1-877-805-7475

Contactez Nous

Login

DEMANDE DE SOUMISSION
SOUMISSION

Foire aux Questions sur les
Tests d'Intrusion (FAQ)

Cette page présente les questions les plus fréquemment posées concernant les tests d’intrusion.

Questions d'Ordre
Général

Vous n’avez pas trouvé la réponse à votre question ?
Contactez Nous →

Un test d’intrusion est une tentative de piratage simulée qui identifie les possibilités pour de vrais pirates de percer vos défenses et de réaliser divers actes malveillants. Il exploite généralement les outils utilisés par les pirates et diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes suivraient pour s’introduire dans vos systèmes informatiques.

Un pentest tente d’exploiter vos vulnérabilités pour déterminer leur impact potentiel, si elles sont utilisées dans un véritable scénario de piratage. Ils fournissent une liste des vulnérabilités avec leur niveau de gravité respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques.

Ces services permettent à votre organisation de répondre aux questions suivantes, parmi plusieurs autres :

  • Un pirate peut-il avoir accès à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour des actes malveillants ?
  • Une infection par un logiciel malveillant pourrait-elle se propager sur le réseau ?
  • Un attaquant peut-il escalader l’accès à un utilisateur administratif ?

Les tests d’intrusion peuvent être réalisés avec diverses intentions et permettre d’atteindre divers objectifs. Qu’il s’agisse de répondre aux exigences de tiers, d’établir des partenariats commerciaux ou de tester une nouvelle fonctionnalité dans le cadre d’un cycle de développement, ils peuvent servir plusieurs objectifs.

Voici quelques-unes des principales raisons d’effectuer un test d’intrusion :

  • Se conformer aux exigences qui imposent des tests de sécurité. (tierce partie, PCI, ISO27001, etc.)
  • Identifiez les vulnérabilités et obtenez une liste de correctifs classés par ordre de priorité.
  • Protéger les données et les systèmes contre les agresseurs.
  • Adoptez le point de vue d’un hacker.
  • Prévenir les pertes financières

Apprenez-en plus sur les raisons pour lesquelles vous devriez effectuer un pentest →

Le prix d’un test d’intrusionpeut varier considérablement en fonction de plusieurs facteurs. Pour cette raison, il n’y a pas de tranche de prix établie pour ce type d’évaluation. Chaque projet est adapté à vos objectifs et à votre environnement technologique. De nombreux facteurs doivent être déterminés avant de pouvoir établir le coût.

Voici les principaux facteurs qui peuvent affecter le coût d’un test d’intrusion :

  • Portée du projet. (Nb. d’IP ciblées, Nb. de fonctionnalités dans l’application, etc.)
  • Effectué dans un environnement de production ou de développement.
  • Type de test. (réseau, application, SCADA, etc.)
  • Approche de test. (Approche automatisée ou manuelle)
  • Objectifs. (conformité, meilleures pratiques, etc.)

Découvrez les principaux facteurs qui déterminent le coût d’un test d’intrusion.

Il existe de nombreux contextes dans lesquels un test d’intrusiondoit être effectué.

Voici quelques cas d’utilisation courante d’un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (tierces parties, PCI, ISO27001, etc.)
  • Pour sécuriser les données sensibles contre l’exfiltration.
  • Pour éviter les infections par des logiciels malveillants. (Ransomware, spyware, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (comme le déni de service)
  • Dans le cadre d’une stratégie de gestion du risque de cybersécurité.

Il est conseillé à toutes les entreprises de réaliser un test d’intrusionau moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement d’effectuer des tests trimestriels.

Le temps nécessaire à l’exécution réussie d’un test d’intrusiondépend de la portée et du type de test. La plupart des tests d’intrusion peuvent être réalisés en quelques jours, mais certains peuvent s’étendre sur plusieurs semaines, voire plusieurs mois, selon la complexité du projet.

Les évaluations de vulnérabilité et les tests d’intrusion sont les techniques les plus courantes pour découvrir et corriger les failles de cybersécurité dans vos technologies. Bien que certaines similitudes existent entre les deux, elles sont souvent interprétées à tort comme une seule et même chose, alors qu’elles donnent lieu à des degrés d’analyse très différents.

Les scanners de vulnérabilité sont généralement utilisés par le personnel informatique afin de vérifier les infrastructures de réseau pour détecter les vulnérabilités connues qui ont pu être introduites lors de leur mise en œuvre. Les tests d’intrusion, en revanche, identifient les vulnérabilités bien documentées, ainsi que celles qui n’ont jamais été vues auparavant, tout en fournissant des preuves de leur impact potentiel sur votre entreprise.

En savoir plus sur les principales différences entre les scans de vulnérabilité et les tests d’intrusion →

Comme pour le point précédent, les tests automatisés (connus sous le nom de scanners de vulnérabilité ou d’évaluations de vulnérabilité) permettent aux équipes informatiques d’identifier les mauvaises configurations potentielles et les vulnérabilités connues dans les versions de leurs logiciels, systèmes d’exploitation et technologies.

