Questions Fréquentes sur les Tests d'Intrusion | Vumetric

Questions Fréquentes
sur les Tests d'Intrusion

Questions
générales

Des questions supplémentaires?
Contactez nous →

Un test d’intrusion, aussi connu sous le nom de « Pentest », est une tentative de piratage simulée qui identifie les possibilités pour les vrais attaquants de percer vos défenses et de réaliser divers actes malveillants. Il s’appuie généralement sur les outils utilisés par les pirates informatiques et sur diverses méthodologies professionnelles pour reproduire les étapes que les pirates modernes prendraient pour s’introduire dans vos systèmes informatiques.

Un pentest tente d’exploiter vos vulnérabilités pour déterminer leur impact potentiel sur votre entreprise, si elles seraient être utilisées dans un scénario de piratage réel. Ils fournissent une liste de vulnérabilités avec leur niveau de risque respectif, ainsi que des recommandations techniques pour aider votre équipe à appliquer des mesures correctives et à se concentrer sur les vulnérabilités les plus critiques.

Ces services permettent à votre organisation de répondre, entre autres, aux questions suivantes:

  • Un pirate informatique peut-il accéder à des informations sensibles ?
  • Un pirate peut-il détourner mes technologies pour commettre des actes malveillants ?
  • Une infection par un logiciel malveillant peut-elle se propager sur le réseau ?
  • Un pirate peut-il modifier son accès pour devenir un utilisateur administratif ?

Les tests d’intrusion peuvent être effectués avec différentes intentions et permettent d’atteindre différents objectifs. Qu’il s’agisse de répondre à des exigences de tiers, d’obtenir des partenariats commerciaux ou de tester une nouvelle fonctionnalité dans le cadre d’un cycle de développement, ils peuvent servir plusieurs objectifs.

Voici quelques-unes des principales raisons de réaliser un test d’intrusion:

  • Se conformer aux exigences qui imposent un test de sécurité. (tiers, PCI, ISO27001, etc.)
  • Identifier les vulnérabilités et obtenir une liste de correctifs prioritaires.
  • Protéger vos données et les systèmes contre les attaquants.
  • Obtenir le point de vue d’un pirate informatique.
  • Prévenir les pertes financières causé par un incident.
    En savoir plus sur les raisons d’effectuer un pentest →

Le prix d’un test de pénétration peut varier considérablement en fonction de plusieurs facteurs. C’est pourquoi il n’existe pas de fourchette de prix établie pour ce type d’évaluation. Chaque projet est adapté à vos objectifs et à votre environnement technologique. De nombreux facteurs doivent être déterminés avant que le coût puisse être établi.

Voici les principaux facteurs qui déterminent le coût d’un test d’intrusion:

  • Portée du projet. (Nb. d’IPs ciblés, Nb. de fonctionnalités dans l’application, etc.)
  • Réalisé dans un environnement de production ou de développement.
  • Type de test. (Réseau, application, SCADA, etc.)
  • Approche du test. (Automatisée ou manuelle)
  • Objectifs. (Conformité, meilleures pratiques, etc.)

En savoir plus sur les principaux facteurs qui déterminent le coût d’un test d’intrusion →

Il existe de nombreux contextes dans lesquels un test d’intrusion doit être effectué.

Voici quelques cas d’utilisation courante pour un pentest :

  • Dans le cadre du cycle de développement d’une application. (Pour tester la sécurité d’une nouvelle fonctionnalité/application)
  • Pour se conformer aux exigences de sécurité. (Tiers, PCI, ISO27001, etc.)
  • Pour protéger les données sensibles contre l’exfiltration.
  • Pour prévenir les infections par des logiciels malveillants. (logiciels de rançon, logiciels espions, etc.)
  • Pour prévenir les cyberattaques perturbatrices. (Comme le déni de service)
  • Dans le cadre d’une stratégie de gestion des risques liés à la cybersécurité.

Il est conseillé à toutes les entreprises de procéder à un test de pénétration au moins une fois par an, ainsi qu’après toute mise à niveau ou modification importante du réseau de l’entreprise. Étant donné la rapidité avec laquelle de nouveaux exploits sont découverts, nous recommandons généralement de procéder à des tests trimestriels.

Le temps nécessaire pour effectuer avec succès un test d’intrusion dépend de l’étendue et du type de test. La plupart des pentests peuvent être réalisés en quelques jours, mais certains peuvent s’étendre sur plusieurs semaines, voire plusieurs mois selon la complexité du projet.

Les scanners de vulnérabilité et les tests d’intrusion sont les techniques les plus courantes pour découvrir les failles de cybersécurité dans vos technologies. Bien qu’il existe des similitudes entre les deux, elles sont souvent mal interprétées comme étant la même chose, même si elles donnent lieu à des degrés d’analyse très différents.

