Tests d’intrusion

Vérifier sa sécurité en employant les techniques des pirates

Accueil » Tests d’intrusion

Qu’est-ce qu’un test d’intrusion ?

L’objectif de nos tests d’intrusion est clair : vérifier la sécurité de vos systèmes en employant les techniques des pirates.

  • Périmètre ciblé de votre société : Nous testons un périmètre (comprenant plusieurs cibles) de votre système informatique. Ces tests d’intrusions comprennent les aspects réseaux, systèmes, logiciels, physiques et même humains.
  • Mission réaliste : Nos experts tenteront de s’introduire dans vos systèmes comme le feraient de « vrais » pirates informatiques (nous utilisons, cependant, des techniques non destructrices).
  • Simuler une attaque de mon SI : Je veux tester l’état de sécurité d’une partie de mon système informatique sur des aspects aussi bien techniques que organisationnels (remontées d’alertes et d’incidents, réactivité du personnel informatique, etc.).

Nos tests d’intrusion

Externe

Tentative d’intrusion dans vos systèmes depuis un réseau externe (Internet).

Découvrir

Interne

Tentative d’intrusion dans vos systèmes depuis le réseau de votre entreprise.

Découvrir

Social Engineering

Tentative d’intrusion dans vos systèmes en ciblant vos employés.

Découvrir

Red Team

Offre regroupant l’ensemble des tests d’intrusion sur plusieurs mois.

Découvrir

Méthodologies d’attaques

Les phases d’attaques

#1 – Prise d’information passive

Récupération d’informations sensibles sur les systèmes du périmètre initial à partir de ressources Internet (informations publiques, OSINT, etc.).

#2 – Prise d’information active

Récupération d’informations sensibles directement sur les systèmes du périmètre initial (scans réseaux, prise d’empreinte, recherche de vulnérabilités, etc.).

#3 – Obtention d’un accès

Exploitation des vulnérabilités identifiées et tentatives de compromissions des systèmes identifiés dans le périmètre initial du test d’intrusion.

#4 – Maintien de l’accès

Mise en place de portes dérobées (backdoors) afin de garder l’accès sur les systèmes compromis malgré les mécanismes de défense existants.

#5 – Exfiltration de données

Vérification des données qui peuvent être compromises, exfiltration de ces données afin de contrôler les systèmes de surveillance (ex : alertes en cas de fuite de données).

#6 – Vérification des rebonds possibles

Analyse des nouveaux systèmes adjacents accessibles depuis les systèmes compromis (scans de vulnérabilités, exploitation optionnelle).

Connaissances initiales

Black box

Nos consultants réalisent le test d’intrusion en n’ayant aucune information sur le système ou l’élément évalué. Il s’agit du scénario d’attaque le plus proche d’une véritable attaque extérieure.

Grey box

Nos consultants réalisent le test d’intrusion en ayant des informations partielles sur le système ou l’élément évalué. Il s’agit souvent d’un cas se rapprochant de l’attaque provenant d’un ancien employé ou d’une fuite de données.

Besoin de conseils ou d’informations supplémentaires ?

SYNHACKTests d’intrusion