Pentest - Test d'Intrusion

Demandez un Pentest et détectez les failles de sécurité

Ziwit Consultancy Service pour vos audits et pentests manuels
Ziwit Consultancy Services Pentest - Test d'Intrusion

Un test d’intrusion permet d’identifier les vulnérabilités d’un système informatique comme le ferait des hackers. Chez Ziwit, nos pentesters sont qualifiés et certifiés PASSI par l'ANSSI.

Pourquoi faire un Pentest by Ziwit ?

  • Spécialisé en cybersécurité offensive et pentests depuis plus de 10 ans
  • Ziwit est certifiée PASSI par l'ANSSI et est reconnue comme experte par les plus grandes organisations
  • Des consultants et pentesters spécialisés pour chaque domaine d’intervention (OSINT, Pentest web, test d’intrusion hardware, infrastructure, AD, wifi…)
  • Un accompagnement avant (présentation des pentesters), pendant (communication en continu) et après le test d’intrusion (conseils, accompagnement…)
  • Un contact unique permettant de suivre vos projets de bout-en-bout
Audit de sécurité
Audit de sécurité

Un Pentest, qu'est-ce ?

Le pentest est une méthode d'évaluation de la sécurité informatique qui simule une attaque informatique pour identifier les vulnérabilités et les points faibles d'un système informatique, d'une application web ou d'un réseau.

Il s'agit donc d'un audit approfondi et pragmatique de la sécurité d'un système informatique.

Contrairement à un audit de sécurité traditionnel, qui consiste en une évaluation statique des contrôles de sécurité, le pentest simule des attaques dans des conditions réelles et utilise des techniques avancées pour tester la résistance d'un système. Le test d’intrusion est donc un outil efficace pour identifier les vulnérabilités et les points faibles de vos applications, infrastructures et systèmes informatiques, pour que vous puissiez les corriger.

Depuis plus de 10 ans, Ziwit réalise quotidiennement des tests d’intrusions pour tous types d’entreprises. Spécialisé en cybersécurité offensive, nous avons à cœur d’apporter les meilleures compétences techniques à nos clients.

Pourquoi réaliser un Pentest ?

Les attaques informatiques sont de plus en plus courantes et sophistiquées, et les entreprises doivent être préparées à faire face à ces menaces.

Le test d’intrusion en conditions réelles permet de découvrir les failles de sécurité, les vulnérabilités, les abus de fonctionnalités et les problèmes de configuration de vos systèmes, mais il permet surtout de vous permettre de corriger ces failles avant qu'elles ne soient exploitées par des pirates informatiques.

En bref : le Pentest mesure le risque associé à un système d’information en simulant des conditions d’attaque réalistes, afin d’identifier des pistes pour le réduire significativement.

Le Pentest permet de :

  • Vérifier de façon pragmatique et efficace la sécurité d’un périmètre (application, infrastructure, cloud, site, …)
  • Démontrer le niveau de sécurité d’une application aux parties prenantes (attestation Ziwit CS et sceau de certification)
  • Respecter les exigences réglementaires et les normes de sécurité (ISO27001, HDS, HIIPA, SOC2, PCI-DSS…)
  • Faire monter en compétences les équipes internes (sensibilisation par des cas concrets touchant tous collaborateurs concernés)

Méthodologie & choix du « mode » de test d’intrusion

Le test d’intrusion s’applique sur un périmètre défini avec vous. Il peut s’agir d’un site internet, d’une application web, d’une application mobile, d’une plage d’adresses IPs que vous exposez, de votre infrastructure interne, etc.

Nos consultants définissent avec vous le périmètre sur lequel l’audit de sécurité type pentest sera réalisé, et définissent également leurs méthodologies techniques et organisationnelles.

Différents tests d’intrusion existent et se différencient par les droits que vous donnez, ou non, aux pentesters. Notre équipe vous accompagne pour déterminer avec vous le choix le plus pertinent en fonction de votre situation, parmi les 3 modes de pentests existants :

Pentest Black Box

L’auditeur a accès uniquement aux informations publiquement exposées par la cible, aucun privilège ou droit particulier n'est accordé pour simuler une attaque du système audité telle que menée par un attaquant anonyme et extérieur à son organisation.