Les scanners de vulnérabilité sont généralement utilisés par le personnel informatique afin de vérifier les infrastructures de réseau afin de détecter les vulnérabilités communes qui ont pu être introduites lors de leur mise en œuvre. Les pentests, en revanche, identifient à la fois les vulnérabilités bien documentées et celles qui n’ont jamais été vues auparavant, tout en fournissant des preuves de leur impact potentiel sur votre entreprise par le bias de son exploitation.

En savoir plus sur les principales différences entre les scanners et les pentests →

Tel que mentionné dans le point précédent, les tests automatisés (connus sous le nom de scanners de vulnérabilité ou d’évaluations de vulnérabilité) permettent aux équipes informatiques d’identifier les erreurs de configuration et les vulnérabilités communes dans les versions de leurs logiciels, systèmes d’exploitation et technologies.

Bien que les tests automatisés soient rentables et nécessitent moins d’expertise, ils ne produisent pas le même niveau d’analyse et ne peuvent pas identifier des vulnérabilités complexes (telles que des failles logiques dans les applications ou des vulnérabilités dans des environnements fait sur mesure). Les tests automatisés peuvent également nuire à vos systèmes et polluer vos bases de données, c’est pourquoi leur utilisation doit être limitée, complémentaire aux tests manuels et doivent être effectués par des professionnels expérimentés afin de limiter leur impact négatif.

Les tests manuels, au contraire, requièrent beaucoup plus d’expertise et une compréhension approfondie des différents contextes technologiques. Ils permettent à votre organisation de contextualiser leurs vulnérabilités et de fournir des preuves de leur impact potentiel sur votre entreprise. Ils peuvent identifier les vulnérabilités les plus subtiles qui pourraient avoir un impact critique, que les tests automatisés ne peuvent pas identifier, causant le moins de dommages possible à vos systèmes.

Il existe de nombreuses méthodologies et normes reconnues de test d’intrusion qui peuvent être utilisées selon le type d’évaluation. Voici quelques-unes des méthodologies les plus reconnues :

  • OSSTMM – Fournit une méthodologie scientifique pour les tests d’intrusion réseau et l’évaluation de la vulnérabilité afin d’identifier les vulnérabilités sous différents angles d’attaque potentiels.
  • OWASP – Vise à identifier les vulnérabilités au sein des applications Web et mobiles. Fournit plus de 66 contrôles à évaluer au total pour identifier les vulnérabilités potentielles au sein des fonctionnalités que l’on trouve aujourd’hui dans les applications modernes.
  • PTES – Présente l’approche la plus recommandée pour structurer un test d’intrusion. Cette norme guide les testeurs sur les différentes étapes d’un pentest, y compris la communication initiale, la collecte d’informations, ainsi que les phases de modélisation de la menace.

En savoir plus sur les principales méthodologies et normes →

Test d'Intrusion Réseau

Portée
et Test

Des questions supplémentaires?
Contactez nous →

L’un des membres de notre équipe recueillera des informations concernant votre portée technique, les différentes technologies en place et la taille de votre projet. Sur la base de ces informations, nous affecterons des membres spécifiques de l’équipe ayant les compétences et l’expérience nécessaires à la réalisation de votre projet. Vous recevrez une proposition fait sur mesure avec une liste d’activités, d’efforts, de méthodologies qui seront utilisées, des livrables et du prix tout inclus.

Bien que nous puissions être flexibles et nous adapter à vos délais, la complexité de votre projet peut avoir une incidence sur les délais quant à la définition de la portée et la planification du projet.

Contactez-nous afin de démarrer votre projet rapidement.

Vumetric vous recommandera toujours l’approche la plus sécuritaire pour votre test d’intrusion. Idéalement, les tests seront effectués dans un environnement de test et de développement construit avec les mêmes configurations et spécifications que les systèmes ciblés. Toutefois, nos spécialistes ont l’expertise nécessaire pour tester vos systèmes et applications même s’ils sont en production, sans que cela ait un impact sur vos opérations quotidiennes.

Différentes mesures sont prises au cours du projet pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales.

C’est pourquoi un plan de communication sera mis en place dès le début du projet afin de prévenir et d’atténuer tout impact potentiel. Un représentant de votre organisation sera désigné comme point de contact principal pour assurer une communication rapide en cas de situation ayant un impact direct sur la conduite de vos opérations quotidiennes, ou si des vulnérabilités critiques sont identifiées, pour lesquelles des mesures correctives doivent être mises en place rapidement.

Bien que nous utilisions une approche simple de notation des risques à 4 niveaux (critique, élevé, modéré, faible), notre évaluation des risques est en fait basée sur la norme du Common Vulnerability Scoring System (CVSS). Deux critères principaux sont pris en compte pour évaluer le niveau de risque de chaque vulnérabilité :

  • L’impact potentiel: L’impact potentiel d’une attaque exploitant la vulnérabilité, combiné avec son effet potentiel sur la disponibilité du système, ainsi que sur la confidentialité et l’intégrité des données.
  • Exploitabilité: L’exploitabilité potentielle d’une vulnérabilité; une vulnérabilité qui est plus facile à exploiter augmente le nombre d’attaquants potentiels et donc la probabilité d’une attaque. Différents facteurs sont pris en compte lors de l’évaluation du potentiel d’exploitation d’une vulnérabilité (par exemple: vecteur d’accès, authentification, complexité opérationnelle, etc.)

