’équipe du client, afin de se rapprocher au maximum des conditions d’une attaque externe. Le pentester se met à la place d’un inconnu distant, et non pas à la place d’un client malveillant ou d’un salarié malveillant.
Ce type d’audit permet d’obtenir un feedback extérieur, à confronter avec le point de vue des responsables sécurité internes.
Il est possible de conduire ce type de test d’intrusion en black box sans en informer les équipes chargées de détecter les attaques, afin de constater la capacité de l’entreprise à détecter une attaque et à réagir de façon appropriée.
Test en boîte grise
Avec des identifiants de connexion et l’ensemble de la documentation technique disponible.
Un pentest grey box permet de conduire des tests plus approfondis qu’un pentest black box, avec des informations fournies par le client aux pentesters.
Il peut s’agir de fournir aux pentester un accès à une cible non accessible publiquement, ou des comptes utilisateurs sur une plateforme dont l’accès public est restreint, ou encore de la documentation sur le fonctionnement de la cible de l’audit.
Le cas le plus classique pour un pentest de logiciel BtoB, est de prévoir des tests en boite grise permettant de vérifier l’étanchéité des différents niveaux de droits pour les utilisateurs de la solution.
Un audit de sécurité grey box permet aussi de focaliser les tests uniquement sur un périmètre fonctionnel défini par le Client, par exemple sur les derniers éléments mis en production, ou sur des fonctionnalités que le Client soupçonne d’être particulièrement vulnérables. Grâce aux échanges entre les équipes, les pentesters démarrent l’audit avec une meilleure compréhension du contexte.
Un pentest grey box permet de conduire des tests plus approfondis qu’un pentest black box, avec des informations fournies par le client aux pentesters.
Il peut s’agir de fournir aux pentester un accès à une cible non accessible publiquement, ou des comptes utilisateurs sur une plateforme dont l’accès public est restreint, ou encore de la documentation sur le fonctionnement de la cible de l’audit.
Le cas le plus classique pour un pentest de logiciel BtoB, est de prévoir des tests en boite grise permettant de vérifier l’étanchéité des différents niveaux de droits pour les utilisateurs de la solution.
Un audit de sécurité grey box permet aussi de focaliser les tests uniquement sur un périmètre fonctionnel défini par le Client, par exemple sur les derniers éléments mis en production, ou sur des fonctionnalités que le Client soupçonne d’être particulièrement vulnérables. Grâce aux échanges entre les équipes, les pentesters démarrent l’audit avec une meilleure compréhension du contexte.
Test en boîte blanche
Avec l’exhaustivité des informations disponibles, permettant ainsi une recherche approfondie des vulnérabilités.
Un audit white box permet de pousser encore plus loin l’analyse, en ayant accès à un maximum d’information technique.
Cela signifie que le client fournit en toute transparence les éléments utiles à l’audit de sécurité : documents d’architecture, accès administrateur à un serveur, accès au code source d’une application …
Un audit white box n’est pas un pentest à proprement parler, puisque l’auditeur ne se place pas spécifiquement du point de vue d’un attaquant. Il s’agit d’une analyse sécurité plus poussée qu’un pentest, permettant de mieux comprendre d’où proviennent les problèmes de sécurité.
Ce type d’analyse en boite blanche permet également de déceler des vulnérabilités non visibles lors d’un pentest, mais pouvant tout de même augmenter le niveau d’exposition au risque de la cible.
Un audit white box permet de pousser encore plus loin l’analyse, en ayant accès à un maximum d’information technique.
Cela signifie que le client fournit en toute transparence les éléments utiles à l’audit de sécurité : documents d’architecture, accès administrateur à un serveur, accès au code source d’une application …
Un audit white box n’est pas un pentest à proprement parler, puisque l’auditeur ne se place pas spécifiquement du point de vue d’un attaquant. Il s’agit d’une analyse sécurité plus poussée qu’un pentest, permettant de mieux comprendre d’où proviennent les problèmes de sécurité.
Ce type d’analyse en boite blanche permet également de déceler des vulnérabilités non visibles lors d’un pentest, mais pouvant tout de même augmenter le niveau d’exposition au risque de la cible.
| Le rapport d'audit Un rapport d'audit est fourni une fois le test d'intrusion effectué Un rapport est fourni à l’issue du pentest comprenant tous les points positifs de votre sécurité et les informations nécessaires pour corriger les failles de sécurité. Un entretien est programmé pour échanger sur le rapport Nos experts prennent ensuite contact avec vous pour échanger sur le rapport de pentest. C’est l’occasion de vous donner les pistes à suivre pour corriger les failles de sécurité qui auront été révélées. |
Les différentes types de pentest
Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.