Black box
Grey box

Pentest Grey Box

Des informations et documentations sont mises à disposition par l'audité afin d’augmenter la surface de l'audit et simuler une attaque telle que menée par un utilisateur légitime de l'organisation (comptes sur les applications, accès IPs exposés…).

Pentest White Box

Méthode de test d'intrusion où le testeur dispose d'un niveau d'accès élevé aux systèmes ou aux applications à auditer. Le pentester a donc une connaissance avancée des détails techniques de la cible, tels que les codes sources, les configurations et les architectures. Cette approche permet une analyse approfondie de la sécurité de la cible et peut aider à identifier les vulnérabilités qui ne seraient pas détectées par une méthode de test de boîte noire (ou "test d'intrusion à l'aveugle") où le testeur n'a aucune information préalable sur la cible. Cependant, le pentest White Box peut nécessiter plus de temps et de ressources en raison de la préparation et de la connaissance approfondie requises pour mener à bien le test.

White box

Comment se passe un test d’intrusion ?

4 étapes complémentaires

1
Premier contact

Durant cette étape, nos experts prennent contact avec vous pour définir les périmètres qui doivent être audités, les acteurs impliqués dans le test d'intrusion et les procédures du test.

2
Collecte d'informations

Lors de cette phase, nos experts cartographient et analysent vos fonctionnements, systèmes, habitudes et process. Ils récupèrent le plus d'informations utiles possible pour la bonne réalisation du Pentest.

3
Pentest

Nos consultants réalisent le test. Grâce au test d’intrusion mis en place, nos pentesters vont remonter l’ensemble des failles de sécurité découvertes. Toutes les vulnérabilités relevées par nos hackers sont réellement exploitables par un hacker malveillant.

4
Reporting et soutenance

Nos experts réaliseront un rapport ainsi qu'une soutenance reprenant les failles détectées mais également les correctifs à appliquer pour chacune d’elles, de manière détaillée. Un contre-audit est envisageable par la suite selon vos besoins et les vulnérabilités détectées.

Méthodologie globale du Test d’Intrusion

Méthodologie globale du Pentest

Le Kick-Off

Etape essentielle du Pentest pour formaliser les procédures d’audits avec toutes les parties prenantes en prévision du test d’intrusion. Durant cette phase, nous échangeons avec vous sur le périmètre à auditer et formalisons les procédures de test, pour cela nous :

  • Appliquons les documents de références permettant de réaliser à bien le pentest.
  • Identifions les acteurs impliqués sur le projet côté du client et côté Ziwit et validons les canaux de communication pour des échanges d’information fluides.
  • Définissons les modalités de réalisation de la mission : stratégie de test, suivi et pilotage du projet, échanges sécurisés des documents par voie électronique.

Collecte d'informations

Une fois le périmètre et les méthodes définis, les consultants se chargent de récupérer un maximum d’informations sur le scope / périmètre.

C’est la phase de cartographie, de recensement de votre infrastructure sur le périmètre défini, d’analyse et de contextualisation, cette phase permet de bien comprendre les systèmes, habitudes et process avant de commencer à les exploiter et à tester leur résilience.

L'analyse / L'audit

Une fois la documentation récupérée et les étapes de formalisation effectuées, nos auditeurs spécialisés en Pentest, réalisent l’audit sur le périmètre défini. Nous vous expliquerons par la suite la différence entre un test d’intrusion avec méthodologie interne et un test d’intrusion avec méthodologie externe. Le test d’intrusion externe cible les actifs exposés par l’entreprise qui sont visibles sur internet. Le pentest interne a pour but à valider les problématiques de sécurité inhérente au réseau de l’entreprise, à ses services, ses applications internes, mais également les configurations des postes et équipements.

Le Reporting

Le reporting est certainement la phase la plus importante du pentest. Une fois la mission terminée, notre équipe rédige des rapports contenant les analyses complètes menées par les consultants. L’auditeur doit fournir, à la DSI, un rapport écrit expliquant sa méthodologie et la découverte des éventuelles vulnérabilités du système d’information. Il doit proposer des correctifs adaptés, à travers des propositions d’action concrètes, mais également :

  • Les outils utilisés nommés avec leur disponibilité (ex : matériel dédié, logiciel open source, logiciel professionnel) et leurs usages (tous publics, réservés aux spécialistes)
  • Les informations collectées à chaque étape
  • Les failles détectées avec leur impact
  • Les points d’attention
  • Un ensemble de préconisations priorisées avec une difficulté de mise en œuvre du correctif (financière, technique, humaine, etc.).

