Test d'Intrusion AWS (Amazon Web Services) | Vumetric Cybersécurité
Calendar-alt
Envelope
Phone
Calendar-alt
Envelope
Phone
SOUMISSION
SOUMISSION

Test d'Intrusion
AWS (Amazon Web Services)

Nos tests d’intrusion AWS Identifient vos configurations non sécuritaires / vulnérabilités exploitables et fournissent des recommandations pratiques pour les corriger.
Nous Contacter
En Savoir Plus
Linkedin
Twitter
Facebook

Pourquoi Les Tests d'Intrusion AWS Sont Importants

Les tests d’intrusion AWS sont différents des pentests standards, car ils ont leur propre ensemble de validations spécifiques aux 90 services offerts par la plateforme. Bien que certaines vulnérabilités soient gérées et atténuées par Amazon, l’immense flexibilité offerte aux utilisateurs dans la configuration de l’environnement, de leurs actifs et de leurs autorisations d’accès crée de nombreuses vulnérabilités qui peuvent avoir un impact critique sur votre entreprise. Ces évaluations se concentrent sur les configurations des différents actifs et composants de votre infrastructure afin d’identifier les erreurs de configuration et les failles qui pourraient conduire, par exemple, à une escalade des privilèges des utilisateurs, permettant aux attaquants d’obtenir un accès administratif.

Les Pentests Traditionnels vs Les Pentests AWS

Les infrastructures de sécurité traditionnelles et les infrastructures AWS présentent des différences importantes et divergent à bien des égards. De l’installation, de la configuration aux permissions des utilisateurs, le contexte technologique ne pourraient pas être plus distinct, autant dans leur fonctionnement que dans la manière dont la sécurité est gérée.

La plateforme AWS dispose de nombreuses API puissantes qui sont utilisées pour accéder aux ressources et les traiter. Profondément intégrés dans l’écosystème AWS, nos spécialistes certifiés AWS vérifient toute une série de configurations spécifiques à AWS, dont les suivantes:
Cible Pentest

Instances et applications EC2

Cible Pentest

Clés d'accès d'utilisateurs IAM

Cible Pentest

Obfuscation des logs Cloudtrail

Cible Pentest

Fonctions de Backdoor Lambda

Cible Pentest

Configurations et permissions S3

Cible Pentest

API AWS & Cloudfront

Nos Services de Test d'Intrusion AWS

Nos spécialistes ont contribués à sécuriser des infrastructures de tout genre. Qu’il s’agisse d’une infrastructure en tant que service (IaaS), d’une plate-forme en tant que service (PaaS) ou d’un logiciel en tant que service (SaaS).
Audit de Sécurité d'Applications Web

Test d'Intrusion
d'Applications SaaS

Test d'intrusion

Test d'Intrusion
d'Infrastructure AWS

Cybersécurité ICS

Audit de
Configurations AWS

Obtenir Une Soumission Gratuitement

Types d'Exploitation AWS

Nos experts tenteront différents types de scénarios d’attaque couramment utilisés par les attaquants pour exploiter votre infrastructure AWS, notamment:
  • Escalade de privilège d'utilisateur
  • Accès non-authentifié des buckets S3
  • Exploitation d'instance EC2
  • Altération de fonctions serverless
  • Exploitation d'implémentation de logique
  • Prise de contrôle de subdomain
  • Énumérations des rôles AWS (Clés d'accès IAM)
  • Contournement de logging Cloudtrail
  • Rebinding DNS
  • Manipulation de certificat Root et de clés SSH
  • Exfiltration de VM (Pour extraire les données d'authentification, clés, certificats, etc.)
  • Exfiltration de données d'authentications par les métadonnées
  • Manipulation de politiques par défaut
Test d'Intrusion AWS

Besoin d'Une Soumission Pour
Un Test d'Intrusion AWS?

Demander Une Soumission

Notre Processus de Test d'Intrusion AWS

Portée de test d'intrusion

Définition de
la Portée

Nous travaillons avec vous pour déterminer vos besoins afin d'assurer que notre proposition répond à vos attentes.

Pentest TI

Test
d'Intrusion

Nos spécialistes simulent les méthodes d'attaque des hackers les plus avancés d'aujourd'hui pour identifier vos vulnérabilités.

Portée du Projet

Rédaction
de Rapport

Un rapport complet offrant des recommendations claires et pratiques sur la manière de traiter chaque vulnérabilité identifiée.

Mentorat

Présentation
du Rapport

Le rapport est présenté à vos représentants afin de garantir la pleine compréhension des constats et recommendations.

Questions Fréquentes Concernant
Nos Pentests AWS

Des questions supplémentaires?Contactez nous →

Les tests d’intrusion AWS sont personnalisés en fonction de l’envergure et de la complexité de votre environennement technologique Cloud. Par conséquent, il n’y a pas de barème de prix standard pour ce type de projet.