Bien que les tests automatisés soient rentables et nécessitent moins d’expertise, ils n’offrent pas le même niveau d’analyse et ne peuvent pas identifier les vulnérabilités complexes (telles que les failles logiques des applications ou les vulnérabilités des environnements personnalisés). Les tests automatisés peuvent également causer des dommages à vos systèmes et polluer vos bases de données. Leur utilisation doit donc être limitée, complémentaire aux tests manuels, et ils doivent être réalisés par des professionnels expérimentés pour limiter leur impact négatif.

Les tests manuels, au contraire, exigent beaucoup plus d’expertise et une compréhension approfondie des différents contextes technologiques. Ils permettent à votre organisation de contextualiser ses vulnérabilités et de fournir des preuves de leur impact potentiel sur votre entreprise. Ils peuvent identifier les vulnérabilités les plus subtiles qui pourraient avoir un impact critique, que les tests automatisés ne peuvent pas identifier, en causant le moins de dommages possible à vos systèmes.

Il existe plusieurs méthodologies et normes reconnues en matière de tests d’intrusion qui peuvent être utilisées en fonction du type d’évaluation. Voici quelques-unes des méthodologies les plus reconnues :

  • OSSTMM – Fournit une méthodologie scientifique pour les tests d’intrusion des réseaux et l’évaluation de la vulnérabilité afin d’identifier les vulnérabilités à partir de divers angles d’attaque potentiels.
  • OWASP – Vise à identifier les vulnérabilités des applications Web et mobiles. Fournit plus de 66 contrôles à évaluer au total pour identifier les vulnérabilités potentielles au sein des fonctionnalités que l’on trouve aujourd’hui dans les applications modernes.
  • PTES – Met en évidence l’approche la plus recommandée pour structurer un test d’intrusion. Cette norme guide les testeurs dans les différentes étapes d’un test d’intrusion, notamment la communication initiale, la collecte d’informations, ainsi que les phases de modélisation des menaces.

Apprenez-en plus sur les principales méthodologies et normes de tests d’intrusion →

Questions Concernant
La Portée et les Tests

Vous n’avez pas trouvé la réponse à votre question ?
Contactez Nous →

L’un des membres de notre équipe senior recueillera des informations concernant votre champ d’application technique, les différentes technologies en place, ce qui nous permettra de déterminer les efforts requis pour votre test. Sur la base de ces informations, nous affecterons des membres spécifiques de l’équipe ayant les compétences et l’expérience appropriées pour votre projet. Une fois que le champ d’application est bien défini, nous vous envoyons une proposition qui comprend :

  • Une liste d’activités
  • Efforts
  • Méthodologies utilisées
  • Produits livrables
  • Prix fixe

Bien que nous puissions faire preuve de souplesse et nous adapter à vos délais, la complexité de votre projet peut avoir une incidence sur les délais de cadrage et la planification du projet.

Contactez-nous pour que nous puissions lancer votre projet dès maintenant.

Vumetric recommandera toujours l’approche la plus sécuritaire possible pour effectuer votre test d’intrusion. Idéalement, les tests seront effectués dans un environnement de test/développement construit avec les mêmes configurations que les systèmes ciblés. Toutefois, nos spécialistes disposent de l’expertise nécessaire pour tester vos systèmes et applications même s’ils sont en production, sans que cela n’ait d’incidence sur vos opérations quotidiennes.

Diverses mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales.

C’est pourquoi un plan de communication sera mis en place dès le début du projet pour prévenir et atténuer tout impact potentiel. Un représentant de votre organisation sera identifié pour agir en tant que point de contact principal afin d’assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en œuvre rapidement.

Bien que nous utilisions une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est en fait basée sur la norme CVSS (Common Vulnerability Scoring System). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • Impact potentiel: L’impact potentiel d’une attaque basée sur une vulnérabilité, combiné à son effet potentiel sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité ; une vulnérabilité plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte pour évaluer le potentiel d’exploitation d’une vulnérabilité (par exemple : vecteur d’accès, authentification, complexité opérationnelle, etc.)

La majorité de nos projets sont réalisés à distance. Les technologies modernes permettent à notre équipe d’accéder à tout type d’infrastructure/système de manière sécurisée. Nous proposons différentes options d’accès à distance en fonction de votre contexte spécifique. (Infrastructure VPN existante, machine virtuelle, ou même le dispositif de test d’intrusion à distance de Vumetric).

Dans certains cas, certains types spécialisés de tests d’intrusion, tels que les tests d’intrusion SCADA / ICS / industriels, des tests sur place peuvent être nécessaires, car ces systèmes peuvent ne pas être accessibles de l’extérieur.

Il n’y a pas de projets qui sortent de l’ordinaire pour nous. Nous avons réalisé des tests d’intrusion dans les environnements les plus divers et sur un large éventail de technologies. Qu’il s’agisse d’appareils IoT/intelligents, de systèmes industriels, d’infrastructures cloud, d’applications de tous types avec diverses intégrations API, ou de réseaux d’entreprise, nous ne laissons jamais de risques de côté, quel que soit votre contexte technologique.