Le Reporting du pentest s’inscrit donc directement dans le processus de gestion du risque et encourage les contre-mesures efficaces et pragmatiques afin d’abaisser rapidement le risque à un niveau acceptable par le client ou la règlementation.

Rapport test d’intrusion, appelé aussi Pentest

Le Contre-Audit

Afin de valider de la juste remédiation des vulnérabilités identifiées lors du pentest, le client pourra demander un contre-audit.

Le contre-audit permet à nos auditeurs de vérifier que les corrections ont bien été appliquées, et que la philosophie de la remédiation a bien été comprise par les équipes en charge de la correction. Une journée est nécessaire à la réalisation du contre-audit et la rédaction du rapport.

A noter que les équipes Ziwit restent à disposition entre la réalisation du pentest et le contre-audit, sans frais supplémentaire, afin de conseiller le client dans les choix de remédiation.

Nos domaines d’intervention

Pentest web

Test d’intrusion sur vos sites et applications web, pour évaluer leur robustesse et leur état de sécurité (vulnérabilités web, problèmes de configuration, abus de fonctionnalités, escalade de privilèges horizontaux et verticaux …).

Test d'intrusion Application Mobiles

Audit de vos applications mobiles (Android et IOS) et de leur constitution (couche applicative, configuration, échanges et sécurisation des données, webservices et API liés, …). Un audit statique et un audit dynamique sont réalisés.

Pentest infrastructure exposée

Test d’intrusion sur les éléments que vous exposez de votre infrastructure, pour obtenir une visibilité sur les différents points d’accès a votre infrastructure (applications, serveurs de fichiers, serveurs de messagerie, accès VPN, accès distants, équipements réseaux exposés…). Cet audit est généralement réalisé en « Black Box ».

Test d'intrusion infra et réseau

Pentest sur votre infrastructure interne, permettant d’évaluer les possibilités de malveillance par un attaquant ayant un accès au réseau interne de l’entreprise (compromission d’un poste, compromission de l’infrastructure exposée et pivot, attaque physique, accès au réseau …).

Audit de reconnaissance et OSINT

L’audit de reconnaissance permet d’avoir une visibilité sur les différentes informations disponibles sur l’entreprise cible (documents confidentiels, identifiants et mots de passe collaborateurs, IPs, shadow It, bases de données…). Les informations sont ensuite croisées pour définir les risques liés à celles-ci.

Un département OSINT spécifique et des outils développés en internes (CYBERVIGILANCE By HTTPCS) nous permettent d’être particulièrement efficaces sur ces audits.

Audit sécurité globale

Audit de l’ensemble de vos périmètres :

  • Informations exposées sur internet ou forums malveillants (OSINT)
  • Assets et Infrastructure exposée
  • Shadow IT
  • Pentest infrastructure exposée
  • Focus sur les actifs exposés sensibles
  • Infrastructure interne sur sites physiques, dans vos locaux

Cet audit permet d’avoir une visibilité générale de votre état de sécurité (externe et interne).

Pentest IOT

Test d’intrusion sur les différentes couches (hardware, software, interfaces, liaisons, réseau…) constituant l’objet connecté. Différents auditeurs sont sollicités sur ces missions : pentester hardware et software.

Le principal but d’un pentest d’objet connecté est de détecter les failles présentes sur les différentes couches afin de sécuriser l’ensemble de l’environnement de l’objet connecté.

Red Team

L’audit RedTeam consiste à simuler des attaques visant l’entreprise, et permet de réaliser plusieurs scénarios. Là où un pentest vise un périmètre particulier, nous allons employer plusieurs méthodologies (hameçonnage, ingénierie sociale, tests d’intrusion, intrusions physiques, utilisation de données disponibles sur sources ouvertes…) nous permettant de valider les sources de risques et d’éprouver les équipes internes (souvent considérées comme défenses en Blue Team).

Différence entre pentest externe et pentest interne

Le Pentest externe

Le test d’intrusion externe cible les actifs exposés par l’entreprise qui sont visibles sur internet. Il peut s’agir de vos applications, sites web, serveurs de fichiers, messageries, assets réseaux exposés, VPN…). L'objectif principal d'un pentest externe est d'identifier et d'exploiter les vulnérabilités dans l'infrastructure externe d'une organisation.