Pour chaque projet, nous déterminerons techniquement vos exigences et fixerons le temps nécessaire pour achever les travaux. Nous fournirons ensuite une proposition détaillée contenant le budget nécéssaire pour le projet et les efforts qui seront réalisés par nos spécialistes.

Obtenir une soumission gratuitement →

À la fin du projet, vous recevrez un rapport détaillé qui comprendra toutes les conclusions et les correctifs recommandées. Le rapport technique comprend les éléments suivants:

  • Sommaire éxécutif présentant les principales observations et recommandations.
  • Matrice des vulnérabilités classé par niveau de risque.
  • Détails des vulnérablités incluant les suivants:
    • Niveau de risque basé sur l’impact potentiel et l’exploitabilité.
    • Recommendations pour corriger les vulnérabilités.
    • Références à des ressources externes pour faciliter la mise en œuvre de nos recommandations.
    • Détails Techniques tels que des captures d’écrans, traces du système, registres, etc.
  • Annexe détaillant des informations techniques complémentaires.
  • Méthodologie utilisée au cours du projet. (basé sur des standards reconnus)

Selon votre contexte, vous recevrez également une attestation certifiant que les tests d’intrusion ont été effectués par des professionnels expérimentés utilisant des méthodologies et des normes reconnues. Ce document vous permettra de répondre aux exigences de conformité et réglementaire de manière efficace et peu coûteuse.

En savoir plus sur ce que vous devriez trouver dans un rapport de test d’intrusion →

Depuis 2019, Amazon ne nécéssite plus l’authorisation préalable afin de réaliser un test d’intrusion.

Nous avons créé un ensemble d’images virtuelles contenant tous les outils nécessaires pour réaliser un test d’intrusion de l’environnements AWS. Ce test d’intrusion nous permet de valider la sécurité des configurations spécifiques à l’environnement et de tester des scénarios d’attaques effectués par les pirates informatiques.

Nos spécialistes testent une série de configurations spécifiques à l’environnement AWS, notamment les éléments suivants:

• Exploitation d’instance et d’application EC2

• Tentatives de cibler et compromettre les clés AWS AMI

• Test de la configuration du compartiment S3 et des failles d’autorisation

• Établir un accès au cloud privé via les fonctions Lambda

• Couvrir les pistes en obscurcissant les journaux d’évenement CloudTrail

Il est recommandé de réaliser un test d’intrusion AWS une fois par année car les cybermenaces et les scénarios d’attaque évoluent constamment.

Si des modifications majeures sont apportées à l’infrastructure ou si de nouvelles applications sont développées, il est recommandé de réaliser des tests supplémentaires. Cela garantit que les modifications récentes n’introduisent pas de nouvelles vulnérabilités dans l’environnement.

Certains standards de conformité, tels que ISO 27001 ou PCI DSS, nécessitent une certaine fréquence de test pour rester conformes. (Par exemple, l’exigence 11.3.x de la conformité PCI-DSS requiert d’éxécuter un test d’intrusion à chaque année ou suivant chaque modification importante à l’infrastructure)

Nos services sont basés sur une méthodologie complète que nous fournissons avec chaque proposition de projet. Celle-ci décrit les étapes effectuées au cours du projet ainsi que toutes les exigences afin de l’effectuer.

Notre méthodologie de test d’intrusion des applications hébergées sur le Cloud, par exemple, est conforme aux standards OWASP, qui est la norme du secteur en matière de la sécurité des applications.

Certifications

Nos Détenons des Certifications Reconnues Mondialement

Certification CEH
Certification GIAC GPen
Certification Licensed Penetration Tester
Certification CompTIA Pentest+
Certification CompTIA Security+
Certification CISSP
Certification CPTE
Contact

Faites-nous part de vos besoins

Un spécialiste vous contactera pour:

  • Comprendre vos besoins
  • Déterminer la portée du projet
  • Fournir un aperçu budgetaire
  • Acheminer une proposition détaillée

Appelez un spécialiste pour en savoir plus sur notre approche:

1-877-805-7475

Québec

825 Boul. Lebourgneuf, 214
Québec, QC, Canada G2J 0B9
418-800-0147

Montréal

1000 de la Gauchetiere O, 2400
Montréal, QC, Canada H3B 4W5
514-700-0955

Toronto

130 King St W, 1800
Toronto, ON, Canada M5X 1K6
647-499-6652

Des questions?

Contactez nous!

[email protected]

© 2020 Vumetric Inc. Tous Droits Réservés.

Twitter
Linkedin-in
Facebook-f
Rss

Confidentialité    |    Contactez Nous    |    À Propos

Restez Informez!

Abonnez-vous pour rester au fait des dernières tendances, menaces, nouvelles et statistiques en cybersécurité.