- Audit de reconaissance & audit dark web
- Plateformes web
- Applications mobiles
- IoT Objets connectés
- Infrastructure et réseau
- Ingénierie sociale
- Système d’information global
Le scope d'un pentest
Le scope, ou le périmètre, d’un pentest correspond à la cible qui sera l’objet des attaques. Il est possible de définir précisément ou non un périmètre, selon les objectifs et les priorités de l’audit.
Par exemple, un pentest de système d’information en boite noire consistera à cibler les éléments du SI découverts par les pentesters lors de la phase de reconnaissance.
Un pentest de plateforme web en boite grise pourra cibler l’ensemble des fonctionnalités de l’application, ou uniquement certaines fonctionnalités spécifiques, selon l’objectif choisi.
L’objectif de l’audit peut être lié à une contrainte externe : par exemple l’obtention d’une certification, ou la demande d’un partenaire commercial, ou la réponse à un incident de sécurité.
Dans d’autres cas, l’objectif de l’audit peut être défini suite à une analyse de risques ou à un audit de reconnaissance permettant d’identifier la surface d’attaque de l’entreprise.
Lors des échanges préalables à un audit de sécurité, nous pouvons vous conseiller sur le périmètre du pentest en examinant différents éléments de contexte.
Par exemple, un pentest de système d’information en boite noire consistera à cibler les éléments du SI découverts par les pentesters lors de la phase de reconnaissance.
Un pentest de plateforme web en boite grise pourra cibler l’ensemble des fonctionnalités de l’application, ou uniquement certaines fonctionnalités spécifiques, selon l’objectif choisi.
L’objectif de l’audit peut être lié à une contrainte externe : par exemple l’obtention d’une certification, ou la demande d’un partenaire commercial, ou la réponse à un incident de sécurité.
Dans d’autres cas, l’objectif de l’audit peut être défini suite à une analyse de risques ou à un audit de reconnaissance permettant d’identifier la surface d’attaque de l’entreprise.
Lors des échanges préalables à un audit de sécurité, nous pouvons vous conseiller sur le périmètre du pentest en examinant différents éléments de contexte.
L'intérêt des pentests récurrents
Secuboost propose des audits de sécurité « one-shot » ainsi que des audits de sécurité récurrents avec un intervalle régulier.
La fréquence recommandée pour un pentest dépend de la cible elle-même : niveau d’exposition aux risques, niveau de criticité des risques, rythme des nouvelles mises en production, contraintes externes liées à une certification ou au niveau d’exigence des utilisateurs …
Les audits récurrents permettent d’accompagner une organisation dans un processus de renforcement progressif de son niveau de sécurité. Le scope des tests d’intrusion est ajusté ou élargi lors de chaque session, de manière à tester progressivement différents types de menaces et différents pans du système d’information.
Notre système d’abonnement annuel permet de mettre en place un véritable accompagnement, avec un interlocuteur technique dédié capable de vous conseiller sur le contenu de chaque session de pentest en fonction de l’évolution progressive de vos enjeux de sécurité.
Les pentests récurrents peuvent être complétés par des interventions de consulting technique ou par des formations, afin de maximiser notre niveau de réponse à vos problématiques spécifiques et notre transfert de compétences envers vos équipes.
Secuboost propose des audits de sécurité « one-shot » ainsi que des audits de sécurité récurrents avec un intervalle régulier.
La fréquence recommandée pour un pentest dépend de la cible elle-même : niveau d’exposition aux risques, niveau de criticité des risques, rythme des nouvelles mises en production, contraintes externes liées à une certification ou au niveau d’exigence des utilisateurs …
Les audits récurrents permettent d’accompagner une organisation dans un processus de renforcement progressif de son niveau de sécurité. Le scope des tests d’intrusion est ajusté ou élargi lors de chaque session, de manière à tester progressivement différents types de menaces et différents pans du système d’information.
Notre système d’abonnement annuel permet de mettre en place un véritable accompagnement, avec un interlocuteur technique dédié capable de vous conseiller sur le contenu de chaque session de pentest en fonction de l’évolution progressive de vos enjeux de sécurité.
Les pentests récurrents peuvent être complétés par des interventions de consulting technique ou par des formations, afin de maximiser notre niveau de réponse à vos problématiques spécifiques et notre transfert de compétences envers vos équipes.
Commencez avec secuboost aujourd'hui !
Appelez-nous maintenant au 01 76 50 74 74, ou remplissez ce formulaire pour entre en contact avec nos équipes et trouver la meilleure solution pour votre entreprise, quelle que soit sa taille et votre objectif !