Après chaque mission, les pentesters produiront un rapport technique, détaillant chaque vulnérabilité et les recommandations. Un débriefing téléphonique complet est effectué après la soumission du rapport pour expliquer chacune de nos conclusions et leurs recommandations respectives.

Livrables &
Rapport

Avez-vous d’autres questions ?
Nous contacter →

À la fin du projet, vous recevrez un rapport détaillé comprenant toutes les conclusions et les mesures d’atténuation recommandées. Le rapport technique comprend les éléments suivants :

  • Résumé exécutif présentant les principales observations et recommandations.
  • Matrice des vulnérabilités classées par ordre de priorité en fonction du niveau de risque.
  • Détails des vulnérabilités, dont les suivantes :
    • Niveau de risque basé sur l’impact potentiel et l’exploitabilité.
    • Corrections et recommandations pour corriger les vulnérabilités identifiées.
    • Des références à des ressources externes pour faciliter la mise en œuvre de nos recommandations.
    • Détails techniques tels que les captures d’écran, les traces du système, les journaux, etc.
  • Annexe détaillant des informations techniques complémentaires.
  • Méthodologie utilisée pendant le projet. (sur la base de normes reconnues)

Selon le contexte, vous recevrez également une attestation certifiant que les tests d’intrusion ont été réalisés par des professionnels expérimentés utilisant des méthodologies et des normes reconnues. Cette attestation vous permettra de répondre aux exigences de conformité de sécurité et de test d’intrusion de manière simple et efficace, sans exiger que votre organisation partage des informations sensibles à des tiers.

Plus de détails concernant ces 5 éléments que vous devriez trouver dans un rapport de test d’intrusion →

Absolument ! La flexibilité et la demande sont des éléments clés de l’offre de pentest de Vumetric.

Contactez l’un de nos spécialistes pour que nous puissions démarrer votre projet sans tarder.

Au cours de chaque mission, un membre de l’équipe senior de Pentest est chargé de s’assurer que chaque constatation individuelle et le rapport global répondent aux normes de qualité élevées de Vumetric, basées sur la norme ISO9001 et tirant parti de plus de 20 ans d’expertise raffinée pour assurer le meilleur résultat pour chaque projet.

Absolument ! Nos services fourniront la preuve, par le biais d’un rapport technique et d’une attestation officielle, que vous avez identifié et corrigé avec succès toute vulnérabilité exploitable au sein des systèmes de traitement des cartes et de votre infrastructure externe, permettant ainsi à votre organisation de se conformer aux exigences de la norme PCI-DSS 11.3.x.

La réalisation d’un test d’intrusionpar un fournisseur reconnu et indépendant est l’une des principales exigences imposées par les tiers en matière de conformité à la sécurité. (Partenaires, assureurs, etc.)

Nos services fourniront la preuve, par le biais d’un rapport technique et d’une attestation officielle, que vous avez effectué un test d’intrusionprofessionnel avec un fournisseur indépendant reconnu.

Nos rapports de pentest ont aidé des centaines d’organisations de tous les secteurs à répondre avec succès aux exigences de sécurité des tiers. (Assureurs, clients, partenaires, fournisseurs, etc.)

Absolument ! Nous pouvons tester à nouveau les vulnérabilités identifiées pour valider la mise en œuvre des mesures correctives que nous recommandons et, selon vos besoins, fournir une attestation que les vulnérabilités précédemment identifiées ont été corrigées avec succès.

Cela permettra à votre organisation de répondre aux exigences de conformité réglementaire, ou de se conformer aux demandes de tiers, tout en garantissant qu’aucune vulnérabilité supplémentaire n’a été introduite pendant la mise en œuvre des mesures correctives.

Impossible de trouver la réponse
à votre question ?

DEMANDER À UN SPÉCIALISTE
COMMENCEZ DÈS AUJOURD'HUI

Faites-nous part de vos besoins
Obtenir une réponse le même jour

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

Un expert vous contactera pour se renseigner sur votre projet de cybersécurité

La portée du projet sera défini (environnement cible, délais, exigences, etc.)

Une soumission détaillée comprenant un prix tout inclus vous est envoyée

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Des Questions ?

CONTACTEZ-NOUS
Un Besoin Urgent ?

1-877-805-7475

Restez à jour sur les cyber-risques

Abonnez-vous au bulletin mensuel de Vumetric pour vous tenir au courant des dernières nouvelles du secteur de la cybersécurité.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
1-877-805-7475
Contactez-nous
© 2024 Vumetric Inc. Tous droits réservés.
Twitter Linkedin-in Facebook-f Rss
Confidentialité | Contactez-nous | À propos
ÉDITION 2024

Guide de l'Acheteur de Tests d'Intrusion

Prenez des Décisions Éclairées

Tout ce que vous devez savoir pour planifier, déterminer la portée et réaliser des projets de test d’intrusion avec succès.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
TÉLÉCHARGEMENT GRATUIT

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.