Notre approche

Afin de garantir une qualité constante lors de nos tests d’intrusion, immunIT a décidé de s’appuyer sur des standards et des méthodologies reconnus mondialement dans le domaine de l’audit. Que ce soit donc lors des tests d’intrusions « réseau » ou d’applications, nos équipes se baseront sur les standards suivants :

• OSSTMM (Open Source Security Testing Methodology Manual)
• PTES (Penetration Testing Execution Standard)
• OWASP (Open Web Application Security Project)

Bien que le déroulement de chaque test d’intrusion puisse être modulé en fonction de chaque mandat, les étapes suivantes sont généralement communes à chacun de nos audits:

1. Définition des conditions de « pré-engagement »
2. Reconnaissance et collecte d’informations
3. Modélisation des menaces
4. Recherche et analyse des vulnérabilités
5. Exploitation (à convenir)
6. Post exploitation (à convenir)
7. Reporting

Pentest externe

Les tests d’intrusion externes permettent de vérifier la sécurité de vos équipements connectés au monde extérieur, généralement à Internet. Ceci comprend par exemple votre défense périmétrique (ex: firewalls), mais également tous les services qui sont mis à disposition comme la messagerie, les serveurs web, les gateway, etc. Dans la majorité des cas, ces tests d’intrusion seront effectués sans qu’aucun accès privilégié ne soit donné à nos équipes au préalable afin de simuler au plus près de la réalité le comportement d’un attaquant potentiel.

Pentest interne

Les tests d’intrusion internes permettent de vérifier la sécurité de vos systèmes d’information et d’évaluer l’impact que pourrait avoir sur eux un attaquant depuis l’intérieur de l’organisation. Souvent appelé « le test du stagiaire », dans la plupart des cas, l’auditeur disposera des accès équivalents à ceux d’un utilisateur lambda qui lui auront été préalablement fournis. Il est également tout à fait possible que l’auditeur ne dispose d’aucun droit à l’exception d’un accès au réseau de l’entreprise, ou à l’inverse d’accès privilégiés tels que des droits administrateurs.

Pentest black/grey/white box

Chacun de nos tests d’intrusion, qu’ils soient externes ou internes peuvent se dérouler avec différents niveaux d’information fournis à nos équipes. Pour être au plus proche de la réalité d’un attaquant, aucune information ne sera fournie au préalable (black box). Si au contraire, un audit doit être plus exhaustif et/ou la phase de reconnaissance doit être réduite, des informations précises seront fournies à nos auditeurs (white box). Il est également possible d’effectuer un audit dans des conditions intermédiaires où par exemple nos équipes ne disposeraient que d’informations limitées, ou qui seraient fournies en cours d’audit (grey box). En complément du niveau de détails fourni aux auditeurs, le niveau d’accès leur étant attribué (aucun accès / accès authentifié / accès privilégié) est également un critère modulable.

Red team pentesting

Pour les entreprises qui souhaitent simuler au plus proche de la réalité une attaque ciblée, immunIT prospose également des tests d’intrusion de type « red team ». A la différence des tests d’intrusion conventionnels, le but de l’audit ne sera pas de découvrir le plus grand nombre de vulnérabilités possibles sur les systèmes cibles, mais de vérifier si une intrusion est possible à l’aide de tous les moyens (techniques et non techniques) dont pourrait disposer un attaquant. De par la nature sensible de ce genre de mandats, nous vous invitons à prendre contact avec nous pour plus d’informations.