Tests d'intrusion
Audit intrusif (tests d'intrusion)
Les tests d'intrusion (en anglais penetration tests, ou pen tests)
consistent à se mettre « dans la peau du
pirate » et à éprouver les moyens de
protection d'un système d'information en essayant de
s'introduire dans le système en situation réelle.
Plusieurs options vont conditionnées le déroulement du test. Le premier choix va être le positionnement de nos ingénieurs par rapport à votre infrastructure:
Audit externe
Audit interne
Un audit en externe va correspondre au cas où les attaquants se situent à l'extérieur de votre réseau et ont pour cibles la partie visible de votre système d'information (sites institutionnels, accès distants, serveurs mails, ...). Sachant que 70% des attaques proviennent de l'intérieur, un test d'intrusion en interne permet d'évaluer votre niveau de sécurité en cas de comportement malveillant par l'un de vos collaborateurs. Dans cette simulation, nos ingénieurs disposent soit d'une station de travail de votre SI, soit d'un accès à votre réseau depuis nos machines spécialement préparées.
La seconde option va correspondre au niveau de connaissances que nos ingénieurs vont avoir lors du test:
Audit whitebox
Audit blackbox
Audit greybox
Dans le premier cas, ils disposent des mêmes informations que vos équipes en charge de votre SI. Un audit en blackbox quant-à lui simule des attaquants n'ayant aucune connaissances préalable. Dans certains cas, un troisième cas peut être envisagé: l'audit en greybox. Ici, nos ingénieurs commencent l'audit sans renseignements et au fur et à mesure de leur avancée, des informations peuvent leur être donné afin de spécifié des cibles.
Une prestation de test d'intrusion requiert donc un très haut
niveau d'expertise technique afin de produire un résultat
crédible. L'équipe technique SCRT est aguerrie aux toutes
dernières techniques d'attaques, avec une forte
expérience des audits de sécurité des logiciels et
des applications. La finalité des tests d'intrusion est avant
tout de vous fournir une série de recommandations visant
à améliorer votre niveau de sécurité.
Audit non intrusif semi automatisé
Ce type d'audit n'est plus effectué directement sur le
réseau du client mais sur les fonctions sensibles de ce
réseau, que l'audit aura mises en évidence.
Avantages de ce mode de fonctionnement :
Le réseau du client n'est nullement perturbé par l'audit et reste disponible à 100%.
Les changements de configuration sont pris en compte instantanément.
On peut « mapper » sur le modèle des
simulations (changement de version d'OS, ...)
On peut changer de source, aussi bien du côté des
vulnérabilités que du côté des
relevés de configuration. Le langage de modélisation
reste le même, donc les audits sont cohérents.
Audit d'applications et audit de code
Etant donné que 80% des failles de sécurité sont
dues à des erreurs (ou oublis) lors du développement des
applications, il est très important pour une entreprise
d'écrire des codes sûrs et robustes, surtout lorsqu'il
s'agit d'applications fonctionnant sur Internet (sites web, extranet,
VPN, ...).
Grâce à nos ingénieurs, experts dans les principaux
langages actuels, et aux outils que nous avons
développés, nous sommes en mesure de certifier le code de
quasiment n'importe quelle application.
Beaucoup d'incidents sont également dus à des erreurs de
manipulation ou à des pannes. Une vérification de ces
points est également effectuée dans l'approche des outils
logiciels.
Audit SAP
A l'aide de produits fournit par SAP (par ex. AIS) ou à l'aide de produits Open Source comme Saphyto, SCRT effectue l'audit de systèmes SAP. Voici quelques point typiques vérifiés :
- Quels Hot Packages sont installés
- Politique de mot de passe
- Mots interdits dans les mots de passes
- Utilisateurs ayant des droits développement
- Utilisateurs par défaut
- Utilisateurs bloqués
- Utilisateurs bloqués depuis N jours
- Utilisateurs ayant un accès ilimité aux transactions
- Utilisateurs possédant des profils avec pouvoirs
- Accès direct au tables de bases de données
- Sécurité RFC
|