Le Pentest interne

Le test d’intrusion interne part du postulat d’une présence au sein de votre réseau : exploitation d’une vulnérabilité externe sur un de vos équipements IT ou applications, achat d’identifiants sur le darknet permettant de se connecter à votre infrastructure, compromission d’un poste, accès VPN… mais également collaborateurs.

Que faire après un Pentest ?

La réalisation d’un pentest permet de valider concrètement les vulnérabilités et problématiques de sécurité pouvant compromettre ou abuser vos systèmes informatiques. Il est un audit pragmatique et efficace pour s’assurer d’un état de sécurité à un moment donné.

Corrections

A la suite d’un pentest, il faut évidemment corriger les vulnérabilités identifiées, ou proposer des solutions de contournements. Le rapport permet de guider la remédiation et les actions / charges nécessaires, mais les consultants Ziwit restent également disponibles même après la soutenance de restitution !

Validation

Nos experts contrôlent la bonne application des correctifs après leur passage, afin de délivrer la certification Ziwit Consultancy Services valable 1 an. Cette certification est un véritable gage de confiance que vous pourrez faire valoir auprès de vos partenaires, investisseurs, autorités de régulation ou toute autre partie prenante désireuse de s’assurer de l’intégrité, de la sécurité et de la fiabilité de votre système informatique.

Amélioration continue

Le pentest permet d’améliorer la sécurité à un moment donné de la vie de votre infrastructure. Il faut donc s’en servir comme référence, mais également mettre en place une amélioration continue de votre sécurité. Notre dicton : La sécurité est un processus, jamais un état !

Pentest d'une application, que faire ensuite ?

Afin de s’assurer qu’il n’y ait plus de nouvelle vulnérabilité applicative ou de problème de configuration pouvant causer des soucis de sécurité informatique, vous pouvez mettre en place, entre deux pentest, un scanner de vulnérabilité, nous proposons une solution proactive permettant de détecter les vulnérabilités automatiquement.

Le scanner de vulnérabilités permet d’avoir une visibilité quotidienne sur les vulnérabilités applicatives et sur les problèmes de configuration de vos applications. Vous aurez ainsi l’assurance qu’en cas de développement, de modification, ou de l’arrivée de nouvelles vulnérabilités, votre application ne soit pas vulnérable !

Rapport test d’intrusion, appelé aussi Pentest

Remise du rapport de votre test d’intrusion

À la suite de l’audit de votre organisation, nos experts vous remettront une synthèse de celui-ci, reprenant ces différents points :

  • Le listing général des failles détectées
  • Une synthèse détaillée de chaque vulnérabilité
  • Les contre-mesures à mettre en place
  • Des bonnes pratiques à proposer à vos collaborateurs
  • Un accompagnement vers la mise en conformité ISO 27001 & ISO 27002

Les avantages des rapports Ziwit Consultancy Services :

  • Une construction personnalisée selon vos besoins
  • Des points détaillés permettant une bonne compréhension par tous
  • Des bonnes pratiques faciles à mettre en place
  • Une restitution sous forme orale sur demande

La certification Ziwit Consultancy Services

Obtenez la confiance de toutes les parties prenantes de votre écosystème

Nos experts contrôlent la bonne application des correctifs après leur passage, afin de délivrer la certification Ziwit Consultancy Services valable 1 an. Cette certification est un véritable gage de confiance que vous pourrez faire valoir auprès de vos partenaires, investisseurs, autorités de régulation ou toute autre partie prenante désireuse de s’assurer de l’intégrité, la sécurité et de la fiabilité de votre système informatique.

  • Evaluation de la conformité PCI DSS, RGPD, HIPAA
  • Accompagnement vers l’obtention des normes ISO 27001 & ISO 27002
  • Audit de la sécurité des systèmes d’information notamment des postes de travail et de téléphonie
  • Audit de sécurité applicative de vos Sites web, Applications métier ou e-commerce
  • Audit de sécurité des Web Services
  • Audit de sécurité de l’infrastructure

Ils nous font confiance !

Sanofi
Lagardere
V & B
Septeo
Nicollin
Air Caraïbes
Best Western
OPAC
Famille Michaud
Frans Bonhomme
Paymium
Nepting

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités. Contactez-nous

Contactez-nous !

+33 1 85 09 15 09