Tests d'intrusion

Audit intrusif (tests d'intrusion)

Les tests d'intrusion (en anglais penetration tests, ou pen tests) consistent à se mettre « dans la peau du pirate » et à éprouver les moyens de protection d'un système d'information en essayant de s'introduire dans le système en situation réelle.

Plusieurs options vont conditionnées le déroulement du test. Le premier choix va être le positionnement de nos ingénieurs par rapport à votre infrastructure:

Un audit en externe va correspondre au cas où les attaquants se situent à l'extérieur de votre réseau et ont pour cibles la partie visible de votre système d'information (sites institutionnels, accès distants, serveurs mails, ...). Sachant que 70% des attaques proviennent de l'intérieur, un test d'intrusion en interne permet d'évaluer votre niveau de sécurité en cas de comportement malveillant par l'un de vos collaborateurs. Dans cette simulation, nos ingénieurs disposent soit d'une station de travail de votre SI, soit d'un accès à votre réseau depuis nos machines spécialement préparées.

La seconde option va correspondre au niveau de connaissances que nos ingénieurs vont avoir lors du test:

Dans le premier cas, ils disposent des mêmes informations que vos équipes en charge de votre SI. Un audit en blackbox quant-à lui simule des attaquants n'ayant aucune connaissances préalable. Dans certains cas, un troisième cas peut être envisagé: l'audit en greybox. Ici, nos ingénieurs commencent l'audit sans renseignements et au fur et à mesure de leur avancée, des informations peuvent leur être donné afin de spécifié des cibles.

Une prestation de test d'intrusion requiert donc un très haut niveau d'expertise technique afin de produire un résultat crédible. L'équipe technique SCRT est aguerrie aux toutes dernières techniques d'attaques, avec une forte expérience des audits de sécurité des logiciels et des applications. La finalité des tests d'intrusion est avant tout de vous fournir une série de recommandations visant à améliorer votre niveau de sécurité.

Audit non intrusif semi automatisé

Ce type d'audit n'est plus effectué directement sur le réseau du client mais sur les fonctions sensibles de ce réseau, que l'audit aura mises en évidence.
Avantages de ce mode de fonctionnement :
Le réseau du client n'est nullement perturbé par l'audit et reste disponible à 100%.
Les changements de configuration sont pris en compte instantanément.
On peut « mapper » sur le modèle des simulations (changement de version d'OS, ...)
On peut changer de source, aussi bien du côté des vulnérabilités que du côté des relevés de configuration. Le langage de modélisation reste le même, donc les audits sont cohérents.

Audit d'applications et audit de code

Etant donné que 80% des failles de sécurité sont dues à des erreurs (ou oublis) lors du développement des applications, il est très important pour une entreprise d'écrire des codes sûrs et robustes, surtout lorsqu'il s'agit d'applications fonctionnant sur Internet (sites web, extranet, VPN, ...).
Grâce à nos ingénieurs, experts dans les principaux langages actuels, et aux outils que nous avons développés, nous sommes en mesure de certifier le code de quasiment n'importe quelle application.
Beaucoup d'incidents sont également dus à des erreurs de manipulation ou à des pannes. Une vérification de ces points est également effectuée dans l'approche des outils logiciels.

Audit SAP

A l'aide de produits fournit par SAP (par ex. AIS) ou à l'aide de produits Open Source comme Saphyto, SCRT effectue l'audit de systèmes SAP. Voici quelques point typiques vérifiés :

• Quels Hot Packages sont installés
• Politique de mot de passe
• Mots interdits dans les mots de passes
• Utilisateurs ayant des droits développement
• Utilisateurs par défaut
• Utilisateurs bloqués
• Utilisateurs bloqués depuis N jours
• Utilisateurs ayant un accès ilimité aux transactions
• Utilisateurs possédant des profils avec pouvoirs
• Accès direct au tables de bases de données
• Sécurité RFC