La majorité de nos projets sont réalisés à distance. Les technologies modernes permettent à notre équipe d’accéder à tout type d’infrastructure/système de manière sécurisée. Nous proposons différentes options d’accès à distance en fonction de votre contexte spécifique. (Infrastructure VPN existante, machine virtuelle de type « jump box » ou notre propre dispositif, le « Téléporteur de Vumetric« )

Dans certains cas, certains types spécialisés de tests, tels que les tests d’intrusion SCADA / ICS / industriels, peuvent nécessiter des tests sur place, car ces systèmes peuvent ne pas être accessibles de l’extérieur.

Il n’y a pas de projets qui sortent de l’ordinaire pour nous. Nous avons réalisé des tests de pénétration dans les environnements les plus divers et sur un large éventail de technologies. Que ce soit pour des dispositifs IoT/intelligents, des systèmes industriels, des infrastructures Cloud, des applications de tous types avec diverses intégrations d’API, des réseaux d’entreprise, nous ne laissons aucuns risques de coté, quel que soit votre contexte technologique.

Après chaque engagement, l’équipe de spécialistes produira un rapport technique, détaillant chaque vulnérabilité et recommandations. Un débriefing téléphonique complet est effectué après la remise du rapport pour expliquer chacune de nos conclusions et leurs recommandations respectives en détail.

Livrables
et Rapports

Des questions supplémentaires?
Contactez nous →

À la fin du projet, vous recevrez un rapport détaillé qui comprendra toutes les conclusions et les correctifs recommandées. Le rapport technique comprend les éléments suivants:

  • Sommaire éxécutif présentant les principales observations et recommandations.
  • Matrice des vulnérabilités classé par niveau de risque.
  • Détails des vulnérablités incluant les suivants:
    • Niveau de risque basé sur l’impact potentiel et l’exploitabilité.
    • Recommendations pour corriger les vulnérabilités.
    • Références à des ressources externes pour faciliter la mise en œuvre de nos recommandations.
    • Détails Techniques tels que des captures d’écrans, traces du système, registres, etc.
  • Annexe détaillant des informations techniques complémentaires.
  • Méthodologie utilisée au cours du projet. (basé sur des standards reconnus)

Selon votre contexte, vous recevrez également une attestation certifiant que les tests d’intrusion ont été effectués par des professionnels expérimentés utilisant des méthodologies et des normes reconnues. Ce document vous permettra de répondre aux exigences de conformité et réglementaire de manière efficace et peu coûteuse.

En savoir plus sur ce que vous devriez trouver dans un rapport de test d’intrusion →

Absolument! Être flexible et à la demande est un élément clé de l’offre de Vumetric.

Contactez l’un de nos spécialistes afin que nous puissions démarrer votre projet immédiatement.

Lors de chaque projet, un membre senior de l’équipe de test d’intrusion est chargé de s’assurer que chaque constatation, vulnerabilité, recommendations ainsi que le rapport de façon générale répondent aux normes de qualité de Vumetric, basées sur la norme ISO9001 et s’appuyant sur plus de 20 ans d’expertise pointue, afin de garantir le meilleur résultat pour chaque projet.

Absolument! Nos services fourniront la preuve, par le biais d’un rapport technique et d’une attestation officielle, que vous avez identifié et corrigé avec succès toute vulnérabilité exploitable au sein des systèmes de traitement de cartes et de votre infrastructure externe, permettant à votre organisation de se conformer aux exigences de la norme PCI-DSS 11.3.x.

La réalisation d’un test d’intrusion avec une organisation reconnue est l’une des principales exigences demandées par les tiers pour le respect de la sécurité. (Partenaires, assureurs, etc.)

Nos services vous fourniront la preuve, par un rapport technique et une attestation officielle, que vous avez effectué un test d’intrusion professionnel avec un fournisseur indépendant reconnu.

Nos rapports ont aidé des organisations dans tous les secteurs d’activité à répondre avec succès aux exigences de sécurité de tiers. (Assureurs, partenaires, fournisseurs, etc.)

Absolument! Nous pouvons re-tester les vulnérabilités identifiées pour valider la mise en œuvre des mesures correctives recommandées, et selon vos besoins, fournir une attestation que les vulnérabilités précédemment identifiées ont été corrigées avec succès.

Cela permettra à votre organisation de répondre aux exigences de conformité réglementaire ou de se conformer aux demandes de tiers, tout en s’assurant qu’aucune vulnérabilité supplémentaire n’a été introduite pendant la mise en œuvre des mesures correctives.

Faites-nous part de vos besoins

Un spécialiste vous contactera pour:

Restez Informez!

Abonnez-vous pour rester au fait des dernières tendances, menaces, nouvelles et statistiques en cybersécurité.